Nos últimos anos, o aumento do trabalho remoto transformou o cenário tradicional dos escritórios, oferecendo flexibilidade e conveniência sem precedentes. No entanto, esta mudança para o trabalho remoto traz consigo o seu próprio conjunto de desafios, particularmente no domínio da cibersegurança. À medida que as organizações se adaptam ao local de trabalho virtual, têm de estar vigilantes na identificação e abordagem dos vários riscos de cibersegurança que podem comprometer informações sensíveis e minar a integridade das suas operações.
Aqui, a MetaCompliance explora alguns dos problemas que o trabalho em casa traz para a mesa da cibersegurança e o que fazer para fechar a porta aos desafios de segurança do trabalho remoto.
O problema do trabalho remoto e da segurança
- Uma sondagem de 1.000 empresas britânicas realizada pelas Câmaras de Comércio Britânicas (BCC ) e pela Cisco revelou que mais de metade das empresas se sentia exposta a riscos de segurança cibernética através do trabalho doméstico.
- De acordo com um relatório, 20% das organizações acreditam que ocorreu uma violação de dados devido a um trabalhador à distância.
- O relatório da Verizon Mobile Security Index constatou que 79% dos inquiridos estão preocupados com o facto de as mudanças nas práticas de trabalho prejudicarem a postura de segurança cibernética de uma organização. O relatório também destaca a questão da segurança dos dispositivos móveis e do trabalho remoto, com 52% dos inquiridos a admitir sacrificar a segurança dos dispositivos móveis (e dispositivos IoT) para "fazer o trabalho".
- As políticas de cibersegurança estão também a ser afectadas para permitir que os trabalhadores à distância possam fazer o seu trabalho sem obstáculos. Um inquérito revelou que 26% das empresas britânicas inquiridas tinham flexibilizado a sua política de cibersegurança para permitir aos trabalhadores à distância trabalharem mais facilmente.
Onde estão os riscos de segurança quando se trabalha a partir de casa?
Os empregados que trabalham a partir de casa ou remotamente trazem novos riscos; estes não são normalmente riscos desconhecidos. As áreas onde os riscos cibernéticos se infiltram incluem:
Dispositivos pessoais
Um "Cyber Security Breaches Survey 2022" do governo britânico mostra que 45% das empresas permitem aos empregados utilizar dispositivos pessoais, tais como computadores portáteis, para realizar tarefas relacionadas com o trabalho. O problema com isto surge quando não há supervisão ou controlo do dispositivo.
Por exemplo, se um dispositivo for utilizado para enviar e receber e-mails comerciais, tem a certeza de que os e-mails recebidos não são ataques de phishing ou um esquema?
Do mesmo modo, suponha que a sua equipa de TI não é capaz de assegurar que os dispositivos móveis sejam actualizados e corrigidos. Nesse caso, os riscos de segurança podem infiltrar-se, vazar dados, e o malware pode entrar na sua rede corporativa.
Dispositivos e redes domésticas não seguras
As redes domésticas inseguras podem tornar-se uma rota de entrada para os cibercriminosos e levar à exposição de dados sensíveis. Os cibercriminosos fazem o scan da Internet em busca de redes não seguras, e quaisquer falhas de segurança serão exploradas, incluindo senhas padrão em dispositivos IoT e routers Wi-Fi ou sem patch.
Da mesma forma, as impressoras Wi-Fi não devem ser negligenciadas. Uma ligação insegura a uma impressora Wi-Fi também abre a porta a um cibercriminoso. Mais uma vez, as vulnerabilidades da impressora podem levar a uma rede doméstica exposta. Um estudo da Quocirca Print Security Landscape 2022 descobriu que 68% das empresas sofreram perdas de dados devido a inseguranças relacionadas com a impressão.
Uso da Internet e Comportamento Não-Complacente
O adágio "fora de vista, fora de mente" resume como as mudanças de comportamento e de utilização da Internet quando um empregado está em sua casa levam a inseguranças. Um relatório da Avanti descobriu que 66% dos profissionais de TI relataram problemas de segurança acrescidos causados pelo trabalho remoto em linha. Os problemas de segurança incluíram e-mails maliciosos, comportamento não conforme dos funcionários, e vulnerabilidades de software.
Um estudo adicional sobre os comportamentos de segurança das forças de trabalho remotas descobriu que o comportamento arriscado era mais prevalecente em ambientes de trabalho de casa, com questões como deixar um computador desbloqueado quando deixado sem vigilância. O estudo foi realizado durante a pandemia de COVID-19 e concluiu a necessidade de "medidas de bem-estar e educação para ajudar aqueles em risco de PIU (utilização problemática da Internet) a tornarem-se mais conscientes de como detectar os tipos de cibercrimes relacionados com a COVID-19".
