Dicas de segurança da força de trabalho distribuída
A adoção de aplicativos de computação em nuvem e SaaS disparou nos últimos anos e permitiu que as empresas operassem efetivamente com uma força de trabalho distribuída. Na verdade, quase três quartos das empresas executam quase todas as suas operações na nuvem. Essas organizações estão ansiosas para capitalizar a velocidade, escala e flexibilidade que a infraestrutura baseada em nuvem pode oferecer às suas equipes globais. Mas à medida que a computação em nuvem cresce em popularidade e transforma a forma como as empresas coletam, usam e compartilham dados, ela também se torna um alvo atraente para os cibercriminosos. Ao mover os dados para fora das instalações de um único escritório físico e por uma rede global de dispositivos e pontos de acesso, o gerenciamento e a segurança de ativos se tornaram um grande desafio para as empresas. Em um vistoria pela empresa de segurança Wi-Fi iPass, 57% dos CIOs relataram suspeitar que seus funcionários móveis foram invadidos ou foram a causa de problemas de segurança. As empresas globais com uma força de trabalho distribuída geograficamente precisam levar a sério a segurança dos dados e implementar um plano de segurança abrangente para proteger seus funcionários e dados confidenciais da empresa.
Os 5 principais desafios e soluções de segurança para equipes distribuídas
1. GDPR e outras leis de proteção de datas
A Regulamento geral de proteção de dados (GDPR) são as leis de privacidade e segurança de dados da Europa que entraram em vigor em 25 de maio de 2018. Essa lei rapidamente se tornou uma grande prioridade para qualquer empresa que faça negócios na Europa, tenha clientes europeus ou contrate funcionários ou freelancers europeus. UMA estudo da Apricorn descobriu que 30% das empresas que precisam estar em conformidade com o GDPR sentem que seus trabalhadores remotos europeus fazem com que eles não estejam em conformidade. Além disso, as empresas com operações na América do Norte devem cumprir as Pode-Spam lei e Legislação Anti-Spam do Canadá. A conformidade com essas regulamentações continua sendo um grande desafio para empresas com força de trabalho distribuída. Muitos funcionários remotos usam seu e-mail pessoal ou Wi-Fi público para enviar documentos relacionados ao trabalho. Isso representa um enorme risco de segurança de dados para as empresas. Hackers estão aproveitando o GDPR e outras leis de proteção de dados para extorquir empresas não compatíveis a pagar uma taxa de resgate considerável em vez de lidar com multas governamentais. Um estudo de Sophos, uma empresa de software e hardware de segurança, revelou que quase metade dos diretores de TI do Reino Unido estaria “definitivamente” disposto a pagar uma taxa de resgate a hackers para evitar relatar uma violação de dados e arriscar uma multa sob as leis de proteção de dados da UE.
Solução: Implementar políticas e procedimentos de segurança em toda a empresa
Para permanecer em conformidade com as leis de proteção de dados, claramente definidas, documentar e educar os funcionários sobre políticas de segurança sobre como lidar com dados de negócios em todos os momentos. Isso inclui especificar por escrito o que os funcionários podem e não podem fazer com dispositivos, informações e documentos relacionados ao trabalho. Garanta que todos os dados sejam criptografados e defina permissões sobre quem pode acessar dados confidenciais da empresa. Por fim, tenha políticas claras de trabalho remoto sobre como os funcionários devem se conectar à rede da empresa, bem como políticas de Wi-Fi domésticas e públicas.
2. Rastreamento e gerenciamento de ativos na nuvem
Empresas corporativas com equipes distribuídas geralmente são empresas baseadas em tecnologia com ativos de TI como software, dados e outras informações comerciais pertinentes. A maioria desses dados inestimáveis é armazenada e acessada por meio da nuvem. “A nuvem” refere-se a servidores que são acessados pela Internet e ao software e bancos de dados que são executados nesses servidores. Segredos comerciais, relatórios confidenciais, informações de funcionários e clientes e até mesmo materiais visuais, como logotipos e ilustrações de campanha, são informações proprietárias confidenciais que são armazenadas na nuvem e precisam ser protegidas contra todos os tipos de ameaças externas. Um pequeno vazamento pode interromper ou interromper as operações de uma empresa. Pior ainda, uma grande violação de segurança ou perda de dados pode encerrar completamente uma empresa. Um estudo descobriram que 93% das empresas que perderam seus dados por 10 dias ou mais pediram falência dentro de um ano e 50% pediram falência imediatamente.
