Resseguros
Product Family
Sinistros
Consultoria de Risco
Recursos & Ferramentas
Recursos & Ferramentas
Fale conosco

Alterar padrões de trabalho

Com a atual propagação do coronavírus, as orientações governamentais estão mudando rapidamente. Em muitos países é pedido, pela primeira vez, para que pessoas saudáveis evitem exposição pública desnecessária, por exemplo, em grandes aglomerações, nos transportes públicos... e no local de trabalho.

Como resultado, muitas empresas em todo o mundo estão agora planejando, ou implementando, um modelo de negócio envolvendo um número muito mais elevado de trabalhadores remotos do que alguma vez tinham antecipado. As equipes de TI e de gestão estão trabalhando arduamente na infraestrutura e na organização para tornar isto possível. Na pressa de manter as empresas funcionando, há o risco significativo de não se ponderar bem a segurança.

As boas práticas empresariais de segurança cibernética, em qualquer circunstância, devem levar em consideração o seguinte:

  • A tecnologia e a infraestrutura utilizadas estão protegidas contra pessoas mal-intencionadas dentro e fora da organização?
  • Todos os funcionários da empresa, prestadores de serviços e terceiros relevantes têm instruções e orientações claras sobre como realizar o seu trabalho de uma forma segura?
  • Há medidas de segurança implementadas que impeçam os funcionários de realizar o seu trabalho de forma eficiente?

Se tiver sido implementado o nível correto de segurança, a sua empresa estará bem posicionada para se defender de ameaças de risco cibernético. Um nível extremamente baixo a tornará suscetível. Demasiada segurança aplicada de forma errada fará com que os seus funcionários sintam-se sufocados e comecem a encontrar alternativas, o que acabará por deixar sua empresa vulnerável de qualquer maneira.

Recomendações de segurança fundamentais para quando se cria capacidade remota
Neste contexto, apresentamos abaixo uma lista, elaborada pela S-RM, de algumas áreas fundamentais a serem consideradas quando se planeja ou implementa capacidades de trabalho remoto.

Proteger dispositivos
Uma consideração fundamental para trabalhadores remotos é que eles podem usar laptops, celulares, tablets e outros dispositivos para trabalhar. Muitas empresas fornecem equipamento adicional aos seus trabalhadores para que consigam manter a sua eficácia fora do escritório. No entanto, é muito importante que esteja ciente do seguinte:

Certifique-se de que há uma gestão eficaz de ativos implementada. Saiba que dispositivos têm acesso à sua rede e aos seus dados, efetue planos para eventuais alterações e bloqueie ou remova equipamento obsoleto da sua rede antes que este se torne um ponto fraco na sua segurança.

Todos os dispositivos da empresa, especialmente os que foram levados para fora do escritório, devem estar criptografados, de modo a proteger os dados em caso de perda ou roubo.

  • Utilize o BitLocker ou uma solução de terceiros adequada para dispositivos Windows
  • Certifique-se de que a criptografia está ativa em dispositivos Apple (normalmente está)
  • Certifique-se de que está implementada uma criptografia adequada nos outros dispositivos móveis

Caso permita que os funcionários utilizem os seus dispositivos pessoais, considere se os dados empresariais estão devidamente protegidos. As soluções de gestão de dispositivos móveis podem ajudar a proteger dados nestes dispositivos ou poderá simplesmente restringir o acesso dos funcionários a determinados dados.

Não se esqueça do equipamento que ainda está no escritório: com os funcionários trabalhando remotamente, há segurança física suficiente nas suas instalações para proteger servidores, computadores e outras partes da sua rede contra pessoas mal-intencionadas?

Na medida em que mudam-se dispositivos e funcionários de lugar, não se esqueça de outras preparações de segurança diárias. Por exemplo, as senhas fortes, as contas de administradores locais adequadas e protegidas e o controle sobre as aplicações e serviços da sua rede continuam sendo muito importantes.

