Saiba quais são as ameaças e como garantir a cibersegurança no home office
Com a possibilidade real se ser mantido nas organizações, o home office levanta vários novos desafios. Um deles tem a ver com a cibersegurança. Segundo pesquisa da Microsoft, 26% dos trabalhadores remotos disseram que experimentaram um ciberataque pessoalmente, e porcentagem similar expressa preocupações com a segurança no home office.
Apesar da preocupação, uma pesquisa realizada pela Kaspersky mostrou que 73% dos trabalhadores não receberam qualquer treinamento sobre segurança em TI de seus empregadores desde que fizeram a transição para o home office. O que indica que as organizações estão jogando alto e pagando para ver quando se trata de cibersegurança no home office.
Outro dado trazido pela mesma pesquisa é que 50% das organizações que deixam seus colaboradores trabalharem com equipamentos próprios dizem que eles não têm qualquer política corporativa para regular como são usados, como oferta de softwares antivírus e orientações sobre conexões em roteadores domésticos.
Isso mostra, segundo a pesquisa, o despreparo para enfrentar questões de cibersegurança no home office.
Ao mesmo tempo que um número sem precedentes de pessoas está trabalhando em casa, os riscos de segurança que podem surgir com colaboradores em home office são maiores. Trabalhadores remotos se tornam alvos fáceis porque não há investimento em cibersegurança em casa, como na empresa. Assim, medidas de segurança que a organização já adota nem sempre se aplicam diretamente à proteção de equipes em home office.
Não à toa, gestores de TI de empresas de todo o mundo estão passando por dificuldades nesse momento, que exige tomada rápida de decisão e ação rápida.
Pensando nisso, neste post, partindo dos principais problemas de cibersegurança que afetam o home office, vamos traçar algumas maneiras de fugir de problemas maiores.
Falta de cibersegurança no home office: a ocasião faz o ladrão
Em seu curso sobre Governança e estratégia em segurança da informação nos negócios, Andréa Thomé, especialista e consultora na área, explica o que se chama triângulo da fraude, que causa o crime cibernético:
- Pressão: obtenção de vantagens como crescimento financeiro e profissional, poder etc.
- Oportunidade: visualização de fraquezas inerentes que possam ser exploradas
- Racionalização: conjunto de valores, princípios éticos e educacionais, que podem impedir ou motivar a execução de um crime.
Podemos, a partir do triângulo da fraude, entender como os cibercriminosos estão explorando brechas causadas por:
- Ambiente corporativo de alta pressão, com mudanças drásticas repentinas, decisões e ações rápidas, alta competitividade e até corte de custos;
- Fragilidade da cibersegurança no home office e da gestão de riscos cibernéticos;
- Pouca atenção e conscientização dos usuários.
De acordo com um artigo da Palo Alto, essa conjunção de fatores não tem a ver com tecnologia, mas com o modo como humanos modificaram seu comportamento em resposta à crise. E os cibercriminosos aproveitam as fragilidades oriundas desse período de adaptação.
Um exemplo de ciberataque recente foi o app malicioso desenvolvido como se fosse legitimado pela OMS. Qualquer pessoa poderia confundir facilmente o falso app de um verdadeiro. Ao instalá-lo, o aplicativo ativaria um trojan de banco para roubar dados sensíveis do usuário e o resto da história você já sabe.
A consciência da fragilidade de processos e de pessoas torna a cibersegurança no home office um problema crescente – e não apenas dentro das organização, mas em fornecedores e contratantes.
Como garantir a cibersegurança no home office
Em cibersegurança, assim como em todas as áreas de segurança, o trabalho não é eliminar todos os riscos, até porque nem todos os riscos são igualmente perigosos ou perigosos da mesma maneira. Além disso, os riscos que você enfrenta hoje nem sempre serão os mesmos que você enfrentará na semana que vem.
Cibercriminosos estão monitorando várias oportunidades e, além de treinados, são incansáveis em sua busca. Assim, o trabalho é de gestão de vulnerabilidades.
Então, pensando nas principais para a sua empresa neste momento, atue nas seguintes frentes.
1. Determine as fragilidades em cibersegurança no home office
Já está claro que o modus operandi de quem tem todas as equipes dentro da organização é diferente de quem tem todas elas em casa, eventualmente trabalhando em redes abertas ou com equipamento próprio.
Então, responda que colaboradores estão usando máquinas próprias? Como as informações estão sendo tratadas e armazenadas? Que ameaças estão colocando os processos e ativos da organização em risco e em que grau? Qual o nível de criticidade de cada um deles?