Solução: use ferramentas de gerenciamento e segurança em nuvem
Para manter os dados da sua empresa seguros sem interferir no fluxo de trabalho e na produtividade dos funcionários, use uma solução de gerenciamento de TI como Pacote de gerenciamento de nuvem Syxsense. Isso dá aos funcionários a flexibilidade de usar com segurança seus dispositivos de trabalho remotamente. Para TI, o Syxsense combina o gerenciamento de endpoints com serviços de monitoramento e segurança de endpoints preditivos e proativos em tempo real. Para proteção adicional, use ferramentas adicionais de monitoramento de segurança, como geofencing, monitoramento preditivo de ativos e sistemas de bilhetagem para ajudar a evitar ataques cibernéticos. Essas soluções dão à equipe de TI a capacidade de monitorar e rastrear o tráfego na nuvem para garantir que todos os funcionários estejam em conformidade com os regulamentos de segurança da empresa.
3. Segurança reduzida nos dispositivos pessoais dos funcionários
Tradicionalmente, os funcionários usavam dispositivos de escritório designados para o trabalho que eram protegidos com camadas físicas e eletrônicas de segurança. Hoje, com a popularidade do trabalho distribuído, muitas organizações estão adotando uma política de BYOD (traga seu próprio dispositivo) que permite que os funcionários usem seus próprios laptops, tablets ou smartphones para trabalhar. Isso economiza dinheiro das empresas, pois elas não precisam comprar novas tecnologias e os funcionários não têm curva de aprendizado, pois já estão familiarizados com o dispositivo. Mas com esse aumento na flexibilidade de trabalho vem um aumento nos riscos de segurança. O dispositivo pessoal de um funcionário pode não ser seguro e representar uma grande ameaça à segurança dos dados. Além disso, muitos funcionários remotos se conectam a redes Wi-Fi públicas com seus dispositivos pessoais inteligentes, o que pode expor seus dados importantes a um ciberataque. Em um estudo da iPass, 95% das empresas admitem que seus funcionários móveis são um desafio de segurança.
Solução: criptografar e proteger todos os dispositivos
Primeiro, os funcionários devem especificar quais dispositivos usam para trabalhar, incluindo qualquer telefone pessoal, tablet ou computador, para que esses dispositivos possam ser criptografados e protegidos adequadamente usando software antivírus e de segurança certificado pela empresa. Ferramentas de segurança como AirWatch não só permite que você proteja os dispositivos dos funcionários, mas também rastreie, localize ou apague dispositivos remotamente caso o dispositivo seja roubado. Em seguida, aumente a conscientização dos funcionários sobre possíveis violações de segurança de dados e eduque cada funcionário sobre as melhores práticas de prevenção de perda de dados. Isso deve incluir protocolos e políticas de segurança de trabalho remoto claros e precisos.
4. Sistemas de Backup e Recuperação Inadequados
70% dos funcionários sofreram perda de dados devido a vírus, falha do sistema ou algum outro desastre. Muitas organizações não possuem um sistema de backup e recuperação adequado para esse tipo de perda de dados. Para empresas que possuem uma política BYOB, esse problema se torna ainda mais acentuado. Os funcionários podem usar o mesmo dispositivo inteligente ou laptop para uso profissional e pessoal, muitas vezes misturando dados comerciais e pessoais, expondo cada um às vulnerabilidades do outro. Por exemplo, um funcionário pode baixar um filme para uso pessoal em seu laptop sem perceber que o arquivo contém malware. O laptop trava e os dados pessoais e de trabalho do funcionário são perdidos. A recuperação desses dados pode ser impossível sem um sistema de backup e recuperação instalado.