O acesso à rede deve ser fácil para usuários legítimos, mas deve estar bloqueado (ou, pelo menos, ser muito difícil) para qualquer outra pessoa.

Proteger as suas redes
Se os seus pontos terminais e servidores estão devidamente protegidos, é importante garantir que consigam estabelecer uma ligação entre si. O acesso à sua rede deve ser fácil para usuários legítimos, mas deve estar bloqueado (ou, pelo menos, ser muito difícil) para qualquer outra pessoa. Leve em consideração o seguinte:

  • Método de conexão: VPN bem configurados em todos os dispositivos dos funcionários permitem um acesso seguro à rede através de um túnel privado. Outras soluções de acesso seguro estarão disponíveis para casos específicos de utilização. Caso precise que os funcionários conectem-se a partir da Internet, eles se conectarão a uma firewall externa específica ou a um serviço de nuvem bem gerido, como o Office 365. Ao planejar o acesso de usuários, tente limitar ao máximo a exposição de outras áreas da sua rede à Internet e às várias ameaças.
  • Restringir o acesso: muitos tipos de conexão podem ser configurados de forma a aumentar a proteção contra pessoas mal-intencionadas. Se estiver utilizando um serviço de nuvem, como o Office 365, considere restringir o acesso, se possível, a dispositivos específicos, a determinadas gamas de IP ou a certos tipos de conexão. Os firewalls e outros serviços irão oferecer muitas opções semelhantes para fazer uma gestão cuidadosa das regras de acesso. Considere aplicar também restrições dentro da sua rede, impedir conexões ou contas de usuários de irem além de certas áreas reduzirá o risco de um funcionário não protegido ou de uma vulnerabilidade imprevista.
  • Autenticação forte: o próximo passo na proteção dos acessos é garantir que são impostas políticas de senha forte e autenticação multifator. A imposição de políticas de senha forte é imprescindível para todos os serviços, não apenas para aqueles que devem estar acessíveis ao público. A autenticação multifator deve ser utilizada sempre que tal seja viável para a sua empresa. Não se esqueça de que existem vários tipos de autenticação. Em alguns casos, as mensagens de texto parecem ser o caminho mais fácil, se tiver tempo para configurar uma aplicação de autenticação, a sua empresa estará mais bem protegida; noutros casos, uma autenticação baseada em dispositivo poderá ser o mais apropriado para reduzir a frustração dos funcionários.
  • Pense em tudo: para proteger uma rede, devem ser levadas em consideração todas as diferentes maneiras que permitem o acesso. Como é que os seus funcionários estão acessando suas caixas de e-mail a partir dos respectivos dispositivos móveis? Os funcionários têm que conectar-se à tecnologia operacional, como equipamentos fabris (e é seguro deixá-los)? Como está estruturado o acesso remoto ao ambiente de trabalho na sua rede? Caso não proteja estes procedimentos, irá criar vulnerabilidades; caso não disponibilize estes procedimentos, irá impedir os funcionários de desempenharem as suas funções.

Proteger as conexões dos funcionários
A rede pode estar completamente protegida do seu lado, mas os dados têm de vir de algum lugar. Todos os funcionários encontram-se fora do seu ambiente seguro; cabe muitas vezes a eles garantir que estão agindo de forma adequada. Ajude fornecendo-lhes orientações apropriadas (discutido mais abaixo) relativas a tópicos como:

  • Configurar uma rede wi-fi doméstica: muitas vezes, os usuários domésticos comuns negligenciam alguns princípios básicos de segurança quando configuram os seus ambientes. Ajude os seus funcionários com recomendações simples aprovadas pela equipe sênior de liderança. Princípios básicos como alterar o nome da rede e as credenciais de acesso e de administrador são fundamentais e os funcionários também devem garantir que foi aplicada uma criptografia de rede adequada, que o acesso remoto está desativado e que o software está sempre atualizado.
  • Acesso a outras rede: poderá querer considerar a possibilidade de proporcionar orientação aos seus funcionários sobre a (não) utilização de redes wi-fi públicas, sobre como os nomes das redes podem ser falsificados e sobre como podem ser lançados ataques de hackers em redes wi-fi públicas. Grande parte das orientações sobre a utilização de redes wi-fi públicas para fins empresariais é atualmente muito semelhante, mas ao estabelecer especificamente as suas próprias regras e orientações, pode certificar-se de que os seus funcionários compreendem quais as boas práticas a seguir. Não se esqueça de mencionar os outros riscos de trabalhar em locais públicos, relacionados, por exemplo, com ligações Bluetooth e olhares intrometidos.
  • Canais de comunicação: certifique-se de que os seus funcionários percebem perfeitamente como devem comunicar consigo, com terceiros e com os colegas. Deixe bem claro que os e-mails de trabalho devem limitar-se às contas profissionais e especifique os serviços de mensagens que devem usar (tem uma solução empresarial específica ou podem usar o WhatsApp?). Caso não se certifique de que há linhas claras de comunicação disponíveis, não demorará muito até que os seus funcionários comecem a enviar uns aos outros senhas ou nomes de clientes por mensagens de texto, com todos os riscos associados. Caso forneça soluções claras, poderá monitorá-las de forma eficaz no que diz respeito a possíveis ameaças, movimentos de dados inapropriados e outras finalidades de negócio.
  • Cuidado com ataques de phishing relacionados com o coronavírus: àsemelhança de outros grandes eventos mundiais, o surto de COVID-19 representa uma oportunidade para pessoas mal-intencionadas, desde simples trapaceiros a grupos de hackers financiados por governos. Pessoas e empresas em todo o mundo serão alvos de campanhas de phishing desenvolvidas para tirar partido do medo do vírus e da falta de informações confiáveis sobre o surto. Deve-se ter um cuidado redobrado no que diz respeito a comunicações, ligações, documentos compartilhados ou pedidos de informação relacionados com o coronavírus. Avisar os seus funcionários destas situações irá reduzir a ameaça para eles e para si.

Informar os seus funcionários
Todos os pontos acima referem-se às áreas importantes sobre as quais orientações podem ser fornecidas aos seus funcionários, mas, na verdade, uma comunicação clara e eficaz é um dos passos mais importantes que pode se tomar em qualquer circunstância. Mesmo que já tenha implementado um plano claro e uma infraestrutura segura, se os funcionários não tiverem informações claras, irão acabar por cometer erros ou, então, irão assumir que não tem um plano e irão começar a tomar as suas próprias medidas (potencialmente inseguras ou improdutivas).

Certifique-se de que os seus funcionários estão bem informados, pelo menos com uma semana de antecedência, se possível, sobre que dispositivos podem usar, que serviços podem acessar e como devem fazê-lo. Mantenha-os atualizados em caso de alterações. Alguns funcionários poderão não ter o acesso de que precisam; terá de encontrar uma solução antes que eles decidam resolver o problema sozinhos. Caso os acessos ainda não estejam configurados, os funcionários devem saber para quando é que a implementação está planejada, para que possam agir em conformidade e, se possível, devem saber quais as soluções alternativas que estão temporariamente disponíveis.

As comunicações deste tipo não são um assunto apenas das equipes de TI e de cibersegurança. As comunicações com os funcionários em relação ao acesso remoto devem ser supervisionadas por gestores executivos. Apesar de as equipes técnicas poderem fornecer as orientações e soluções adequadas de que os funcionários precisam, estas informações devem ser preparadas e redigidas de forma eficaz, para que possam ser fornecidas numa linguagem clara e simples, usando um método apropriado e comunicadas num momento oportuno. Mais importante ainda, as orientações ou políticas devem ser claramente apoiadas pela equipe de liderança da organização, para garantir que existe a autoridade e claridade necessárias para convencer os funcionários a seguir as recomendações apresentadas.

Na medida do praticável, certifique-se de que também fornece informações suficientes a terceiros, incluindo clientes que precisam de acesso à sua rede. Eles também irão precisar saber como contatá-lo, como acessar serviços e infraestruturas relevantes e o que se espera deles em termos de segurança. Certifique-se de que os seus planos e requisitos estão claramente definidos e, depois, informe-os de forma clara e decisiva sobre como irá manter sua operação. Se a situação sofrer alterações, considere quando será mais eficaz atualizá-los.

Planejar para o pior
Todos os profissionais de cibersegurança sabem que nunca ninguém está absolutamente a salvo de ataques maliciosos. A combinação da exposição crescente derivada do trabalho remoto com a confusão e prazos apertados de resposta à situação em constante mudança do coronavírus apenas aumenta este risco.

Se tiver implementado planos eficazes de resposta a incidentes cibernéticos, de gestão de crises e/ou de recuperação de negócios, é importante que os reveja à luz do seu novo ambiente operacional. Consegue acesso a todos os equipamentos que terá de testar ou reconfigurar? Os seus dados ainda estão sendo copiados para um local seguro? Os seus usuários continuam respondendo de forma eficaz às tentativas de phishing ou outros indicadores de incidentes cibernéticos? Como irá manter as comunicações entre os principais gestores de crises se todos os seus computadores portáteis e dispositivos móveis estiverem criptografados com ransomware? Se ainda não testou o seu plano, este pode ser o momento errado para começar, mas, no mínimo, todos os funcionários relevantes compreendem claramente o plano e de que forma a situação atual o alterou?

Caso não tenha implementado estes planos, muito provavelmente não tem tempo agora para criá-los, mas é importante que, pelo menos, considere os princípios básicos. Sabe onde é que os seus dados principais estão armazenados? Sabe quais são os serviços fundamentais para a sobrevivência da sua empresa? Tem canais de comunicação suplementares, independentes da sua rede? São efetuadas, e atualizadas com frequência, cópias de segurança dos dados em locais separados?

Acima de tudo, na situação atual, quem estará encarregado de responder a uma crise? Quais outras pessoas terão de ser informadas? Como é que se coordenarão e quem é que os substituirá quando precisarem descansar?

Evolução
Conforme mencionado anteriormente, a situação global e as recomendações dos governos estão mudando rapidamente. À medida que o tempo passa, as empresas poderão ter mais tempo para implementar medidas adicionais e para se adaptarem melhor à nova situação ou novos eventos poderão forçá-las a continuar a reagir. Em qualquer um dos casos, é importante que se considere o seguinte:

  • A cibersegurança deve fazer parte do seu planejamento empresarial e de TI, não deve ser apenas algo que é adicionado no fim onde será ineficaz ou irá atrapalhar.
  • Preste sempre atenção aos seus principais dados, ativos e serviços que precisam de proteção
  • Considere sempre toda a sua rede ou organização. Tenha cuidado para não deixar brechas nas suas defesas ou legitimar necessidades empresariais que está inadvertidamente a bloquear.
  • Comunique-se com os seus funcionários. Utilize mensagens claras e simples, certifique-se de que as informações fornecidas são autorizadas e bem fundamentadas e explique como devem agir para poderem desempenhar eficazmente as respetivas funções.

Está disponível uma versão para download deste alerta de riscos cibernéticos aqui. (Inglês)

Sobre os autores
John Coletti é Diretor Executivo de Subscrições e Responsável pela unidade de Tecnologia e Cibernética da América do Norte na AXA XL, uma divisão da AXA. Pode ser contactado através do e-mail john.coletti@axaxl.com. Aaron Aanenson é diretor de cibersegurança na S-RM. Pode ser contactado através do e-mail a.aanenson@s-rminform.com.


  • Sobre o Autor
Seu primeiro nome
Seu Sobrenome
Selecione o seu País
E-mail
Invalid Captcha