Como garantir a cibersegurança quando os funcionários trabalham remotamente

A migração em massa para o trabalho em casa causada pelo COVID-19 representa novos riscos de cibersegurança e amplifica os antigos. O conjunto de dicas a seguir é o que as organizações devem fazer.

Como categoria de desafios de cibersegurança, poucos são mais diversos ou mais formidáveis do que o trabalho remoto. O grande número de diferentes cenários de TI de trabalho remoto torna quase impossível dizer: "É assim que todas as organizações devem implementar a segurança quando seus sistemas de informação são usados remotamente." No entanto, este artigo ajudará a identificar e abordar os elementos-chave da cibersegurança que são aplicáveis em vários cenários de trabalho remoto, particularmente em uma subcategoria que agora é crucial: trabalhar em casa.

Como o trabalho remoto impacta a cibersegurança

Claro, o trabalho remoto não é um fenômeno novo. Mesmo antes dos desdobramentos da pandemia da COVID-19, o chefe executivo da Censornet, Ed Macnair, lidava com "a primeira migração em massa de funcionários de escritório para o trabalho remoto", em que mais da metade dos funcionários do mundo já trabalhava fora de sua sede principal por pelo menos 2,5 dias por semana, de acordo com uma pesquisa de 2019 do provedor de espaços de trabalho International Workplace Group.

Mas a imposição do trabalho em casa devido ao COVID-19 representou um desafio extraordinário para organizações e funcionários que não estão acostumados a usar sistemas de TI dessa forma. A mudança repentina e generalizada para o trabalho remoto teve que ser endereçada rapidamente, em escala e em meio a uma crise global de longo alcance que aumentou drasticamente o nível de atividade cibercriminosa oportunista.

Desafios comuns de cibersegurança do trabalho remoto amplificados pelo COVID-19

Os riscos de cibersegurança do trabalho remoto exacerbados pela pandemia incluem uma poderosa combinação de desafios técnicos e humanos:

  • uma superfície de ataque ampliada de dispositivos e conexões adicionais, muitos dos quais não são otimizados para segurança (dispositivos pessoais, como computadores, tablets e telefones domésticos ou equipamentos de rede para consumidores);
  • um aumento maciço de alvos e locais-alvo (dados da empresa nas casas de funcionários ou funcionários da empresa designados como defensores de fato da linha de frente do sistema de informações);
  • uma série de impactos grandes, mas desiguais sobre o negócio, que poderiam reduzir ou desviar o orçamento e os recursos de cibersegurança, mesmo quando a necessidade desses recursos aumentava; e
  • um clima profundamente criminogênico de medo, incerteza, dúvida e urgência (ameaça, renda familiar reduzida ou perdida; altos riscos à saúde da família; clima político e social conflitante; circunstâncias, regras, regulamentos e conselhos que mudam rapidamente).

Um número sem precedentes de pessoas está agora suscetível aos tipos de erros e julgamentos errôneos que permitem muitas formas de crimes cibernéticos. Ao mesmo tempo, é provável que o crime cibernético seja mais atraente para um grupo mais amplo de pessoas, um grupo que pode incluir alguns dos funcionários atuais ou recentemente liberados de uma organização. Como as organizações devem  abordar o novo panorama de ameaças?   

Formas de resolver problemas de cibersegurança do trabalho remoto

As respostas necessárias para enfrentar esses riscos de segurança também são uma combinação de técnico e humano. Um bom lugar para começar é onde o usuário final encontra os pontos finais de uma infraestrutura de TI.

  • Se você tiver sorte, sua organização tem um histórico de permitir o trabalho remoto seguro para uma porcentagem significativa de funcionários. Portanto, já implementou uma política de "não trabalhar em computadores que não pertencem à empresa", ao outorgar aos funcionários laptops, tablets e telefones protegidos por autenticação multifatorial (MFA) configurados pela empresa, administrados de forma remota, todos protegidos por terminais e vinculados com segurança à rede da corporação por meio de tecnologias como VPN e perímetro definido por software (SDP). Se sua organização for particularmente afortunada e/ou bem gerenciada, os funcionários terão sido treinados para usar, aceitar e apoiar esse regime.
  • E os funcionários que, antes de 2020, só trabalhavam em desktops da empresa restritos aos escritórios da empresa? Mais uma vez, algumas organizações já haviam virtualizado esses sistemas com algum tipo de infraestrutura virtual de desktop. Se os funcionários do escritório já estiverem usando máquinas virtuais, movê-las para um ambiente doméstico a partir do qual eles podem usar uma conexão remota dedicada e criptografada à rede da empresa é uma opção viável.
  • E as organizações menos afortunadas, aquelas que entraram em 2020 com pouco conhecimento prático de acesso remoto e conceitos como virtualização de desktop, MFA, confiança zero, VPN e SDP? Claramente, eles enfrentaram uma curva de aprendizado íngreme e uma enorme demanda por recursos de TI. Se há boas notícias aqui, é a riqueza de opções bem estabelecidas que podem ser implantadas, quer seja máquinas virtuais em servidores corporativos, acessadas através de uma VPN protegida por MFA, ou uma solução baseada em nuvem que combina SaaS e IaaS.