Solução: use uma solução de backup em nuvem
Felizmente, existem várias maneiras de resolver esse problema e garantir backup e recuperação completos de dados. Uma solução simples é fazer com que o funcionário faça backup de seu computador em um disco rígido local ou externo. As empresas também podem fornecer um programa centralizado de backup e recuperação de dados para todos os dispositivos em sua rede. Ambas as opções, no entanto, têm limitações, pois os dispositivos e servidores de backup de dados são propensos a falhas e hackers. A melhor opção é escolher uma solução de backup em nuvem de nível empresarial. Muitos provedores de SaaS, como Crashplan e Veeam fornecer uma solução completa de backup e recuperação na nuvem para todos os seus dados.
5. Vazamentos e hacks de comunicação
Algumas das maiores marcas do mundo sofreram vazamentos de comunicação e hacks. Empresas como Apple, Microsoft, Facebook e o estúdio de cinema da Sony tiveram falhas de comunicação dispendiosas, permitindo que pessoas de fora tenham acesso a informações valiosas. Muitas dessas exposições se devem a funcionários que enviam arquivos críticos de negócios e mensagens confidenciais por meio de canais de comunicação que não eram protegidos. O uso de plataformas de comunicação não criptografadas para e-mail, mensagens instantâneas, chamadas de áudio e videoconferência pode expor suas informações privadas e torná-lo vulnerável a hacks. Essas violações de segurança são caras para as empresas. Globalmente, crimes cibernéticos danos custam às empresas 6 trilhões de dólares por ano.
Solução: Use soluções de comunicação criptografadas de ponta a ponta
Ao procurar um novo provedor de comunicação ou reavaliar os fornecedores atuais, a segurança deve sempre ser um componente de alta prioridade em sua pesquisa. Procure uma solução que tenha um histórico de manter os dados de seus clientes seguros e que ofereça a mais recente tecnologia de segurança, como criptografia de ponta a ponta. Criptografia de ponta a ponta (E2EE) é um sistema de comunicação segura entre usuários que impede que terceiros leiam as mensagens. Os dados criptografados de ponta a ponta garantem privacidade entre remetente e destinatário, mitigando riscos e protegendo dados confidenciais. Nem todos os serviços de comunicação impõem segurança e criptografia, mas a Lifesize oferece a mais alto nível de segurança e criptografia de ponta a ponta habilitado por padrão.
“É preocupante que todo o hype em torno do crime cibernético – as manchetes, os avisos de violação etc. – nos torne complacentes. O risco é muito real e não podemos nos deixar levar por uma sensação de inevitabilidade. Todos nós temos um papel a desempenhar na forma como protegemos nossos negócios da ameaça crescente do cibercrime.”
Robert Herjavec, fundador da empresa de TI e segurança informática The Herjavec Group
Práticas recomendadas para garantir a segurança de equipes remotas
O elemento humano pode minar os sistemas de segurança mais fortes do mundo. É por isso que é importante que todos os funcionários entendam o risco de violação de dados e sigam rigorosamente os protocolos de segurança de toda a empresa. O treinamento de segurança de dados deve começar durante o processo de integração de um novo contratado. Enfatizar a importância da segurança cibernética desde o início ajuda a promover boas práticas de segurança e conscientiza os funcionários sobre suas ações. Além disso, as empresas devem educar todos os funcionários sobre novos protocolos, riscos de segurança e melhores práticas regularmente, realizando treinamentos, enviando memorandos informativos e usando módulos de treinamento online. Abaixo, descrevemos algumas práticas recomendadas de segurança para ajudar a manter as informações de seus funcionários e os dados confidenciais da empresa seguros.
