x
x
Linkedin Instagram

Geral

  • 1 abril 2020
  • Tweet nosso site
  • Compartilhe no Facebook.
  • Compartilhe no LinkedIn.
  • Compartilhe no Whatsapp.

Riscos de ataques cibernéticos em tempos de COVID-19 e home office: Como se prevenir?

Segurança cibernética no home office:

A pandemia do coronavírus, conhecida como COVID-19, vem impondo uma série de desafios às empresas e organizações. De uma hora para a outra, tiveram que implantar o regime de teletrabalho ou trabalho remoto, popularmente conhecido como “home office”, de modo a atender às medidas de isolamento social impostas para mitigar os efeitos da contaminação e evitar o colapso do sistema de saúde. Para muitas empresas, esta será a primeira vez que implementam programas de teletrabalho de maneira generalizada para a totalidade dos colaboradores, o que impõe desafios técnicos consideráveis, na medida em que o recurso ao trabalho remoto em larga escala pode aumentar a exposição das empresas a riscos de privacidade, proteção de dados e segurança cibernética.

Ao autorizar o “home office”, a empresa deve levar em consideração os níveis de segurança física, técnica e administrativa de todos os seus recursos de acesso remoto, incluindo dispositivos internos e de terceiros, redes e servidores de acesso remoto e os recursos internos acessados, de modo a avaliar quais medidas devem ser adotadas para mitigar os riscos de privacidade e segurança da informação.

As preocupações com tais riscos são ainda mais relevantes na medida em que a Lei n.º 13.709/18 (Lei Geral de Proteção de Dados Pessoais – LGPD), que se aproxima do início de sua vigência, estabelece a obrigatoriedade para que agentes de tratamento (controladores e operadores de dados) adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Riscos relacionados ao trabalho remoto e à segurança cibernética no home office:

Dentre os riscos normalmente associados ao trabalho remoto, vale destacar aqueles relacionados aos dispositivos e redes utilizados. Tais riscos decorrem do fato de que muitos colaboradores podem acabar utilizando equipamentos pessoais, ao invés de equipamentos corporativos. Em algumas situações, mesmo utilizando os recursos corporativos, podem acabar se valendo de redes wi-fi públicas ou não seguras. Essas vulnerabilidades podem aumentar os riscos de acessos indevidos à rede da organização, expondo dados pessoais, senhas e credenciais de acesso, segredos de negócios, informações de clientes e comunicações sigilosas. Em linhas gerais, a empresa perde o controle sobre os dados e informações que deveriam trafegar em ambiente seguro, não sendo possível ter certeza para onde estão sendo transferidos ou armazenados, aumentando os riscos de incidentes de segurança e vazamentos de dados.

Esses riscos podem ser mitigados valendo-se de tecnologias de criptografia para proteger a confidencialidade e integridade da rede, além de ferramentas múltipla autenticação. Nesse contexto, é altamente recomendável a utilização de equipamentos corporativos conectados a redes privadas virtuais VPN (virtual private network), que conectam de maneira segura o equipamento utilizado pelo colaborador e a infraestrutura de tecnologia da informação (TI) da empresa. Devem ser implementados também múltiplos fatores de autenticação para aumentar a segurança em todas as conexões VPN realizadas, protegendo o material de trabalho, sobretudo se este tratar de assuntos confidenciais, desde consultas jurídicas até segredos industriais.

Muito embora a recomendação no momento seja o isolamento social, outro problema normalmente associado aos riscos do teletrabalho diz respeito à possibilidade de roubo ou furto dos equipamentos utilizados. Afinal, o colaborador pode acabar levando o dispositivo móvel corporativo para hotéis, restaurantes, cafeterias, ambientes que que estão fora do controle da empresa. Esses dispositivos, sejam notebooks ou smartphones, são suscetíveis de serem perdidos ou subtraídos, permitindo que terceiros não autorizados acessem os dados e informações confidenciais armazenados. Esses riscos podem ser mitigados por meio da criptografia do armazenamento dos dispositivos, ou mesmo dos próprios dados armazenados, de modo a impedir que sejam recuperados por terceiros não autorizados. A utilização da autenticação de dois ou mais fatores também ajuda a mitigar esses riscos, na medida em que oferece uma camada adicional de proteção contra acessos indevidos.

Assim, diante da abrupta necessidade de implementar o trabalho remoto para impedir a interrupção dos negócios e reduzir o risco, cabe às empresas indagar: as políticas corporativas existentes trazem regras de segurança aplicáveis ao trabalho remoto? Quantos funcionários estão utilizando seus dispositivos pessoais para acessar informações confidenciais corporativas? Todos os dispositivos utilizados, sejam pessoais ou corporativos, foram atualizados e configurados adequadamente para proteger contra os ataques identificados mais recentemente? O Departamento de TI possui condições de monitorar e responder de maneira eficaz a múltiplos pedidos de solicitação de assistência por colaboradores não habituados à prática de “home office”?

Como ataques cibernéticos podem ocorrer?

Diante da crise causada pelo novo coronavírus, criminosos tem promovido ataques cibernéticos de diversas formas, não apenas aproveitando-se de vulnerabilidades de segurança nos dispositivos e sistemas utilizados para o trabalho remoto, como também valendo-se de práticas de engenharia social, ou mesmo ataques de phishing e malware contra colaboradores menos informados ou emocionalmente abalados com a pandemia do COVID-19. A empresa de cibersegurança WebARX divulgou uma lista de casos de ataques desse tipo após o início da pandemia, conforme pode ser observado no link a seguir: https://www.webarxsecurity.com/covid-19-cyber-attacks/.

