Como deve definir as suas políticas de segurança para os colaboradores que trabalham a partir de casa? Quais são os potenciais culpados de uma força de trabalho remota? E será que o BYOD está a colocar a sua organização em risco desnecessário de uma violação de dados? Há quem ame e há quem deteste, mas não vale a pena fechar os olhos ao enorme aumento do número de colaboradores a trabalhar a partir de casa.
Desde que a covid virou o mundo do avesso em 2020, trabalhar remotamente tornou-se a norma... e uma nova ameaça à segurança de dados. A covid-19 enviou os colaboradores para os escritórios em casa. Por todo o mundo, os trabalhadores têm trabalhado a partir de casa, mas nem todas as empresas conseguiram acompanhar do lado das políticas de segurança.
Com base no 2022 Verizon Data Breach Investigations Report , 82 % de todas as violações de dados envolvem o elemento humano. Provavelmente já sabe demasiado bem como é difícil manter esses humanos sob controlo, do ponto de vista da segurança, mesmo quando estão todos no mesmo edifício. Mas garantir que todos estão a ser cuidadosos quando estão fora da vista? Tem a certeza de que as suas orientações de trabalho a partir de casa para os colaboradores estão atualizadas?
Com 8 em cada 10 pessoas a trabalhar quer num ambiente totalmente remoto quer híbrido (e prevê-se que os números aumentem, com base num estudo da AT&T de 2022), definir e manter uma política de trabalho a partir de casa não é apenas importante; é crítico para a segurança de qualquer organização.
Antes de mais, sejamos claros numa coisa: chama-se "trabalho a partir de casa", mas, a menos que esteja especificamente a restringir os seus colaboradores de trabalharem fora da residência, eles podem estar em qualquer lado: de um café no centro a uma praia do outro lado do mundo.
Isso requer planeamento mais inteligente, políticas mais fortes e melhor comunicação com os colaboradores da sua parte.
O trabalho remoto coloca uma vasta variedade de riscos de cibersegurança, devido a todos os cenários e versões potenciais de trabalho remoto. Algumas considerações potenciais:
As medidas de segurança que define para a sua organização dependerão das circunstâncias específicas. Mas não precisa de reinventar a roda.
Já existem inúmeras regulamentações que a sua organização pode ou não ter de cumprir e que já especificam as políticas de trabalho remoto mais importantes.
Pode também usar a ISO 27001, uma orientação importante para o estabelecimento de um sistema eficaz de gestão da segurança da informação, para definir a melhor política de segurança de dados possível para a sua organização. Saiba mais sobre a ISO 27001
Pode ser tão simples como garantir que o router wifi de casa dos seus colaboradores não está ainda com a palavra-passe predefinida e insistir que nunca usem wifi público para se ligarem aos sistemas da sua organização, a menos que utilizem a VPN da sua organização (uma rede privada virtual).
Uma VPN encriptará os dados enviados e recebidos, prevenindo fugas de dados. É como um disfarce para a identidade online dos seus colaboradores e para os seus dados sensíveis.
Imponha uma política forte de palavras-passe e exija a alteração de palavras-passe periodicamente, mas não fique por aí. Faça com que os seus colaboradores usem autenticação de dois fatores para iniciar sessão nos sistemas da sua organização como camada extra de proteção.
Pode ser desde a utilização de palavras-passe de uso único à utilização de biometria.
A autenticação de dois fatores pode reduzir drasticamente o sucesso de ataques de phishing e de malware, uma vez que estes dependem frequentemente do roubo de informação como palavras-passe para infiltrar um sistema.
Já ouviu falar de Zero Trust? A abordagem Zero Trust é um modelo de proteção contra a perda de dados em evolução, baseado na necessidade de autenticar e autorizar qualquer acesso à rede, porque a confiança não é assumida mesmo que já tenha sido concedida. É uma excelente ferramenta que o pode ajudar a definir os seus requisitos de autenticação.
A encriptação significa que os dados de e-mails e documentos são codificados, e apenas as partes autorizadas podem aceder e decifrá-los.
Claro, todos os dispositivos têm uma opção de encriptação, mas estará ligada? Pode também implementar software de encriptação de dados para proteger a sua organização. A encriptação também é usada para proteger dados sensíveis transferidos entre os dispositivos dos colaboradores e os servidores da empresa.
Usar uma VPN encriptará os dados que vão e vêm do seu trabalhador remoto pela internet.
Garanta que todos os seus colaboradores que trabalham a partir de casa têm firewalls, software e sistemas de segurança atualizados em todos os seus dispositivos. Quer que todos os patches de segurança sejam ativados assim que saiam, para que quaisquer vulnerabilidades no sistema sejam geridas.
Isto pode ser mais difícil de alcançar no modelo BYOD (bring your own device). Mais sobre isso abaixo.
Forneça canais claros de comunicação. Forme os seus colaboradores sobre como reportar qualquer atividade online suspeita. Instrua-os sobre como detetar uma tentativa de phishing ou uma violação de segurança. Os seus colaboradores que trabalham a partir de casa sabem com quem falar caso surja uma questão de segurança? Tenha alguém em cada equipa a atuar como contacto de referência e forneça orientações sobre que tipo de questões devem ser reportadas.
Fale com os seus colaboradores sobre comportamento seguro — Estão a trabalhar num ambiente em que as pessoas conseguem ver facilmente os seus ecrãs? Sabem que não devem partilhar informação sensível através de sistemas de mensagens ou redes sociais? Estão a fazer o suficiente para evitar o roubo de hardware?
Os sistemas dedicados de DLP (data loss prevention), como as soluções da Safetica, usam um sistema centralizado e automatizado para monitorizar e reportar tudo o que acontece no panorama de cibersegurança de uma organização — no local ou fora dele. Sentir-se-á mais seguro sabendo que, onde quer que estejam os seus colaboradores, os dados sensíveis da sua organização permanecerão seguros.
DLP dedicado vs DLP integrado: qual faz sentido para a sua organização?
Para colaboradores internos, pode usar coisas como cartazes e visuais LED para espalhar mensagens de segurança pelo escritório. Também é mais provável detetar comportamentos questionáveis ou perceber a necessidade de distribuir aquela nova brochura de segurança em que passou tanto tempo.
Para colaboradores em trabalho a partir de casa, fora da vista e literalmente fora do local equivale a menos possibilidades de ter qualquer efeito físico sobre as pessoas com quem trabalha. Vai ter de pensar fora da caixa e lembrar-se de que é muito mais fácil esquecer políticas, mesmo que por acidente, quando não se está no escritório.
Saiba mais sobre como formar os seus colaboradores em segurança de dados. ->
Se os seus colaboradores remotos usam computadores e outros dispositivos que a sua organização lhes fornece, pode garantir que todo o equipamento e software cumprem os padrões e políticas da empresa.
Mas e quanto ao BYOD? Se os colaboradores usam os seus próprios dispositivos, as suas orientações de trabalho a partir de casa para os colaboradores terão de:
Embora o BYOD tenha vantagens óbvias, como custos reduzidos e potencialmente maior mobilidade, também coloca um maior risco de segurança para a sua organização.
Vamos falar sobre segurança de dados