Cibersegurança e privacidade: dez práticas recomendadas ao trabalhar em casa
- Criado em 15/12/2021 Por Caroline Francescato
Como a pandemia permeia a força de trabalho com muitos funcionários continuando a trabalhar em casa, as empresas devem permanecer vigilantes contra o aumento dos riscos de segurança cibernética. Aqui estão 10 medidas e lembretes importantes que podem ajudar a mitigar esses riscos substanciais.
Por Dani Vanderzanden e Rebecca Bennett
Como a pandemia permeia a força de trabalho com muitos funcionários continuando a trabalhar em casa, as empresas devem permanecer vigilantes contra o aumento dos riscos de segurança cibernética. Abaixo estão 10 medidas e lembretes importantes que podem ajudar a mitigar esses riscos substanciais.
Criptografar dados e controlar rigidamente o acesso aos dados criptografados
A criptografia de dados em repouso e em trânsito continua a ser essencial para a segurança da informação. Instrua os funcionários a armazenar o trabalho no sistema do empregador (em vez de em dispositivos da empresa ou pessoais). Ao trabalhar com fornecedores terceirizados, analise os termos do contrato para fornecer ampla proteção para seus dados.
Implantar Dispositivos Seguros para Funcionários Remotos
A maioria dos computadores pessoais de funcionários não tem proteções importantes contra malware e criptografia, e os hackers aproveitam as vulnerabilidades dos computadores pessoais. Essas vulnerabilidades aumentam os riscos aos dados nesses computadores pessoais e aos dados acessados a partir desses computadores (incluindo dados que residem em servidores da empresa acessados remotamente). Para entidades cobertas pela Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA), a Lei Gramm-Leach-Bliley (GLBA) e outros esquemas regulatórios, isso é essencial. Dadas essas vulnerabilidades, os empregadores podem considerar exigir que os funcionários mantenham todos os dados de trabalho em dispositivos de propriedade da empresa e evitem aplicativos de compartilhamento de nuvem que não foram avaliados quanto à privacidade e segurança. Limitar a diversidade de repositórios de armazenamento ajuda a limitar o número de possíveis vias de ataque.
Aumente a segurança da VPN, a força da senha e as proteções de telefone / videoconferência
Exigir autenticação multifator para acessar a rede privada virtual (VPN) do empregador (especialmente se os funcionários estiverem usando seus próprios dispositivos para obter esse acesso). O fato de os funcionários não poderem interagir pessoalmente aumenta a necessidade de autenticação multifator e senhas fortes. Reitere a importância de usar senhas fortes e proteger a segurança dessas senhas. Senhas fracas ou roubadas continuam sendo a principal causa de comprometimento da segurança das informações.
Avise os funcionários que discutirem assuntos confidenciais por telefone ou videoconferência sobre os riscos de que invasores possam tentar ouvir e ver tais conversas. O envio de coordenadas de conferência (como um número de identificação de reunião) e senhas separadamente minimiza tais intrusões. Ativar os recursos de identificação do participante e usar a tecnologia que permite ao moderador remover participantes inesperados ajudará a garantir que apenas indivíduos autorizados participem.
Cuidado com o Wi-Fi inseguro
Aconselhe os funcionários a evitar o acesso à Internet em serviços Wi-Fi públicos ou compartilhados. Se os funcionários não tiverem acesso a várias redes em suas casas, aconselhe-os a usar um hotspot pessoal ou outras redes sem fio dedicadas separadas do Wi-Fi ao qual outras pessoas têm acesso.
Atualizar avisos de phishing e treinamentos de funcionários
Os hackers estão implantando novos golpes de phishing e os funcionários estão sendo vítimas deles. Para ajudar a se proteger contra atores nefastos, lembre os funcionários de evitar clicar em links em quaisquer mensagens de e-mail imprevistas; seguir os procedimentos da empresa ao responder a solicitações de fundos; evite comprar cartões-presente de qualquer pessoa que afirme ser funcionário da empresa; evite abrir documentos inesperados, links ou outros downloads; e cuidado com as tentativas de roubo de identidade. O aumento no phishing é generalizado, e os hackers estão se passando por bancos que oferecem assistência COVID-19, entidades que fornecem conselhos de saúde e prevenção de COVID-19 e uma miríade de outras empresas.
Limitar o acesso a jogos e sites em dispositivos usados para acessar os sistemas do empregador
Muitos sites e jogos online fornecem vetores de vulnerabilidade; portanto, impedir que os funcionários acessem sites não relacionados ao trabalho em dispositivos usados para realizar o trabalho limitará esses riscos.
Mantenha o controle de dispositivos e espaços de trabalho físicos seguros
Durante os períodos de trabalho remoto, o rastreamento de ativos físicos usados para acessar os sistemas do empregador é crítico. Além disso, os empregadores podem lembrar os funcionários de aplicar medidas físicas para proteger quaisquer dispositivos que contenham dados da empresa. Essas etapas podem incluir trancar as portas da casa e do escritório doméstico, colocar os dispositivos em um cofre, manter os dispositivos com eles durante a viagem e travar as telas antes de se afastar de seus computadores. Muitos incidentes de segurança da informação ocorrem quando um dispositivo é roubado ou extraviado, e é essencial proteger a segurança física dos dispositivos que podem armazenar informações ou executar funções de computação.
Impedir conexão de dispositivo externo
Unidades thumb e outros dispositivos externos fornecem caminhos para exfiltração de dados e vetores para comprometer a segurança da informação. Os empregadores podem lembrar os funcionários de limitar o uso desses dispositivos e mantê-los seguros caso os utilizem.
Formalizar acordos de trabalho em casa e treinar funcionários
Os empregadores podem achar útil estabelecer protocolos escritos para acordos de trabalho remoto que abordem a segurança da informação, privacidade e outras restrições de trabalho. Além disso, os empregadores podem garantir que essas políticas exijam a divulgação imediata de qualquer possível comprometimento da segurança da informação. Essas políticas escritas devem proteger a capacidade do empregador de remover dados do empregador de dispositivos pessoais.
Prepare um Plano de Resposta a Incidentes
Arranjos extensos de trabalho remoto, como foram exigidos pelo COVID-19, representam uma miríade de riscos de segurança elevados para informações profissionais e pessoais. Prepare-se para lidar com esses riscos.
Dani Vanderzanden e Rebecca Bennett são acionistas da Ogletree, Deakins, Nash, Smoak & Stewart. Eles podem ser contatados em dani.vanderzanden@ogletree.com e rebecca.bennett@ogletree.com , respectivamente.