Segurança de dados: como deixar seu hospital vulnerável ao cibercrime em 10 passos
Achar que um ataque cibernético nunca vai acontecer na sua instituição de Saúde é quase um convite ao criminoso. Existem diversas maneiras de permitir que o ambiente virtual fique desprotegido. (Spoiler: você pode estar fazendo isso, mesmo sem querer!)
Basta encontrar uma brecha, que pode ser desde um clique desavisado em um link malicioso a um “inocente” software pirata, para um cibercriminoso ter sucesso em seu ataque cibernético. Não à toa, empresários de todo o planeta, em todos os setores, tremem só de pensar em ter suas redes invadidas e seus dados sequestrados, porque esses ataques são cada dia mais ousados e frequentes.
Por isso, é preciso investir em prevenção. É verdade que não é possível estar 100% blindado. Porém, hoje há diversas ferramentas e ações que ajudam a reduzir os riscos significativamente.
Caso você queira deixar seu hospital vulnerável ao cibercrime, basta seguir os passos abaixo. E, se não quiser, é só fazer o oposto.
- Usar Windows (ou qualquer outro software) pirata
“Se você não usa Windows original, não consegue atualizá-lo. Para fazer isso, precisa usar uma ferramenta que burle o sistema e ela sempre vem com uma infecção de presente. Ninguém dá nada de graça”, alerta Filipe Luiz Antonio, analista de infraestrutura senior da Flowti. Segundo ele, muitas empresas ainda seguem de portas abertas sem Windows ou outros softwares originais.
- Não priorizar a segurança de dados
Remediar quando um problema acontece sai bem mais caro do que prevenir-se contra ele. Ou seja, se sua empresa é atacada, será preciso arcar com os prejuízos causados pelo crime e, depois, proteger seu sistema de qualquer forma. Por isso, deixar para pensar em segurança do ambiente virtual apenas quando um ataque acontece, não só deixa a sua empresa vulnerável como representa um alto risco para o caixa.
- Trabalhar com máquinas desatualizadas
Com a evolução dos ataques cibernéticos, que estão cada dia mais sofisticados, utilizar máquinas desatualizadas não é uma opção. O ransomware, por exemplo, ataca as vulnerabilidades do Windows, que precisa estar sempre em dia com sua atualização para evitar invasões. Sem falar que máquinas antigas não suportam novos antivírus. “Mas e o Linux?”, você pode perguntar. Apesar de sofrer ataques com menos frequência, está longe de ser seguro sem atualizações e outras ferramentas de proteção. O mesmo princípio acima vale para o Antivírus. Economizar neste item tão fundamental para a segurança da empresa é abrir as portas para o criminoso.
- Menosprezar o monitoramento
Monitorar os ativos críticos é essencial para prevenir grandes problemas. Ok, é fato que não dá para saber quando um criminoso vai tentar invadir o sistema da sua empresa, mas o monitoramento do ambiente de TI pode diminuir drasticamente os riscos. Ele pode ser feito tanto por uma equipe interna como terceirizada.
- Deixar o firewall obsoleto
Assim como o antivírus, o firewall é usado para garantir a integridade da rede, por meio de análise e filtro do tráfego. Quando ele está obsoleto, pode haver falhas ao barrar o tráfego com possível ameaça para o sistema.
- Desconhecer a vulnerabilidade de sistemas
Utilizar softwares antigos ou mal configurados deixa a rede exposta. Portanto, identificar esses pontos de ameaça e procurar corrigi-los é imprescindível para a segurança do ambiente digital.
“Se a empresa está crescendo, a TI tem de crescer junto. Então, é fundamental ter profissionais especializados. Não adianta ter tudo de ponta e uma pessoa sem conhecimento.”
Filipe Luiz Antonio, analista de infraestrutura senior da Flowti
- Ter pessoas não capacitadas na área TI
Quem cuida da segurança cibernética da empresa precisa estar bem preparado. TI não pode apenas “apagar incêndio”. “Se a empresa está crescendo, a TI tem de crescer junto. Virão novos funcionários, precisa dar maquinário para essas pessoas. Então, é fundamental ter profissionais especializados na TI. Não é mais possível ter apenas aquele técnico júnior tomando conta da minha rede. Tenho de ter alguém que realmente saiba o que está fazendo. Não adianta ter tudo de ponta e uma pessoa sem conhecimento”, alerta Filipe.
- Não educar os colaboradores sobre segurança cibernética
A segurança de dados é um assunto de todos os colaboradores, não somente da TI ou da alta diretoria. Uma rede pode ser invadida – e geralmente é isso que acontece – quando um funcionário sem conhecimento entra em um link ou abre um arquivo de um e-mail phishing, por exemplo. “É importante treinar as pessoas, para elas entenderem o que é um ransomware, um e-mail phishing, quais os sites que podem entrar. Em 3 horas de conversa, você consegue treinar os colaboradores e criar uma cultura de entendimento do que é um crime desta natureza”, diz Filipe.
- Negligenciar o backup
“Não precisa nem mesmo acontecer um ataque. Se seu servidor quebrar, perde o HD e os dados. O que fazer?”, questiona Filipe, que responde à própria pergunta: “é preciso ter um backup íntegro.” Ele pode ser, por exemplo, armazenado na nuvem, garantindo uma segurança maior contra ataques.
- Não disponibilizar equipamentos aos colaboradores
Home office bom é home office seguro. Isso significa que, para preservar a segurança da empresa, é importante que os colaboradores não usem computadores pessoais para o trabalho, pois não terão o mesmo nível de proteção que o equipamento corporativo.
“A gente sempre instrui as empresas a equipar os colaboradores, porque só assim elas têm o controle, sabendo que o computador está com antivírus instalado e com todas as atualizações feitas. Computadores pessoais são sempre um risco, pois outros membros da família acabam utilizando o equipamento. Alguém pode acabar baixando algo com um artefato de vírus sem querer. E muitas vezes, o antivírus caseiro não vai detectar. E quando a pessoa fecha uma VPN com a empresa, a partir do seu computador pessoal, o vírus encontra um caminho livre para a infecção”, explica Filipe.