Como se pode observar, criminosos tem enviado e-mails de phishing para induzir as pessoas a clicarem em links ou anexos infectados com malware, resultando em roubo de logins e senhas. Desde o início da crise, tem sido cada vez mais frequente o recebimento de e-mails com títulos do tipo “clickbait” (também chamados de “caça-cliques”) contendo informações ou alertas relacionados ao COVID-19, notícias sensacionalistas, instituições de caridade falsas solicitando ajuda financeira, dentre outros. Colaboradores mais desavisados podem acabar clicando nesses links ou arquivos, colocando em risco os dispositivos e redes corporativos. Portanto, é preciso orientar os colaborares a terem cuidado redobrado ao receberem e-mails não solicitados. As empresas também devem instalar software agressivo de verificação de e-mails e, sempre que possível, estabelecer um e-mail ou canal único corporativo para atualizações oficiais sobre a resposta à crise.

Outros ataques também têm sido observados, como a utilização de apps falsos contendo malware, roubo de credenciais corporativas de acesso por meio de redes de wi-fi não seguras, táticas de engenharia social através telefonemas para obter informações de credencias de acesso do colaborador, dentre outras práticas.

Recomendações de melhores práticas para a segurança cibernética no home office:

Idealmente, todas as empresas deveriam ter políticas de cibersegurança que contemplem orientações sobre o trabalho remoto, além de treinamentos para todos os colaboradores.   Todavia, como o mundo real não é necessariamente o ideal, algumas práticas básicas devem ser estabelecidas, ainda que de modo ad hoc para lidar com a crise, sem prejuízo de serem posteriormente consolidadas nas políticas corporativas, incluindo orientações aos colaboradores sobre os cuidados que devem ter ao trabalhar de maneira remota.

Dentre as principais recomendações, destacamos as seguintes:

  • Permitir que apenas dispositivos previamente aprovados pelo TI possam se conectar à rede corporativa;
  • Evitar o uso de Wi-Fi público e sempre priorizar o uso do VPN, mas não sendo isso possível, recomendar que a senha do Wi-Fi seja fortemente protegida e modificada de tempos em tempos;
  • Manter a rede VPN sempre atualizada e protegia.
  • Encriptar e-mails sensíveis e confidenciais de todos os dispositivos;
  • Utilizar múltiplos fatores de autenticação para logar à rede corporativa;
  • Sempre reforçar as orientações aos colaboradores para evitar que acessem e-mails de phishing ou que façam download de aplicativos falsos;
  • Transitar documentos da empresa apenas por meio de e-mails corporativos ou em ambientes colaborativos oficiais hospedados em nuvem;
  • Ampliar a conscientização dos colaboradores sobre os riscos de ataques cibernéticos, incluindo phishing, práticas de malware e engenharia social;
  • Atualizar o software de antivírus regularmente;
  • Certificar-se de que o departamento de TI possui recursos adequados para dar suporte ao trabalho remoto e garantir a segurança da rede;
  • Estabelecer um plano de resposta a incidentes de segurança adaptado a situações de trabalho remoto;
  • Tela de proteção para todos os aparelhos, bem como evitar trabalhar de áreas comuns, priorizando o trabalho em ambientes segregados.

E se as melhores práticas não forem suficientes?

É possível que tais recomendações não sejam suficientes para resguardar a segurança das empresas, pelos mais variados motivos. Nessa hipótese, o apoio técnico das equipes de TI é fundamental para identificar a causa dos vazamentos e tomar ações remediadoras com a maior agilidade possível. É nesse contexto que se faz imprescindível estabelecer um plano para a resposta a incidentes de segurança, incluindo o atendimento a todos os requisitos técnicos e legais e a preservação das provas, documentando cada procedimento adotado, de modo a possibilitar que se acionem os mecanismos extrajudiciais ou judiciais disponíveis, seja de natureza civil, administrativa ou criminal. Better know first é a melhor forma de se preparar e conter os danos.

Considerações finais

Vivemos um momento de crescente transformação digital nas empresas, alterando profundamente as relações jurídicas com fornecedores, clientes e colaboradores. O teletrabalho ou “home office”, que aos poucos já vinha sendo introduzido nas políticas corporativas, deverá passar a fazer parte da cultura de boa parte das empresas após a crise do COVID-19. Por esse motivo, preocupações com segurança cibernética  no home office, privacidade e proteção de dados devem estar na ordem do dia, especialmente no contexto da necessária adequação à LGPD, que exige a adoção de medidas de adequadas capazes de proteger os dados pessoais de acessos não autorizados ou ilícitos e de incidentes de segurança.

Em tempos de COVID-19, boas práticas de cibersegurança são imprescindíveis para mitigar riscos associados à utilização do trabalho remoto em larga escala. Mesmo sem uma política sofisticada de segurança da informação, é possível adotar medidas eficazes que, embora muitas vezes custosas, podem proteger as empresas de ataques cibernéticos, como phishing e malwares, minimizando possíveis danos financeiros, operacionais e reputacionais, resultantes de acessos indevidos e vazamento de dados pessoais e informações corporativas confidenciais.

Para mais informações sobre a segurança cibernética no home office, contate:

Ludmila Groch
(+55) 11 3024 6464
ludmila.groch@lefosse.com

Paulo Lilla
Tel:. (+55) 11 3024 6464
paulo.lilla@lefosse.com


Voltar