Crie e aplique uma política de segurança de trabalho remoto
Sua organização deve ter uma política abrangente de segurança de trabalho remoto em vigor que ajude a proteger contra negligência, violações, hacks e outras ameaças externas dos funcionários. Essa política deve definir claramente o que é e o que não é aceitável ao enviar e receber arquivos, comunicar-se com pessoas dentro e fora de sua organização e lidar com dados confidenciais da empresa.
Evite usar pontos de acesso Wi-Fi não seguros
Redes WiFi inseguras que você encontra frequentemente em espaços públicos são uma mina de ouro virtual para hackers que desejam roubar informações privadas. Uma rede WiFi não segura geralmente pode ser acessada sem nenhum tipo de recurso de segurança, como senha ou login. Por outro lado, uma rede WiFi segura exige que o usuário concorde com os termos legais, registre uma conta ou digite uma senha antes de se conectar. No entanto, mesmo redes públicas seguras podem ser arriscadas, portanto, os funcionários devem usar com cautela.
Evite clicar em links de pop-ups e e-mails desconhecidos
Cuidado com o phishing. Os phishers tentam induzir os funcionários a clicar em um link que pode resultar em uma violação de segurança. Links maliciosos podem conter vírus ou malware incorporados neles. Muitas vezes, esses links aparecem em uma janela pop-up, um e-mail de uma fonte não confiável ou qualquer outra forma de comunicação que você não iniciou. Aconselhe os funcionários a nunca clicar em links suspeitos ou abrir anexos de um endereço de e-mail que eles não reconhecem.
Crie senhas fortes
A senha fraca de um funcionário tem o potencial de comprometer não apenas os dados pessoais do funcionário, mas também os dados confidenciais de toda a empresa. Todo ano, SplashData publica uma lista das 50 piores senhas e, todos os anos, senhas como “123456” e “senha” encabeçam a lista. As senhas devem ter pelo menos oito caracteres e incluir letras, números e pelo menos um caractere especial. Evite usar seu nome, nomes de animais de estimação, nomes de crianças, aniversários de crianças e qualquer coisa que as pessoas possam encontrar facilmente em seu perfil de mídia social. Por fim, as senhas devem ser atualizadas a cada um a três meses para reduzir o risco de sua conta ser invadida.
Usar autenticação multifator
A autenticação multifator (MFA) combina duas ou mais credenciais independentes para fazer login em uma conta ou acessar dados. Isso pode incluir o nome e a senha de um usuário com uma verificação adicional como impressão digital, pergunta de segurança ou um código de verificação que é enviado em uma mensagem de texto para o celular de um funcionário. A MFA cria uma defesa em camadas que dificulta a invasão de hackers em dispositivos de computação, banco de dados ou rede em toda a empresa. Se um fator for comprometido, os cibercriminosos ainda terão pelo menos mais uma barreira para violar antes de acessar com sucesso os dados privados.
Tenha cuidado com downloads de software
Muitos funcionários acreditam ingenuamente que um download de software de uma marca confiável é seguro, mas a internet está cheia de sites que oferecem downloads de software disfarçados de marcas conhecidas. Esses downloads maliciosos podem conter malware, trojans, spyware, worms ou outros tipos de vírus. Tenha uma política de download em vigor e certifique-se de que todos os funcionários entendam o protocolo de download de software em seus laptops e dispositivos inteligentes. Para ajudar a reduzir o risco, a TI também pode limitar downloads para dispositivos da empresa.
Bloqueie virtual e fisicamente dispositivos, servidores e armazenamento de dados
Os funcionários devem bloquear seus dispositivos sempre que os deixarem sem vigilância, especialmente ao trabalhar em espaços públicos. Isso significa bloquear a tela quando você se afastar e garantir que o dispositivo físico não possa ser roubado. Certifique-se de que a configuração de “bloqueio automático quando inativo” dos dispositivos esteja habilitada e os programas sejam configurados para expirar agressivamente quando não estiverem em uso. Além dos dispositivos relacionados ao trabalho do funcionário, as salas de servidores e os locais de armazenamento de dados que contêm informações confidenciais também devem ser bloqueados com segurança.