Riscos Cibernéticos perante o trabalho remoto repentino (Home Office)

Está mais do que evidente que os riscos de segurança cibernética e a proteção de dados e privacidade se tornou relevante nas agendas governamentais e corporativas. O tema proteção de dados & privacidade junto com segurança da informação e segurança cibernética ganhou uma “musculatura” nunca antes vista sendo mais que essencial para proteger e preservar dados que possuem valores operacionais e estratégicos

Analisando o relatório “The Global Risks Report 2020”, divulgado anualmente pelo World Economic Forum que lista os principais riscos que podem afetar negativamente pessoas, instituições e economias globais nos próximos anos, encontramos os ataques cibernéticos, roubos ou fraudes massivas de dados dentre os dez principais riscos globais, ficando apenas atrás de condições climáticas extremas e desastres naturais. Na conferência de imprensa em 2018, a chefe de progresso econômico do fórum econômico mundial informa que os riscos cibernéticos estão afetando a sociedade e a economia de “maneiras novas e mais amplas”, impactando não apenas o setor corporativo, mas também as infraestruturas governamentais e esferas geopolíticas e a sociedade em geral.

CENÁRIO ATUAL E COVID-19

Vivenciando o cenário global atual, a epidemia da COVID-19 está não apenas colocando a saúde das pessoas em riscos, mas também seus dados. Tendo em vista que este momento de sensibilidade social está sendo usado como uma janela de oportunidade para os cibercriminosos.

Na tentativa de impedir a disseminação da COVID -19, as empresas estão aplicando a prática de home office para seus colaboradores, o que abre portas para uma de riscos cibernéticos para as companhias.

O trabalho remoto já estava sendo incentivado por muitas companhias como forma de atração e retenção de talentos das novas gerações. As companhias que aplicam esse modelo já possuem processos robustos e uma comunicação ativa com os colaboradores afim de assegurar o uso seguro dos ativos e dados da companhia e dos clientes.

Contudo, não podemos esquecer das companhias ou gerações que não estavam habituadas a este modelo de trabalho e que podem eventualmente estar mais expostas a ataques cibernéticos. Como é uma novidade, os colaboradores podem não seguir todas as instruções da companhia sobre como proteger o equipamento fora da rede dos escritórios.

TRABALHO REMOTO SEGURO

Para realizar o trabalho remoto de forma segura, alguns aspectos mínimos devem ser seguidos como, utilização de notebooks, tablets e smartphones homologados, bloqueio automático da tela do dispositivo após um período de tempo sem uso, criptografia do disco rígido dos notebooks, utilização de antivírus nos notebooks , tablets e smartphones, software de gerenciamento dos tablets e smartphones, utilização de VPN para acessar os sistemas e diretórios de rede, bloqueio das entradas USB, bloqueio de acesso a páginas na internet, acesso à internet apenas em locais particulares, entre outras.

CAPACITAÇÃO DOS USUÁRIOS

As companhias nesse momento devem estreitar as comunicações com os colaboradores expondo os riscos aos quais eles e a companhia estão expostos caso as medidas de segurança não sejam seguidas.

É necessário reforçar os alertas sobre mensagens não confiáveis, acesso a links ou aplicativos e arquivos com origem desconhecida. A realização de treinamentos de conscientização sobre proteção de dados, privacidade e segurança da informação também pode ocorrer como reforço à conscientização.

Outro ponto muito importante é a conscientização quanto as fake News, pois muitas vezes os cibercriminosos utilizam essa forma de ataque para realizar ataques cibernéticos (phishing) via SMS, whatsapp e e-mails etc. Já foi reportado um aplicativo que, prometendo oferecer informações sobre a propagação do vírus, escondia um malwares utilizado para infectar o computador, tablet ou celular do usuário.

OUTRAS MEDIDAS

Não se deve esquecer da comunicação via softwares de comunicações de vídeo modernas, plataformas em nuvem fácil, softwares de bate-papo e seminários on-line em dispositivos móveis, notebooks e smartphones. Em diversos casos, o local armazenado e tráfego de informações são desconhecidos ou o software não possui uma segurança adequada sendo vulnerável a ataques.

Uma forma de evitar alguns ataques é através de atualizações em roteadores wi-fi alterando suas senhas, alterando o método de autenticação de criptografia para WPA2-AES ou WPA3, desativando sua rede de convidados, realizando as atualizações dos fabricantes de forma recorrente e desativando a função WPS que permite conectar dispositivos apenas utilizando o botão sem precisar de senha.

Muitos podem estar se questionando, como fazer esses procedimentos e a resposta é simples: procure tutoriais no youtube ou peça ajuda para um parente ou amigo confiável para ajudar realizar esses procedimentos.

Via de regra, basta (i) acessar a tela de configurações do roteador conectando cabo de rede no roteador e no seu notebook, (ii) no windows, no “Menu iniciar”, digite “CMD” e clique no “Prompt de comando”, (iii) digite “ipconfig” e aperte “Enter”, (iv) anote o “IP do Gateway padrão” e use-o como o endereço de site no seu navegador. Para o login e senha, procure por uma etiqueta, geralmente localizada na parte de baixo do roteador ou no manual.

Diante de todo o cenário apresentado, o trabalho na forma de Home Office não precisa ser visto como perigo para as companhias. Para mitigar os riscos é necessário apenas estabelecer protocolos e regras com os colaboradores para realizar suas atribuições profissionais dentro ou fora dos escritórios das companhias.

 

Autor: Paulo Baldin

Atualmente é Privacy Officer do Banco Carrefour, anteriormente foi Gerente da prática de Forensics & Integrity Services na EY Brasil, Gerente da prática de Cyber Security na PwC Brasil e Coordenador de Auditoria Interna na Natura.

Possui mais de 14 anos de experiência e coordenou/participou de mais de cinco dezenas de projetos em prevenção a fraudes, segurança da informação, auditoria interna/externa, controles internos, combate a crimes cibernéticos, data analytics e desde 2017 atuando diretamente com proteção de dados e privacidade.

Graduado e Pós-Graduado em Tecnologia, possui mais de 30 certificações nas suas áreas de atuação. Palestrante nos mais diversos fóruns de tecnologia e segurança da informação do país, colunista de revistas do segmento e ainda atua como professor convidado de grandes instituições de ensino.

 

Conheça os programas do EXIN ligados ao tema: