Como as restrições de encerramento continuam a diminuir em todo o Reino Unido, as empresas começam a considerar um regresso ao trabalho - pelo menos a tempo parcial. Mas isto irá criar uma situação totalmente nova para muitas empresas: Um ambiente de trabalho híbrido que existe entre o trabalho e a casa, acrescentando riscos significativos de cibersegurança.
Quando o encerramento da COVID-19 atingiu pela primeira vez o Reino Unido em Março, as empresas tiveram de se adaptar rapidamente à escala. Mas os ciber-criminosos também se adaptaram a este novo ambiente, enviando em massa e-mails de phishing e esquemas de texto direccionados.
Em Abril, o Google disse ter visto mais de 18 milhões de e-mails diários de malware e phishing relacionados com a COVID-19 em apenas uma semana. Em Maio, mais de £800,000 tinham sido perdidos para esquemas de coronavírus, de acordo com relatórios feitos ao National Fraud Intelligence Bureau.
O phishing é muitas vezes uma via para a distribuição de resgates - uma forma de malware que encripta dados comerciais até que um resgate seja pago. Em Abril, a Resposta à Ameaça de Cibercrime da Interpol afirmou ter detectado um "aumento significativo" no número de tentativas de ataques de resgate contra organizações chave em todo o mundo.
E, mais recentemente, o alegado ataque de resgate que atingiu a empresa de tecnologia Garmin mostrou a facilidade com que um ataque cibernético pode parar as operações comerciais, impactando as percepções dos clientes e, em última análise, a reputação de uma empresa.
Durante a COVID-19, os danos de reputação causados por uma violação podem ser ainda piores. Poupe um pensamento para a companhia aérea EasyJet, que em Maio, admitiu ter sido invadida num "ciberataque altamente sofisticado" no início do ano.
Então, como é que os líderes de segurança evitam os riscos que podem acabar por prejudicar a sua empresa quando a mão-de-obra existe entre o trabalho e a casa?
Reconhecendo os riscos
É primeiro importante reconhecer os desafios que já surgiram no trabalho a partir do ambiente doméstico. Com toda a população sob pressão durante os últimos meses no meio da pandemia da COVID-19, as empresas não quiseram sobrecarregar ainda mais os empregados.
Isto significa que, em muitos casos, a formação em segurança cibernética caiu no esquecimento - um problema grave, dados os ataques de phishing que são demasiado comuns durante a COVID-19.
Entretanto, muitas empresas não conseguiram rever as suas políticas em conformidade com este ambiente de trabalho subitamente alterado, acrescentando mais riscos.
Sem os sistemas de comunicação simplificados a que estão habituados, os empregados podem cair em tentativas de phishing e, nalguns casos, dar involuntariamente credenciais comerciais valiosas - ou mesmo preparar o caminho para ataques de resgates.
Três Cenários de Segurança Cibernética
O ambiente de trabalho híbrido COVID-19 acrescenta desafios que abrangem três cenários: Traga o seu próprio dispositivo (BYOD), trabalhando a partir de casa, e trabalhando a partir do escritório.
A tendência BYOD acontece há anos, e as empresas estão a aprender a lidar com ela através de políticas e ferramentas tais como a gestão de dispositivos móveis. Mas a segurança cibernética durante a pandemia abre ainda mais vias de risco.
Os funcionários levam os computadores portáteis do trabalho para casa, ou podem estar a utilizar o seu próprio hardware para se ligarem à rede empresarial. Podem, ou não, estar a utilizar uma rede privada virtual (VPN).
Ao mesmo tempo, as empresas encorajarão a utilização de software de colaboração para se manterem ligadas, uma vez que os empregados existem entre a casa e o escritório. Isto pode significar que os empregados descarregam aplicações como as equipas da Microsoft nos seus telefones, ou utilizam aplicações não aprovadas para se tornarem mais eficientes - tudo isto sem o conhecimento das TI.
Depois há outros riscos de trabalho a partir de casa e mudanças sociológicas e administrativas a considerar. Haverá frequentemente mais do que uma pessoa a trabalhar a partir de casa. As pessoas exibirão naturalmente dados comerciais valiosos nos seus ecrãs, para que qualquer pessoa que entre no lar os possa ver.
