PME: mantenha seu website mais seguro

São muitas as facetas para um plano de segurança completo, mas pequenas empresas, cuja renda depende de seus sites, precisam dar mais atenção à segurança deles. Não é preciso ir muito além das recentes manchetes sobre sites atacados para entender o porquê. Alan Wlasuk, CEO da 403 Web Security, oferece quatro dicas sobre áreas que as PMEs precisam considerar ao criar e manter sites seguros.

Torne a segurança parte do desenvolvimento web

Se estiver criando um site, inclua segurança como parte do plano do projeto. Em entrevista, Wlasuk recomenda fazer um mapeamento automático das vulnerabilidades do site antes de colocá-lo no ar para identificar possíveis brechas. Ele diferencia isso de antivírus e outros tipos de software de segurança. Ao contrário, seria como lançar uma simulação de ataque – centenas delas – para ver se alguma delas funciona. (Existem empresas de segurança como as de Wlasuk que oferecem versões gratuitas desses mapeamentos).

?Elas não cobrem toda a segurança do site, mas dão indicações claras sobre a situação dele?, disse Wlasuk. ?É uma obrigação de todos os que estiverem para lançar uma página.? Wlasuk aconselha PMEs que estão planejando contratar uma empresa terceirizada de desenvolvimento web a tornar segurança parte do processo de seleção; entreviste potenciais fornecedores sobre a abordagem de segurança, com o mesmo interesse com que pergunta sobre design e funcionalidade.

E se o site já estiver no ar? Não é tarde – você ainda deve rodar o mapeamento de vulnerabilidade para verificar se há vazamento de códigos. Se encontrar problemas, resolva os mais sérios e vá seguindo a lista, aconselha Wlasuk. ?Tenha certeza de que não está dando abertura para scripters. Dificulte o acesso. Portas abertas são convidativas.?

Mantenha funcionários às claras

Cada vez mais, o fator humano se torna o principal vetor de ameaças, seja em esquemas de engenharia social, ataques de phishing ou, simplesmente, um funcionário que pensa estar fazendo a coisa certa ? quando, na verdade, está entregando o ouro ao bandido.

Invista na educação dos funcionários sobre as ameaças de segurança atuais e melhores práticas; você não poderá eliminar completamente o erro humano, mas pode mitigá-lo. Em termos de segurança de web, Wlasuk recomenda a abordagem ?confie, mas verifique? com os funcionários – não seja paranóico ou questione a cultura de sua empresa, mas tenha certeza de que sua confiança está bem direcionada. Para isso, se alguns funcionários não precisam de acesso ao sistema de gerenciamento de conteúdo ou outros bancos de dados, não libere acesso. Trate as credenciais administrativas do site como ações valiosas da empresa.

?No mínino, reúna sua equipe e explique o que é engenharia social?, comenta Wlasuk, lembrando que existem diversos exemplos que podem servir como bons contos da carochinha. ?Tenha uma conversa casual, faça um almoço educativo – qualquer coisa para que seus funcionários não fiquem totalmente desavisados.?

Trate seu escritório físico como ?área de ataque?

Da mesma forma como seu site pode ter uma porta dos fundos dando boas vindas aos bandidos, seu escritório também pode ter. Wlasuk aconselha a tratar seu escritório físico como ponto de entrada pra seu site – e, é claro, para toda a rede corporativa. Nada de post-it com senhas; cabos de rede soltos, convidando qualquer laptop a se conectar; e faça uma varredura digital completa na rede.

?Todos sabemos que nossos escritórios podem ser uma bagunça?, avisa Wlasku. Isso torna pequenas e médias empresas mais propensas aos ataques de engenharia social. ?O pessoal da limpeza pode deixar que qualquer cara de terno entre, basta dizer que trabalha na empresa, e esses caras vão se sentar e tentar descobrir onde estão as vulnerabilidades.?

Wlasku deixa uma pergunta aos presidentes e gerentes de PME: ?Coisas bobas ficam largadas aí por cima, esperando que alguém as pegue e use contra você??

Tenha um plano de longo prazo

Segurança de web não é uma preocupação inicial que pode ser esquecida depois; as ameaças mudam frequentemente. Mapeamentos automáticos de vulnerabilidades devem fazer parte de um plano contínuo de segurança, de acordo com Wlasuk; e ele aconselha rodar testes a cada três ou seis meses, pelo menos.

?O mundo vai mudar. Os hackers ficarão mais espertos e seu site deve mudar?. Como outros profissionais de segurança, Wlasuk recomenda que PMEs se mantenham atualizadas com a segurança de sistemas operacionais e aplicativos essenciais ao negócio; se você usa um sistema comercial (ou até gratuito) de gerenciamento de conteúdo para administrar sua página, não fique para trás com as atualizações de software.

Revise, periodicamente, também, autorizações de acesso. ?Tenha certeza de que as pessoas que acessam o site realmente precisam acessá-lo?, frisa Wlasuk. ?Você não quer que toda sua equipe tenha permissão para atualizar o website porque eles podem, acidentalmente, introduzir falhas – ou, às vezes, infelizmente, propositalmente. Conceda permissão de acesso somente às pessoas mais confiáveis aos locais sensíveis a riscos de segurança?.