A principal medida de combate ao coronavírus é o distanciamento social, o que, para muitas empresas, significa enviar sua força de trabalho para casa.
Mas mudar de repente de uma rede segura no escritório para trabalhar remotamente pode trazer diversos riscos.
O principal deles está relacionado à segurança da informação.
Além dos perigos de usar uma rede privada para acessar dados da empresa, os ataques cibernéticos estão aumentando.
Cibercriminosos já estão usando o coronavírus como isca para ataques de phishing, na expectativa de enganar os menos avisados. A própria OMS foi vítima de um ataque em março, quando hackers tentaram invadir os sistemas da organização.
Quais são as principais ameaças no home office?
O trabalho remoto é uma tendência que vem ganhando espaço a cada dia e, independentemente de ter uma força de trabalho completamente ou parcialmente remota, é preciso ter políticas de segurança que contemplem essa situação.
Dito isso, sem dúvidas lidar com a proteção dos dados de uma equipe que está longe é mais difícil do que quando ela está centralizada no escritório.
Para começar, é preciso entender os principais riscos que o home office oferece à informação da empresa. Vamos dar uma olhada abaixo:
Acessando dados sensíveis por uma rede insegura
Seus funcionários podem estar se conectando aos sistemas da sua empresa através do Wi-Fi que possuem em casa que, certamente, não terá as mesmas proteções que a rede da sua empresa.
O que é pior: eles podem estar usando um Wi-Fi público, como de uma cafeteria ou um shopping, o que representa ainda mais riscos.
Dessa forma, atores mal-intencionados nas proximidades podem facilmente espionar a conexão e coletar informações confidenciais.
Por exemplo, os dados enviados em formato não criptografado em texto sem formatação podem ser interceptados e roubados pelos criminosos cibernéticos.
Por esse motivo, seus funcionários não devem ter permissão para acessar redes Wi-Fi desconhecidas, a menos que estejam usando uma conexão VPN.
Usando dispositivos pessoais para o trabalho
Algumas empresas já começam a utilizar o BYOD, Bring Your Own Device, que incentiva o uso dos dispositivos pessoais para o trabalho.
Contudo, a não ser que que sua empresa já tenha uma política de BYOD forte implementada, é preciso tomar cuidado com o uso de computadores e tablets pessoais para acessar informações de trabalho.
Por exemplo, eles podem deixar a empresa repentinamente, ficar com as informações confidenciais armazenadas em seu dispositivo e você não terá a chance de apagá-las.
Além disso, eles podem não estar mantendo o software atualizado, o que abre brechas de segurança no seu ambiente. Continuamos enfatizando a importância de aplicar patches de software em tempo hábil e por um bom motivo.
O uso de dispositivos pessoais em casa pode tornar ainda mais difícil para sua empresa controlar o que acontece nesses endpoints.
Falta de compliance com as principais regulações
Há um risco maior, porque os funcionários não estão na rede da organização e essa não está totalmente no controle de seus dispositivos.
Essencialmente, a organização perde a segurança de estar em uma área física protegida. Como resultado, ela também se abre a um risco maior de não cumprir adequadamente as regulamentações que exigem um certo nível de segurança da informação.
Por exemplo, uma organização pode ter tomado as medidas para se adequar à LGPD, mas esses controles podem não funcionar quando as pessoas trabalham em casa.
Assim, uma mudança repentina importante, como uma força de trabalho remota em massa, pode acidentalmente levar ao não cumprimento das regulações.
Como se proteger de ataques cibernéticos?
Nesse momento crítico, as empresas têm uma responsabilidade maior de definir expectativas claras sobre como estão gerenciando os riscos de segurança nos novos ambientes de trabalho, aproveitando novas políticas e tecnologias, e capacitando seus funcionários.
Para te ajudar, veja nossas dicas sobre como se proteger de ataques cibernéticos abaixo:
1. Treine sua força de trabalho
Com o rápido aumento do trabalho remoto em mente, a agência européia de segurança cibernética, ENISA, estabeleceu uma série de recomendações para empresas que estão migrando para o home office como resultado do COVID-19.
