Como as PMEs podem se proteger de ataques cibernéticos com autenticação multifator?

Por Klauss Schoneborn, diretor de vendas e especialista em cibersegurança da HID para América Latina

Normalmente, quando são publicadas manchetes relacionadas a ataques cibernéticos, o imaginário coletivo assume que a vítima foi uma grande empresa, mas suas contrapartes, pequenas e médias empresas (PMEs), são igualmente vulneráveis.

Segundo a pesquisa da Kaspersky, empresa de cibersegurança e privacidade digital, as pequenas e médias empresas brasileiras estão enfrentando o crescimento de três golpes: o roubo de senhas corporativas, ataques via internet e a invasão da rede que explora o trabalho remoto.

Por exemplo, os pesquisadores da Kaspersky verificaram que os bloqueios do Trojan-PSW (Password Stealing Ware) cresceram 143% em 2022 no Brasil em comparação com o ano anterior. Este programa visa roubar senhas dos funcionários para garantir acesso à rede da empresa ou ao Internet Banking da organização.

Outra tática que se tornou relevante recentemente contra as pequenas e médias empresas são os ataques cibernéticos. Nesses casos, os criminosos infectam sites com alto tráfego (como portais de notícias e lojas de grandes redes) com um programa malicioso que infectará os dispositivos dos visitantes, explorando vulnerabilidades em programas populares, como Java, Windows e o pacote Office.

Após conseguirem infectar, os criminosos obtêm acesso ao dispositivo, às informações armazenadas nele e à rede da organização. No Brasil, foram registrados mais de 2,6 milhões de bloqueios desse tipo de golpe, um número 72% maior do que o segundo país da região a enfrentar esses tipos de ataques, que é o Peru, segundo a pesquisa da Kaspersky.

Bem, atualmente existe uma solução para proteger as PMEs, com a qual 90% dos ataques cibernéticos poderiam ser evitados: a autenticação multifator (MFA, por sua sigla em inglês).

Introdução à autenticação multifator

O conceito MFA é simples: em vez de usar um único fator de autenticação, como uma senha autônoma, por exemplo, as soluções MFA verificam a identidade do usuário usando uma combinação de fatores: smart card, chave de segurança, token OTP, PIN, impressão digital, entre outros.

As combinações para sua implementação são inúmeras, mas uma das mais comuns envolve um fator que o usuário conhece, como uma senha, seguida de um fator que o usuário possui, como um código de verificação enviado por e-mail ou mensagem de texto. Essa perspectiva garante que um usuário seja realmente quem diz ser, evitando que criminosos acessem dados confidenciais armazenados em uma rede compartilhada, por exemplo.

A implementação da tecnologia MFA nas PMEs protege melhor os recursos críticos, como:

Bancos de dados e aplicativos

O acesso a bancos de dados, incluindo folha de pagamento, registros de funcionários e números financeiros, pode ser protegido usando cartões inteligentes, chaves de segurança, senha de uso único (OTP) ou autenticadores móveis como uma segundo fator de verificação login.

• Computadores e dispositivos móveis de funcionários

Com os funcionários trabalhando à distância e usando diferentes dispositivos, a tecnologia MFA pode ajudá-los adicionando uma segunda camada de autenticação de senha por meio de uma chave de segurança ou cartão inteligente.

• Dispositivos multiusuário

Para organizações que usam estações de trabalho compartilhadas, o MFA permite que esses funcionários façam logon com facilidade e segurança em computadores e dispositivos compartilhados.

• Redes e Servidores

Como as redes são uma das áreas mais atacadas pelos cibercriminosos, as VPNs e os servidores facilitam o acesso dos usuários com segurança, mesmo usando uma rede pública.

Apesar da existência destas múltiplas alternativas de proteção, a questão que se coloca é porque é que mais de metade das PME ainda não usufrui dos benefícios do MFA?

• Obstáculos à adoção do MFA

Embora o MFA ofereça uma solução simples para reduzir o risco de ataques cibernéticos, é compreensível que pequenas e médias empresas não tenham essa tecnologia devido a compromissos financeiros e orçamentos muitas vezes limitados, entre outros motivos não relacionados a questões monetárias.

Olhando mais profundamente os detalhes, há três barreiras básicas à não implementação, de acordo com o Cyber ​​​​Readiness Institute.

A primeira é a falta de conhecimento, já que 55% das PMEs permanecem desprotegidas porque simplesmente desconhecem os benefícios que a MFA traz para sua organização.

Em seguida, vem o entendimento limitado, com 30% dos proprietários de pequenas e médias empresas indicando que não o implementam porque não sabem como usá-lo. Além da funcionalidade básica, há uma variedade de opções de MFA a serem consideradas, incluindo uma variedade de configurações que podem ser usadas para melhor atender às necessidades de uma organização.

A terceira barreira é a inconveniência percebida. Nesse sentido, 20% das PMEs consideram que o MFA é muito inconveniente, quando na verdade o conceito é muito familiar.

Como as PME podem implementar o MFA?

Dentro do crescente cenário de ameaças, as PMEs devem encontrar maneiras de proteger melhor a si mesmas e suas informações confidenciais. O MFA permite aumentar a segurança e o conforto de forma rápida e fácil.

Por exemplo, sua implementação permite que essas organizações eliminem a dependência de senhas, o que não apenas aumenta a segurança, mas também melhora a experiência do usuário. Além disso, facilita um ambiente de trabalho remoto e/ou híbrido confiável, para que os funcionários possam acessar com segurança as informações necessárias de vários locais e dispositivos.

Então, o que os gerentes precisam saber para encontrar a solução e o provedor de tecnologia certos?

Primeiramente, a facilidade de uso deve ser levada em consideração. A solução MFA certa deve oferecer uma variedade de métodos de autenticação, mas também deve ser fácil de adotar e usar em toda a organização.

Em seguida, é fundamental determinar a melhor combinação de métodos de autenticação e configurações básicas. Alguns fornecedores oferecem apenas uma pequena seleção, o que pode prendê-lo a opções que não atendem às suas necessidades específicas.

Também é importante considerar a fácil implantação e administração. Algumas soluções podem levar meses para serem implementadas, pois exigem treinamento extensivo e novos códigos de instalação. Deve-se buscar uma solução que esteja pronta em poucos dias.

Faça disso uma solução completa. Qualquer solução MFA deve fornecer segurança abrangente em todos os ativos, incluindo PCs, dispositivos móveis, aplicativos e redes.

Além disso, é fundamental encontrar um provedor que esteja em conformidade com os padrões do setor, incluindo proteção de dados, como LGPD (Lei geral de proteção de dados), GDPR (Regulamento Geral de Proteção de Dados) e CCPA (Lei de Privacidade do Consumidor da Califórnia).

Finalmente, a adaptabilidade deve ser mantida em mente. À medida que o negócio cresce, também aumentam as necessidades de segurança. O provedor deve permitir o dimensionamento e se ajustar de acordo.

Liderar e fazer crescer uma PME é um grande desafio. Felizmente, a adoção do MFA oferece uma rede de segurança que controla os cibercriminosos, protege a reputação da empresa e ajuda a proteger os resultados financeiros.