Espaços Partilhados
Comportamentos de risco, tais como deixar e-mails e documentos sensíveis abertos num computador deixado sem vigilância, podem abrir riscos de segurança em casas partilhadas. Os espaços partilhados podem transformar-se em dispositivos partilhados, e se esses dispositivos estiverem ligados a uma aplicação ou rede empresarial, isto pode deixar uma organização aberta ao não cumprimento de regulamentos ou vulnerável a ataques cibernéticos. As preocupações de segurança para o trabalho remoto devem também incluir espaços de trabalho em conjunto - um estudo concluiu que 23% dos trabalhadores em espaços de trabalho à distância tinham preocupações de segurança.
Que medidas de segurança podem ajudar a proteger os trabalhadores domiciliários e remotos?
Há várias coisas que uma organização pode fazer para ajudar a melhorar a segurança da sua força de trabalho para o trabalho doméstico:
Fornecer uma VPN
Uma rede privada virtual ou VPN é uma ferramenta valiosa que proporciona uma ligação segura entre um utilizador e uma rede/internet. Por exemplo, um empregado com uma VPN correctamente configurada pode enviar e receber correio electrónico e outros dados de segurança. Uma VPN protegerá qualquer tráfego de dados, mesmo que a rede doméstica seja insegura. Pode saber mais sobre os benefícios da utilização de uma VPN no nosso post de blog, "3 Razões pelas quais precisa de uma VPN segura".
Formação de Sensibilização para a Segurança que Abrange os Trabalhadores Domésticos
Um resumo do POST de Outubro de 2022 do Parlamento britânico sobre "O impacto do trabalho remoto e híbrido nos trabalhadores e organizações" conclui:
"A investigação sugere que os desafios de segurança cibernética podem surgir de uma formação inadequada e da diminuição dos níveis de cumprimento da política de segurança da informação por parte dos funcionários, devido à falta de apoio organizacional. ”
Um ambiente de trabalho em casa tem desafios únicos, e a Formação de Sensibilização para a Segurança deve reflectir isto. Portanto, assegure-se de que o seu programa de Formação de Sensibilização para a Segurança se concentra no trabalho doméstico e nas necessidades de segurança. As áreas típicas em que a Formação de Sensibilização para a Segurança deve educar os trabalhadores domiciliários incluem:
- Esteja ciente de deixar a informação sensível aberta no ecrã.
- Não permaneça ligado a aplicações quando está fora de um espaço de trabalho.
- Políticas de higiene e limpeza de secretária com senha.
- Manter o trabalho e os dispositivos pessoais separados sempre que possível.
- A importância da utilização de uma VPN.
- O seu papel na protecção de dados.
- Manter os dispositivos e o software actualizados.
- Seguindo políticas de segurança, mesmo em casa.
Aplicar Políticas de Controlo de Acesso Robustas
O acesso doméstico e de trabalho remoto a aplicações empresariais e à rede deve ser gerido utilizando princípios como o acesso aos privilégios mínimos. No entanto, um controlo de acesso robusto deve também tornar-se parte do escritório doméstico geral.
Por exemplo, o acesso ao dispositivo deve ser protegido utilizando um PIN biométrico ou forte. Do mesmo modo, o acesso a um computador de trabalho doméstico deve ter controlos de acesso robustos com controlos biométricos ou de palavra-passe forte. O acesso ao aplicativo deve ser imposto utilizando autenticação de dois factores (2FA).
Wi-Fi seguro
Mesmo com uma VPN, o Wi-Fi deve ser tornado seguro como uma melhor prática. Para assegurar uma rede Wi-Fi, criar um pacote educativo seguro de Wi-Fi para garantir que os empregados tenham os detalhes necessários:
- Alterar a palavra-passe Wi-Fi predefinida e actualizar a palavra-passe regularmente.
- Anonimizar o nome da rede Wi-Fi e não nomear a rede utilizando informações pessoais ou de identificação
- Activar a encriptação de rede em routers Wi-Fi, por exemplo, WPA e WPA2.
- Manter os routers remendados e actualizados.
À medida que mais de nós nos voltamos para o trabalho à distância ou em casa, é vital fechar a porta aos cibercriminosos que tiram partido de práticas inseguras. Ao criar políticas de segurança, lembre-se de se concentrar nos desafios únicos do trabalho doméstico e da segurança. É também essencial capacitar os empregados com formação para proteger o seu ambiente de trabalho em casa ou no escritório.