A ENISA disse que já havia visto um aumento nos ataques de phishing relacionados ao coronavírus.
A agência recomenda, na medida do possível, que os funcionários tentem não misturar atividades de trabalho e lazer no mesmo dispositivo e sejam particularmente cuidadoso com os e-mails referentes ao coronavírus.
Os invasores estão explorando a situação, portanto, fique atento a e-mails e golpes de phishing. O phishing utiliza de engenharia social para criar uma mensagem que pareça legítima e levar o usuário a fazer o download de um arquivo ou abrir um link malicioso.
A principal defesa contra ataques cibernéticos de phishing, como ENISA aponta, é o treinamento da sua força de trabalho.
A agência alertou os funcionários remotos a suspeitarem de qualquer e-mail pedindo para verificar ou renovar suas senhas e credenciais de login, mesmo que pareçam vir de uma fonte confiável.
Peça que eles tentem verificar a autenticidade da solicitação por outros meios, não cliquem em links ou abram anexos suspeitos. Eles também devem estar alertas e suspeitarem de e-mails de pessoas que não conhecem — especialmente se a mensagem incluir links e anexos.
As mensagens de phishing tentam criar uma impressão de urgência para que o usuário entre em pânico e faça o que o hacker pede.
E-mails enviados por pessoas conhecidas, mas solicitando coisas incomuns também são suspeitos — é importante tentar contato por outros e-mails e fazer a confirmação.
2. Use autenticação de dois fatores
O trabalho em home office traz a dificuldade de reconhecer que a pessoa que está acessando seus sistemas é realmente seu funcionário.
Para isso, não somente é importante criar senhas fortes, como também é essencial que você utiliza a autenticação de dois fatores (2FA) para todos os programas e serviços na web que seus funcionários utilizam.
Um dos grandes erros dos usuários é usar a mesma senha para todos os programas que usam. Ainda pior é quando utilizam senhas fáceis de advinhar, como nomes e datas de aniversário.
Oriente-os a criar senhas fortes e, mesmo que trabalhem de casa, a não escrever a senha em nenhum lugar onde outras pessoas possam achar.
As senhas devem ter pelo menos oito caracteres, conter letras maiúsculas e minúsculas, números e símbolos. Elas não devem ser compartilhadas de maneira alguma, nem entre colegas de um mesmo departamento.
A autenticação de dois fatores finaliza a segurança, garantindo que o funcionário precise confirmar sua identidade ao acessar um programa recebendo um código no seu smartphone ou e-mail.
3. Use a criptografia
É surpreendente para muitas pessoas saber que o envio de um simples e-mail não é tão seguro quanto eles pensavam.
Os provedores públicos de serviços de internet examinam suas mensagens e elas são relativamente fáceis de acessar pelos hackers antes de chegarem à pessoa para qual você está enviando.
Com o e-mail criptografado, o que seus usuários enviam é visível apenas entre você e os destinatários. A criptografia reduz bastante o comprometimento de informações importantes por usuários mal-intencionados.
Essa técnica criptografa os dados enquanto trafegam, sendo necessária uma chave para que eles sejam descriptografados. Ela torna as informações ilegíveis, dificultando que pessoas sem autorização leiam a mensagem.
É importante também utilizar sistemas em nuvem que também possuam a criptografia como base da sua segurança.
4. Instale antivírus e firewalls
É preciso garantir que as máquinas que sua equipe usa estão equipadas com as ferramentas de proteção adequadas.
Sem essas ferramentas, pode ficar muito fácil para vírus e malwares assumirem o controle do computador. Isso inclui ransomwares, que fazem o sequestro dos dados da empresa para pedir em troca um valor de resgate.
Quando esses agentes maliciosos obtêm acesso à máquina, você corre o risco de perder os dados ou mesmo ter que reinstalar o sistema operacional e começar do zero.
