Por causa do surto de COVID-19, muitas empresas estão orientando que os funcionários trabalhem em casa, incluindo algumas que nunca o consideraram antes. Isso significa que elas não têm políticas de telecomutação em vigor e, portanto, é improvável que levem em consideração os riscos de mudar para o trabalho remoto. Vamos tentar explicar sobre essas lacunas associadas e explicar como minimizar os riscos.

À primeira vista, a única mudança para os funcionários de escritório é a falta de contato presencial com os colegas. Mas há muito mais do que isso. Considere, por exemplo, canais de comunicação, rotinas estabelecidas, ferramentas de colaboração, equipamento e acesso a esse equipamento.

Canais de comunicação

Quando seus funcionários trabalham no escritório na rede local, suas soluções de segurança lidam com todos os processos de troca de dados. Mas ter funcionários trabalhando em casa lança uma variável extra na equação – na forma de provedores. Você não sabe nada sobre, e não tem controle, sobre suas medidas de segurança. Em alguns casos, as conexões domésticas à Internet são acessíveis não apenas ao seu funcionário, mas também a um possível invasor. Assim, é melhor não compartilhar segredos corporativos nesses canais de comunicação.

Solução: se seus funcionários precisarem se conectar aos recursos corporativos remotamente, configure-os com uma VPN confiável para estabelecer um canal seguro entre a estação de trabalho e a infraestrutura, protegendo os dados corporativos contra interferências externas. Ao mesmo tempo, proíba conexões com recursos corporativos de redes externas sem uma VPN.

Estabeleça rotinas

Nestes modelos de trabalho, fora do escritório físico, os funcionários não podem simplesmente resolver questões com outras áreas de maneira presencial, por isso, espera-se um aumento no volume de trocas de mensagens. Basicamente, a falta de contato presencial altera as rotinas de trabalho e fluxos comunicacionais da empresa. Em teoria, isso dá ao invasor mais espaço para manobrar e, em particular, para usar ataques BEC. Em meio ao crescente mar de correspondência corporativa, um pequeno barco de phishing, por assim dizer, será difícil de identificar. Em outras palavras, uma mensagem falsa solicitando dados não parecerá tão incomum ou suspeita como seria em circunstâncias normais. Além disso, o ambiente doméstico mais relaxante provavelmente tornará muitas pessoas menos vigilantes.

Solução: primeiro, mesmo estando em casa, todos os funcionários devem usar apenas e-mail comercial. Isso facilitará, pelo menos, identificar a tentativa de um cibercriminoso de se passar por um trabalhador se ele usar uma conta em outro domínio. Segundo, verifique se os servidores de e-mail estão protegidos por tecnologias capazes de detectar tentativas de alterar o remetente da mensagem. E terceiro, antes de enviar os funcionários para casa, faça um curso intensivo sobre ciberameaças.

Ferramentas de colaboração

Tendo perdido o contato pessoal, os funcionários podem recorrer a outros métodos de colaboração, alguns dos quais podem não ser os mais confiáveis - e precisam ser configurados corretamente. Por exemplo, um documento do Google Docs com permissões de acesso configuradas incorretamente pode ser indexado por um mecanismo de pesquisa e se tornar uma fonte de vazamento de dados corporativos. O mesmo pode acontecer com os dados no armazenamento em nuvem. Uma plataforma de colaboração como o Slack também pode causar um vazamento, e alguém de fora adicionado aleatoriamente pode obter acesso a todo o histórico de arquivos e mensagens.

Solução: Naturalmente, é do seu interesse escolher um ambiente de colaboração adequado em termos de segurança e recursos. Idealmente, o cadastro deve exigir um endereço de e-mail corporativo. Além disso, vale a pena nomear um administrador dedicado para emitir e revogar direitos de acesso, conforme necessário. Porém, o mais importante, antes de permitir que os funcionários trabalhem em casa, realize uma sessão de conscientização (pode ser remota) e insista para que usem apenas o sistema de colaboração implantado em sua empresa (ou aprovado por você). Também ajudará a reiterar que eles são responsáveis por manter seguros os segredos corporativos.

Equipamento

De um modo geral, nem todos os funcionários têm acesso a notebooks corporativos. E os telefones celulares não são adequados para todas as tarefas. Portanto, os funcionários podem começar a usar seus computadores domésticos. Para empresas sem política de BYOD, isso pode representar ameaça séria.

Solução: Primeiro, se os funcionários precisam trabalhar em casa, forneça notebooks e telefones corporativos, se possível. Não é necessário dizer que os dispositivos devem ser protegidos por soluções de segurança apropriadas. Além disso, essas soluções devem fornecer funcionalidades de remover de forma remota as informações corporativas, manter os dados pessoais e corporativos separados e impor restrições à instalação de aplicativos. Configure-os para verificar também as atualizações críticas mais recentes de software e sistema operacional.

Se, por algum motivo, os funcionários tiverem que usar dispositivos pessoais, é hora de implementar uma política de BYOD para gerenciar dados corporativos nesses dispositivos – por exemplo, criando partições separadas para negócios e dados pessoais. Além disso, insista para que todos os funcionários instalem software antivírus. Idealmente, você deve permitir que esses dispositivos se conectem às redes corporativas somente depois de garantir que uma solução de segurança esteja instalada e que o sistema operacional esteja atualizado.

Acesso ao equipamento

Você não sabe com certeza onde e com quem seus funcionários moram. Não dá para prever, por exemplo, quem poderá bisbilhotar seus computadores enquanto tomarem uma xícara de café. Uma coisa é que os funcionários trabalhem em uma casa onde estejam essencialmente sozinhos durante o dia, mas outra coisa é se decidirem ir a um café ou espaço de coworking, onde os riscos de vazamento ou comprometimento são muito maiores.

Solução: você pode solucionar a maioria desses problemas por meio de políticas de segurança, que devem estipular o uso de uma senha e o bloqueio automático da tela. E, como em outras questões de cibersegurança, em particular no teletrabalho, o treinamento de conscientização deve ajudar a manter a vigilância geral.