Algumas respostas menos técnicas, mas de vital importância para a virada de 2020 para o trabalho em casa, são aplicáveis a um amplo espectro de organizações, não apenas aos iniciantes de acesso remoto; estes incluem treinamento, resposta a incidentes e auditorias de segurança.

Treinamento de conscientização de segurança adaptado ao trabalho remoto em casa

Para as organizações que introduzem novas tecnologias, procedimentos e políticas para lidar com o trabalho em casa com segurança, a necessidade de treinamento de segurança para os funcionários pareceria óbvia. No entanto, pesquisas realizadas pela ESET e CompTIA há alguns anos descobriram que mais de 30% dos funcionários não tinham recebido treinamento de cibersegurança em sua organização e apenas metade das empresas estavam realizando treinamento contínuo. No Reino Unido, a empresa de software Specops descobriu recentemente que, em 11 setores de negócios diferentes, 42% dos funcionários não receberam nenhum treinamento adicional desde que começaram a trabalhar de casa.

Supondo que você tenha o respaldo e os recursos para fornecer aos funcionários treinamento de conscientização de segurança no trabalho em casa, certifique-se de que o conteúdo aborda os problemas específicos de trabalhar em casa, o que é bem diferente de trabalhar em um quarto de hotel, instalações de clientes ou cafeterias. Por exemplo, enquanto as dicas sobre como evitar o Wi-Fi público ainda se aplicam, os protocolos de segurança precisam ser reforçados para outros riscos, incluindo os seguintes:

  • configuração wi-fi doméstica;
  • regras sobre o bloqueio de dispositivos desatendidos;
  • não compartilhar dispositivos com outros membros da família;
  • proteger dispositivos contra roubos.

Existem várias boas razões para assegurar-se de que as pessoas que trabalham de casa sigam sendo administradas e monitoradas, entre elas a possibilidade real de que um ambiente menos estruturado possa tentar alguns empregados a adotar um enfoque mais relaxado para as políticas de segurança. Preste atenção à moral e tente fornecer o máximo de apoio e atitude positiva possível, tendo em mente que estes são tempos profundamente estressantes para famílias e comunidades, mesmo que sua organização em particular esteja indo bem.

Atualize seu plano de resposta a incidentes, seguro contra riscos cibernéticos e auditoria de segurança

Infelizmente, mesmo que sua organização faça um bom trabalho, tanto no lado técnico quanto humano do desafio da cibersegurança do trabalho remoto, a possibilidade de um incidente de segurança permanece. Isso significa que você precisa ter certeza de que seu plano de resposta a incidentes e a cartilha foram atualizados para lidar com as mudanças impostas pela pandemia; por exemplo, "montar uma equipe de resposta a crises na sala de conferência do terceiro andar" pode não ser fisicamente viável neste momento.)

Embora muitas organizações tenham se acostumado a ferramentas de reunião remota, como Zoom e Microsoft Teams, agora pode ser um bom momento para apresentar alguns cenários de seu livro de estratégia de resposta a incidentes sob as “novas condições normais" para garantir que todos os processos críticos sejam viáveis. Agora também seria um bom momento para rever seu seguro contra riscos cibernéticos para garantir que os riscos de trabalhar em casa não sejam excluídos.

E que tal uma auditoria de segurança para garantir que as mudanças trazidas pela necessidade de trabalhar em casa tenham sido feitas com segurança? Evite adiar esta e outras ações porque "logo voltaremos ao normal". É muito provável que, como Rich Mogull disse em seu artigo  do SearchSecurity sobre cibersegurança para trabalhadores remotos: "Temos que aceitar que nossos planos atuais não são medidas provisórias, mas nosso novo modelo operacional central para o futuro previsível".

 

Saiba mais sobre Identidade e acesso corporativo