A instalação de software antivírus é o padrão para ajudar a proteger o computador. Ele pode evitar que as ameaças cheguem aos computadores dos seus funcionários em primeiro lugar.
Garanta a proteção do computadores instalando um bom software antivírus e mantendo-o atualizado. Além disso, o uso de firewalls é essencial. Eles monitoram o tráfego na rede para bloquear possíveis ameaças, de acordo com regras de segurança pré-definidas.
O firewall tem sido a linha de frente no bloqueio de ameaças cibernéticas há mais de 25 anos e continua sendo uma arma fundamental nessa batalha.
5. Utilize conexões VPN
As conexões VPN são cruciais quando os funcionários se conectam a redes não seguras, como pontos de acesso Wi-Fi.
Mesmo quando trabalham em casa, é recomendável que seus funcionários usem a VPN da sua empresa.
Uma VPN funciona roteando a conexão à Internet do dispositivo através do servidor privado da VPN escolhido em vez do provedor de serviços de internet (ISP), para que, quando os dados forem transmitidos à internet, eles venham da VPN e não do computador direto.
O que essa ferramenta faz é direcionar o tráfego através da internet da rede privada da sua organização, garantindo ainda mais segurança. Basicamente, quem tentar interceptar os dados criptografados não poderá lê-los.
Dessa forma, seus funcionários poderão se conectar à intranet da sua empresa, a rede privada projetada para ser usada apenas pela equipe interna.
6. Crie uma política de home office
Então, como você protege os dados privados da sua empresa quando não consegue controlar totalmente os dispositivos usados para acessar sua rede?
O último passo é criar uma política de segurança projetada especificamente para trabalhadores remotos.
Essa política será importante mesmo em um momento em que o coronavírus não faça mais parte da jogada e o home office for uma opção e não uma obrigatoriedade para a empresa.
Abaixo estão as cláusulas de segurança essenciais que devem ser incluídas na sua política de trabalho remoto:
- Defina claramente quais posições são elegíveis para trabalho remoto. Seja transparente com seus funcionários. Todos devem estar cientes de quais funções do trabalho podem funcionar remotamente e quais não são por motivos de segurança. Infelizmente, nem todas as posições são adequadas para o home office e é preciso definir claramente quais são elas.
- Liste as ferramentas e plataformas que eles devem usar. Seus funcionários remotos e no local devem estar sempre na mesma página e usar as mesmas ferramentas aprovadas, como plataformas de armazenamento em nuvem, ferramentas de comunicação / videoconferência, ferramentas de gerenciamento de projetos etc.
- Forneça aos funcionários as etapas a serem seguidas nos primeiros sinais de comprometimento da conta. Se eles acreditam que as informações da empresa foram comprometidas, devem ter um guia claro a seguir, como onde devem relatar o incidente, receber instruções para alterar imediatamente suas senhas etc. Essas etapas devem ser incluídas no treinamento obrigatório de segurança cibernética, juntamente com outros itens, como a criação de senhas fortes.
Conclusão: as ferramentas certas para o trabalho
Todas essas medidas são essenciais não só para o trabalho remoto, mas também para aquele que é realizado dentro das dependências da empresa.
O número de ataques está aumentando a cada ano — para ter uma ideia melhor do cenário, veja o 2019 Data Breach Investigation Report da Verizon, que traz uma visão completa sobre os ataques cibernéticos no último ano.
Diante disso, e considerando que o home office deve crescer, mesmo após o coronavírus, é preciso optar pelas ferramentas certas, com as devidas medidas de proteção para garantir a segurança dos dados.
O Microsoft 365, por exemplo, oferece criptografia dos dados, autenticação multi-fator e proteção em camadas com a assinatura da nuvem Azure, uma das principais infraestruturas em nuvem do mundo.
Conheça um pouco mais sobre o pacote Microsoft 365 e veja o que ele pode oferecer para a proteção dos seus sistemas!