É demasiado comum as pessoas saírem sem trancar o computador, mas e se isto fosse para exibir acidentalmente informações comerciais sensíveis que poderiam ser expostas por outra pessoa que vive na propriedade ou está a visitá-la?
Os routers domésticos são outro desafio. São vulneráveis a múltiplos tipos de ciber-assaltos que podem pôr em risco dados comerciais, tais como o homem no meio de ataques que vêem adversários capazes de bisbilhotar o tráfego da rede.
O trabalho a partir do cenário do escritório aumenta a complexidade. Por exemplo, será que o empregado transporta um portátil entre o trabalho e a casa; será que está a enviar ficheiros sensíveis para outro dispositivo para trabalhar a partir de casa?
Neste ambiente novo e híbrido, os controlos de segurança tradicionais simplesmente não são adequados ao fim a que se destinam. O novo funcionamento "normal" requer uma abordagem renovada, incluindo controlos e ferramentas de segurança cibernética, políticas e formação.
WFH é um Projecto de Transformação Digital, não um Projecto de TI
Já é evidente que a segurança cibernética na era da COVID requer uma mudança de mentalidade. Há 20 anos, este novo ambiente de trabalho nem sequer teria sido possível, porque a tecnologia não estava implementada e os empregados estavam ligados a sistemas internos. Agora, as reuniões podem acontecer através de videoconferência, enquanto as nuvens e as aplicações tornam mais fácil do que nunca descarregar ficheiros, colaborar e comunicar.
Mas dado que estas inovações também acrescentam riscos de segurança cibernética, uma abordagem sensata seria ver o trabalho a partir de casa como um projecto de transformação digital, em vez de um projecto de TI.
As empresas precisam primeiro de olhar para as suas políticas e fornecer uma educação clara aos empregados sobre o que fazer e o que não fazer. Como parte disto, é uma boa ideia jogar com as situações: Por exemplo, "esta impressora é um dispositivo ligado por Wi-Fi, aqui estão os riscos que representa", ao mesmo tempo que incentiva as melhores práticas básicas, tais como a aplicação de patches.
O National Cyber Security Centre (NCSC) do Reino Unido oferece alguns conselhos sólidos aos empregados que trabalham a partir de casa. Numa situação de BYOD, por exemplo, o NCSC aconselha as empresas a estarem conscientes do risco de perda ou roubo de dispositivos. Para ajudar a diminuir a ameaça, diz o NCSC, assegura que os dispositivos codifiquem os dados enquanto estão em repouso, e verifica se a codificação está ligada e configurada.
Entretanto, o pessoal deve utilizar uma VPN em casa, e esta deve ser totalmente remendada. As empresas podem precisar de acrescentar mais licenças, capacidade ou largura de banda se a empresa tiver expandido grandemente o seu número de utilizadores remotos.
É também importante delinear como a educação pode ajudar a parar, por exemplo, os empregados que caem em ataques de phishing. Os funcionários devem também saber como podem comunicar problemas, incluindo tentativas de phishing ou dispositivos perdidos, bem como como manter o seu software e hardware de casa e do trabalho actualizados.
É claro que qualquer revisão de segurança exigirá a adesão do conselho de administração. Os líderes de segurança podem utilizar exemplos como EasyJet e Garmin para demonstrar porque é que um ataque cibernético pode ser um perigo para o negócio financeiramente e para a reputação, especialmente durante uma pandemia.
Globalmente, requer uma abordagem holística envolvendo todos na empresa, abrangendo tanto o ambiente de trabalho como o doméstico. Com a paisagem a mudar constantemente à medida que surgem novas ameaças, a cibersegurança precisa de ser um projecto constante, e não um exercício de caixa de tick-box.
Bens gratuitos de Cyber Awareness para ajudar as organizações a regressar ao trabalho
Cyber Security Awareness for Dummies actua como um recurso indispensável para implementing mudança de comportamento e criação de uma cultura de consciência cibernética.
Neste guia, irá aprender:
- O que significa para a sua organização a consciência da Ciber-Segurança
- Como implementar uma campanha cibernética de sensibilização para o risco
- O papel crucial das políticas to estabelecer linhas de base seguras
- Como manter a dinâmica e o envolvimento do pessoal
- 10 melhores práticas de sensibilização para a Segurança Cibernética
