ESET compartilha conselhos para que as empresas possam permanecer produtivas e, ao mesmo tempo, seguras
O surto de coronavírus (COVID-19) foi oficialmente classificado como uma pandemia pela Organização Mundial da Saúde (OMS), o que significa que a infecção está se acelerando em vários países ao mesmo tempo. Grandes empresas, como o Google e a Microsoft, estão incentivando ou instruindo seus funcionários a trabalhar remotamente em casa. No entanto, em muitas outras organizações, principalmente as pequenas e médias empresas, é provável que a situação seja diferente.
Nesse sentido, a ESET, empresa líder em detecção proativa de ameaças, analisa a situação e compartilha as recomendações para que as organizações possam permanecer produtivas e, ao mesmo tempo, seguras. Para ser produtivo, existem requisitos comuns de que todos os funcionários remotos precisam: um computador, uma boa conexão à internet, aplicativos de bate-papo e videoconferência, um espaço de trabalho dedicado (preferencialmente) e um telefone (opcional, já que a maioria dos aplicativos de mensagens permite fazer chamadas diretas).
"É importante destacar que empresas e organizações também devem se preparar, assim como seus funcionários, para enfrentar os riscos relacionados à segurança cibernética com trabalho remoto", destaca Camilo Gutiérrez, chefe do laboratório de pesquisa da ESET na América Latina.
A ESET alerta sobre alguns dos desafios que devem ser enfrentados:
1 - Segurança física dos dispositivos da empresa
Enquanto os funcionários não levarem em consideração as medidas de segurança, eles estarão expondo os dispositivos da empresa a um risco maior. Os dispositivos devem ser protegidos contra perda e roubo com opções como:
- Criptografia completa do disco que garante que, mesmo nas mãos erradas, os dados não possam ser acessados.
- Senhas fortes para efetuar login, configuração do computador para suspender com base no tempo de inatividade e anotações com senhas longe do computador, como ponto básico.
2 - Ambiente tecnológico do lar
Também é necessário auditar as vulnerabilidades no ambiente doméstico antes de conectar os dispositivos de trabalho. Este é um ótimo momento para tomar medidas para protegê-los com senhas fortes e atualizar o firmware e o software para as versões mais recentes disponíveis.
3 - Acesso à rede e sistemas da empresa
Tanto para e-mail armazenado em nuvem quanto para informações internas, os funcionários precisam acessar a rede da organização:
- Recomenda-se que isso seja permitido apenas a partir de um dispositivo pertencente à organização, para que o equipamento conectado esteja sob o controle da equipe de tecnologia e segurança. No caso de usar um computador pessoal, aplicar anti malware, firewalls etc., a mesma política de segurança que se aplica a um computador gerenciado pela organização. Se necessário, fornecer ao usuário uma licença para as mesmas soluções usadas nos dispositivos de propriedade da organização.
- Sempre usar uma VPN para conectar trabalhadores remotos à rede interna da organização, evitando ataques Man-in-the-Middle, pois o tráfego fluirá pelas redes públicas.
- Considerar o uso de máquinas virtuais para fornecer acesso - isso mantém o funcionário em um ambiente controlado e limita a exposição da rede da empresa ao ambiente doméstico.
- Evitar o uso de dispositivos externos, como armazenamento USB ou dispositivos periféricos. Limitar a capacidade de armazenar, baixar ou copiar informações, pois pode ocorrer uma violação de qualquer dispositivo que contenha dados confidenciais da empresa.
- A autenticação multifator (MFA) garante que o acesso, tanto em serviços baseados na nuvem como no acesso total à rede, seja acessado apenas por usuários autorizados. Sempre que possível, usar um sistema baseado em aplicativo ou um token de hardware para gerar códigos exclusivos que concedem acesso autenticado.
4 - Ferramentas colaborativas e processos de autorização
- Usar ferramentas colaborativas para se proteger contra instruções ou transações não autorizadas. É provável que os cibercriminosos aproveitem a oportunidade de muitas organizações implementarem o home office para lançar ataques de Compromisso de E-mail Comercial (BEC). Nesses casos, um agente malicioso envia uma mensagem falsa, classificada como urgente, solicitando a transferência imediata de fundos, sem a possibilidade de validar a solicitação pessoalmente. Certifique-se de usar os sistemas de videoconferência/bate-papo como parte formal do sistema de aprovação, para que a validação seja feita pessoalmente, mesmo quando remoto.
5 - Treinamento
Existem inúmeros golpes em circulação que usam o tema COVID-19 de diferentes maneiras. Os treinamentos de conscientização sobre segurança cibernética costumam ser um requisito anual nos escritórios e seria sensato fazer uma revisão para ajudar a evitar o erro humano que os cibercriminosos buscam.
6 - Suporte e gerenciamento de crises
Na pressa de fornecer acesso remoto, é importante não sacrificar a segurança cibernética ou a capacidade de gerenciar sistemas e dispositivos. Além disso, é essencial fornecer suporte aos usuários que trabalham remotamente para garantir uma operação tranqüila, tanto com suporte de TI quanto com gerenciamento de crises. Isso é importante especialmente no caso destes funcionários enfrentarem problemas incomuns ou da área de TI suspeitar que possa haver uma violação.
Além disso, a ESET recomenda seu guia de home office para empresas focadas em aspectos de segurança e o portal #quenãoaconteca, com informações úteis para evitar que situações cotidianas afetem a privacidade on-line.
