Posted by Vivemos numa era em que a informação é um dos activos mais valiosos de qualquer organização. Para pequenas e médias empresas (PMEs), a perda de dados, uma violação de segurança ou um simples ataque de ransomware pode significar não apenas prejuízos financeiros, mas também danos irreparáveis à reputação e à confiança dos clientes, e em casos extremos, levar ainda mesmo a falência a empresa.
Ao ouvir falar em cibersegurança, muitos gestores têm a impressão inicial de que se trata de algo extremamente caro, reservado a grandes empresas com equipas de IT dedicadas e orçamentos altos. Este receio é compreensível, os produtos e serviços de segurança mais conhecidos no mercado tendem a ser caros, complexos e voltados para grandes empresas.
Mas hoje vamos tentar desmistificar esta noção e mostrar que cibersegurança não precisa de levar ninguém a falência.
Com decisões estratégicas, boas práticas, e a escolha de ferramentas acessíveis (algumas delas gratuitas), é perfeitamente possível implementar uma arquitectura de segurança robusta e eficaz adaptada à realidade das PMEs.
Mais importante ainda: investir em segurança da informação não é um luxo — é uma necessidade básica de continuidade do negócio.
Para estruturar a arquitectura de forma clara e fácil de acompanhar, vamos dividir ela em 4 categorias principais:
- Camadas de seguranças
- Políticas de segurança
- Ferramentas de segurança
- Procedimentos e formação
Camadas de segurança
Separe a sua rede em segmentos diferentes, para melhor controle de que utilizadores têm acesso a que activos de rede.
Crie um segmento para serviço de DMZ e siga as seguintes recomendações:
- Router com firewall integrada (ex: MikroTik, Ubiquiti ou modelos avançados da TP-Link)
- Configure a firewall para bloquear portas não utilizadas e limitar o tráfego de entrada
- Desactivação do UPnP e protocolos inseguros ou que não são utilizados na empresa (ex: Telnet, RDP, SSH, etc)
Crie pelo menos dois segmentos para rede interna e siga as seguintes recomendações:
- Separe os servidores e dispositivos de gestão da rede dos utilizadores
- Wi-Fi empresarial com WPA3 (ou no mínimo WPA2 com password forte)
- Rede Wi-Fi convidada separada da rede interna
Políticas de segurança
Defina políticas de segurança robustas que irão limitar a capacidade dos utilizadores de causarem estragos caso alguma ameaça invada a sua rede corporativa.
- Política de password
- Mínimo 12 caracteres
- Utilização de gestor de password (ex: Bitwarden, KeePass)
- Renovação a cada 3 ou 6 meses (se possível active o MFA em vez de mudança constante)
- Política de Acesso
- Privilégios mínimos para todos os utilizadores
- Contas separadas para administração e uso diário
- Registos de acesso aos sistemas críticos (salvar os logs para auditoria e investigações sempre que necessário)
- Política de backups
- Backup diário ou semanal dos dados críticos (dependo da frequência com que os dados são alterados ou da sua importância)
- Testes periodicos de restauro (mensais, trimestrais ou semestrais, dependendo da política interna definida pelo corpo directivo)
- Armazenamento externo de backups (evita guardar os backups no mesmo servidor e se possível, encripte os backups para evitar o acesso fácil)
- Política de uso dos activos da empresa
- Definir claramente o uso aceitável dos sistemas da empresa
- Proibição de instalação de software não autorizado (defina uma lista de softwares ou categorias de softwares autorizados)
- Acesso limitado a websites de risco (via DNS filtrado)
Ferramentas de segurança
A lista de ferramentas a serem utilizadas para se atingir a arquitectura proposta difere de empresa para empresa, bem como a familiaridade dos profissionais de IT com as próprias ferramentas, no entanto, segue abaixo uma lista de ferramentas que pode ser usada como referência para quem não sabe por onde começar.
| Categoria | Ferramenta | Proprietário ou Software Aberto |
|---|---|---|
| Firewall e router | MikroTik, Ubiquiti | Proprietário |
| Antivírus | Windows Defender / Sophos | Proprietário (gratuito) |
| Gestão de senhas | Bitwarden / KeePassXC | Software aberto |
| Backup encriptado | Veracrypt + Google Drive | Proprietário (gratuito) |
| DNS filtrado | NextDNS / OpenDNS | Proprietário (gratuito) |
| VPN | WireGuard / OpenVPN | Software aberto |
| Monitorização de dispositivos | Wazuh ou Zabbix (básico) | Proprietário (gratuito) |
| Email e ferramentas de colaboração MFA | Google Workspace / Zoho Mail / Microsoft 365 / Nextcloud | Proprietário |
| Gestão de patches e acesso remoto | Action1 | Proprietário (gratuito) |
| Configuração de login único (SSO) | Authentik / Authelia | Software aberto |
Procedimentos e formação
Defina políticas para a organização e crie um processo de acolhimento para garantir que os mesmos são apresentados a todos os novos membros da empresa, evitando assim que os controles implementados sejam violados.
- Formação básica de cibersegurança para todos os colaboradores (phishing, senhas, backups)
- Simulações de phishing periódicas (ferramentas como Phish Insight)
- Procedimentos para resposta a incidentes
- Registo de activos e acessos
- Manual de políticas internas
- Checklist mensal ou trimestral de conformidade de segurança: actualizações, backups, acessos, logs
A principio, a lista de coisas a serem implementadas pode parecer extensa, no entanto, a medida que os pontos principais forem atacados, um de cada vez, o profissional vai notar que é possível se ter uma política de segurança robusta mas que não esgote a equipa técnica ou seja tão despendioso para a empresa.