Relacione vulnerabilidade a criticidade a fim de priorizar soluções urgentes e esclarecer que tipo de riscos e ameaças a organização é capaz suportar.
2. Abordagens para sistemas de TI invisíveis
Os sistemas de TI invisíveis, ou seja, não monitorados por não serem oficiais, já são bem comuns.
A questão é que o uso de TI invisível tem crescido durante o home office. Por exemplo:
- 49% dos participantes disseram que aumentaram a frequência de uso do e-mail pessoal;
- 60% disseram que agora usam aplicativos de mensagens com mais frequência;
- 53% dos respondentes afirmaram que usam mais do que antes serviços de compartilhamento de arquivos.
Reveja se os canais oficiais são suficientes para o home office e sua política de uso de sistemas de TI invisíveis, a fim de esclarecer o que só pode ser compartilhado por meio deles, e jamais por canais não oficiais.
3. Conectividade segura
Roteadores domésticos são portas de entrada buscadas pelos cibercriminosos, porque dão acesso a muitas vulnerabilidades. E no home office crackers tiram vantagem do fato de que a conexão de muitas pessoas que estão trabalhando de casa não tem a mesma segurança da que dispõem no escritório.
E ainda assim, dados de outro levantamento da Kaspersky mostram que 40% dos brasileiros simplesmente ignoram os riscos inerentes a roteadores domésticos.
Por isso, adotar, independentemente de quem seja dono do equipamento, e assegurar o cumprimento de políticas claras para que os colaboradores tenham uma conexão segura, a partir de seus roteadores, vai evitar muitos riscos desnecessários. Por exemplo:
- separar a rede de trabalho da de outros dispositivos domésticos que se conectam à internt;
- adotar uma VPN para estabelecer uma conexão segura e criptografar toda a navegação também é uma boa maneira de proteger ativos, mesmo que o roteador doméstico do colaborador seja invadido.
A VPN estendeu uma conexão segura para as casas. Entretanto, atente-se ao fato de que a VPN tem vulnerabilidades também, e elas são ativamente exploradas por cibercriminosos, sobretudo quando as redes domésticas já estão infectadas.
4. Reforçar procedimentos de autenticação
Não hesite em reavaliar procedimentos de autenticação e de optar pela autenticação por dois fatores para todos os programas críticos. É reconhecida a falta de higiene das pessoas com senhas.
Além disso, reitere a necessidade de criar uma senha forte e complexa – com pelo menos oito caracteres entre letras, números e outros sinais –, diferente das outras, para cada sistema. Lembre, ainda, que as todas as senhas precisam ser modificas de três em três meses.
É possível ainda impedir que sejam tirados prints e outras formas de transmissão de dados.
Para ir além, 44% das empresas entrevistadas pela Microsoft disseram que estão abertas a alternativas a senha, como reconhecimento biométrico ou outras formas de verificação
5. Aumentar o nível de conscientização dos colaboradores
É bem documentado que o elo mais fraco dos sistemas de segurança são os usuários. De recepcionistas a C-Suites, todos podem cair em um phishing e passar por um ransomware, por exemplo, ameaça que teve um aumento considerável diante da covid-19.
Quando pessoas saem do escritório para o home office, o problema pode ser maior ainda. Então, após assegurar todos os controles, é necessário capacitar os colaboradores. O relatório da Microsoft mostra que 38% das organizações afirmam que começaram a aumentar os treinamentos e 52% que vão priorizá-los em 2021.
A McKinsey sugere:
- comunicação criativa, focada mais no que fazer do que no que não fazer;
- conscientização sobre o comportameno humano, como gatilhos mentais;
- ações para usuários de alto risco.
Torne contínuo esse processo de educação sobre ameaças e como lidar com elas, jamais supondo que os colaboradores o conhecem. Crie treinamentos específicos, não apenas amplos e genéricos.
Cibersegurança no home office: sempre em update
Cibersegurança, dentro ou fora do home office, é um questão a ser tratada sempre pelas equipes de segurança e de TI.
Zoom, quando teve problemas com cibersegurança, fez rapidamente um update em seus serviços. E certamente fará muitos mais pela frente.
Afinal, assim como inovações em tecnologia surgem para o bem, para melhorar a vida das pessoas, há pessoas inovando e se adaptando para cometer cibercrimes com mais facilidade e sem deixar rastros.
Acha que seu home office está em risco? Solicite nossa avaliação!
Foto: rawpixel.com