Nos últimos anos, o aumento do trabalho remoto transformou o cenário tradicional dos escritórios, oferecendo flexibilidade e conveniência sem precedentes. No entanto, esta mudança para o trabalho remoto traz consigo o seu próprio conjunto de desafios, particularmente no domínio da cibersegurança. À medida que as organizações se adaptam ao local de trabalho virtual, têm de estar vigilantes na identificação e abordagem dos vários riscos de cibersegurança que podem comprometer informações sensíveis e minar a integridade das suas operações.

Aqui, a MetaCompliance explora alguns dos problemas que o trabalho em casa traz para a mesa da cibersegurança e o que fazer para fechar a porta aos desafios de segurança do trabalho remoto.

O problema do trabalho remoto e da segurança

  • Uma sondagem efectuada a 1000 empresas britânicas pela British Chambers of Commerce (BCC) e pela Cisco revelou que mais de metade das empresas se sentem expostas a riscos de cibersegurança devido ao trabalho em casa.

  • De acordo com um relatório, 20% das organizações acreditam que uma violação de dados ocorreu devido a um trabalhador remoto.

  • O relatório Verizon Mobile Security Index concluiu que 79% dos inquiridos estão preocupados com o facto de as mudanças nas práticas de trabalho prejudicarem a postura de cibersegurança de uma organização. O relatório também destaca a questão da segurança dos dispositivos móveis e do trabalho à distância, com 52% dos inquiridos a admitirem sacrificar a segurança dos dispositivos móveis (e dos dispositivos IoT) para “fazer o trabalho”.

  • As políticas de cibersegurança também estão a ser afectadas para permitir que os trabalhadores remotos façam o seu trabalho sem entraves. Um inquérito revelou que 26% das empresas britânicas inquiridas tinham flexibilizado a sua política de cibersegurança para permitir que os empregados trabalhassem remotamente com mais facilidade.

Onde estão os riscos de segurança quando trabalhas em casa?

O facto de os empregados trabalharem a partir de casa ou à distância acarreta novos riscos, que normalmente não são desconhecidos. As áreas em que o risco cibernético se insinua incluem:

Dispositivos pessoais

Um estudo do governo britânico DCMS “Cyber Security Breaches Survey 2022” mostra que 45% das empresas permitem que os funcionários utilizem dispositivos pessoais, como computadores portáteis, para realizar tarefas relacionadas com o trabalho. O problema surge quando não há supervisão ou controlo do dispositivo.

Por exemplo, se um dispositivo for utilizado para enviar e receber e-mails comerciais, tens a certeza de que os e-mails recebidos não são ataques de phishing ou uma fraude?

Da mesma forma, supõe que a tua equipa de TI não consegue garantir que os dispositivos móveis são actualizados e corrigidos. Nesse caso, os riscos de segurança podem infiltrar-se, vazar dados e o malware pode entrar na tua rede empresarial.

Dispositivos e redes domésticas sem segurança

As redes domésticas inseguras podem tornar-se uma via de entrada para os cibercriminosos e levar à exposição de dados sensíveis. Os cibercriminosos vasculham a Internet à procura de redes não seguras, e quaisquer falhas de segurança serão exploradas, incluindo palavras-passe predefinidas em dispositivos IoT e Wi-Fi ou routers não corrigidos.

Da mesma forma, as impressoras Wi-Fi não devem ser negligenciadas. Uma ligação insegura a uma impressora Wi-Fi também abre a porta a um cibercriminoso. Mais uma vez, as vulnerabilidades das impressoras podem levar a uma rede doméstica exposta. Um estudo Quocirca Print Security Landscape 2022 revelou que 68% das empresas sofreram perdas de dados devido a inseguranças relacionadas com a impressão.

Utilização da Internet e comportamentos não conformes

O ditado “longe da vista, longe do coração” resume a forma como as mudanças de comportamento e a utilização da Internet quando um funcionário está em casa conduzem a inseguranças. Um relatório da Avanti revelou que 66% dos profissionais de TI referiram um aumento dos problemas de segurança causados pelo trabalho remoto em linha. Os problemas de segurança incluíam correio eletrónico malicioso, comportamento não conforme dos empregados e vulnerabilidades de software.

Um outro estudo sobre os comportamentos de segurança das forças de trabalho remotas concluiu que o comportamento de risco era mais prevalecente em ambientes de trabalho em casa, com questões como deixar um computador desbloqueado quando deixado sem vigilância. O estudo foi realizado durante a pandemia de Covid-19 e concluiu a necessidade de “medidas de bem-estar e educativas para ajudar as pessoas em risco de UPI (utilização problemática da Internet) a tornarem-se mais conscientes de como detetar os tipos de cibercrimes relacionados com a COVID-19.

Espaços partilhados

Comportamentos de risco, como deixar e-mails e documentos confidenciais abertos num computador sem vigilância, podem abrir riscos de segurança em casas partilhadas. Os espaços partilhados podem transformar-se em dispositivos partilhados e, se esses dispositivos estiverem ligados a uma aplicação ou rede empresarial, isso pode deixar uma organização exposta a incumprimentos regulamentares ou vulnerável a ataques informáticos. As preocupações com a segurança no trabalho remoto também devem incluir os espaços de co-working – um estudo concluiu que 23% dos trabalhadores em espaços de coworking tinham preocupações com a segurança.

Que medidas de segurança podem ajudar a proteger os trabalhadores domiciliários e remotos?

Há várias coisas que uma organização pode fazer para ajudar a melhorar a segurança da sua força de trabalho em casa:

Fornece uma VPN

Uma rede privada virtual ou VPN é uma ferramenta valiosa que fornece uma ligação segura entre um utilizador e uma rede/internet. Por exemplo, um funcionário com uma VPN corretamente configurada pode enviar e receber e-mails e outros dados de forma segura. Uma VPN protegerá qualquer tráfego de dados, mesmo que a rede doméstica seja insegura. Podes saber mais sobre os benefícios da utilização de uma VPN na nossa publicação do blogue, “3 razões pelas quais precisas de uma VPN segura“.

Formação de sensibilização para a segurança que abrange os trabalhadores domésticos

O impacto do teletrabalho e do trabalho híbrido nos trabalhadores e nas organizações“, conclui um relatório de outubro de 2022 do POST do Parlamento britânico:

A investigação sugere que os desafios em matéria de cibersegurança podem resultar de uma formação inadequada e da diminuição dos níveis de cumprimento da política de segurança da informação por parte dos trabalhadores devido à falta de apoio organizacional.

O ambiente de trabalho em casa tem desafios únicos e a formação de sensibilização para a segurança deve refletir esse facto. Por conseguinte, certifica-te de que o teu programa de formação de sensibilização para a segurança se centra no trabalho em casa e nas necessidades de segurança. As áreas típicas em que a formação de sensibilização para a segurança deve educar os trabalhadores em casa incluem:

  • Tem cuidado para não deixares informações sensíveis abertas no ecrã.

  • Não mantenhas a sessão iniciada nas aplicações quando estiveres fora do teu espaço de trabalho.

  • Higiene das palavras-passe e políticas de limpeza da secretária.

  • Mantém os dispositivos pessoais e de trabalho separados sempre que possível.

  • A importância da utilização de uma VPN.

  • O seu papel na proteção dos dados.

  • Mantém os dispositivos e o software actualizados.

  • Segue as políticas de segurança, mesmo em casa.

Aplica políticas de controlo de acesso robustas

O acesso do trabalho doméstico e remoto às aplicações empresariais e à rede deve ser gerido utilizando princípios como o acesso com privilégios mínimos. No entanto, um controlo de acesso robusto também deve fazer parte do escritório em casa.

Por exemplo, o acesso ao dispositivo deve ser protegido através de um PIN biométrico ou forte. Do mesmo modo, o acesso a um computador de trabalho doméstico deve ter controlos de acesso robustos com controlos biométricos ou por palavra-passe forte. O acesso às aplicações deve ser reforçado através da autenticação de dois factores (2FA).

Wi-Fi seguro

Mesmo com uma VPN, o Wi-Fi deve ser tornado seguro como prática recomendada. Para proteger uma rede Wi-Fi, cria um pacote educativo sobre Wi-Fi seguro para garantir que os empregados têm os detalhes necessários para:

  • Altera a palavra-passe Wi-Fi predefinida e actualiza-a regularmente.

  • Anonimiza o nome da rede Wi-Fi e não dês um nome à rede utilizando informações pessoais ou de identificação

  • Ativa a encriptação de rede nos routers Wi-Fi, por exemplo, WPA e WPA2.

  • Mantém os routers com patches e actualizados.

À medida que cada vez mais pessoas optam pelo trabalho remoto ou em casa, é vital fechar a porta aos cibercriminosos que tiram partido de práticas inseguras. Ao criar políticas de segurança, lembra-te de te concentrares nos desafios únicos do trabalho em casa e da segurança. Também é essencial capacitar os funcionários com formação para protegerem o seu ambiente de trabalho em casa ou no escritório.