Se o trabalho remoto precisa ser seguro, como garantir a segurança da informação?
Existe uma série de características para tornar o home office seguro, são compliances que podem partir da própria empresa, assim como medidas que funcionam para a maioria dos casos.
O trabalho remoto não é uma nova modalidade de trabalho, diversas empresas e profissões já operam dessa maneira pelos mais variados motivos: economia em estrutura, contratação de mão de obra qualificada ou o modelo de negócios.
Para a segurança da informação, a praticidade de poder trabalhar de qualquer lugar do mundo vem com diversas responsabilidades que tentam encontrar o equilíbrio para que não ocorra nenhuma perda de produtividade.
Mas como será que isso ocorre na prática?
O trabalho remoto durante crises de impacto organizacional
Se para muitas empresas o processo de implementação de um sistema planejado e seguro para o trabalho remoto ocorre de maneira orgânica, existem casos em que a segurança da informação demanda decisões aceleradas.
Organizações podem necessitar, por exemplo, de reformas emergenciais ou até mesmo sofrer por uma simples queda de energia ou internet que demande o trabalho externo dos funcionários, mesmo que por um curto período.
Para muitas empresas, as medidas emergenciais não serão tão simples pela falta de preparo: não existe um sistema de acesso remoto seguro, funcionários não possuem estrutura adequada em casa, dentre outras possibilidades.
Mas as empresas de tecnologia não deveriam esperar pela primeira crise para começar a pensar sobre o assunto.
Uma pandemia chamada covid-19
Foi necessária uma crise mundial para que empresas dos mais variados segmentos começassem a refletir sobre seu modelo de trabalho.
De fato, muitas organizações possuem um modelo de trabalho tão distantes da alternativa do trabalho remoto que podem não sobreviver a momentos como esse.
O covid-19, popularmente conhecido como coronavirus causou enorme impacto na maneira como pessoas se relacionamento no dia a dia, afetando também as relações interacionais.
Como resultado a isso, o trabalho remoto nunca ganhou tanto destaque no mercado de trabalho, sendo a primeira experiência para muitos profissionais e muitas organizações que acreditavam que seu modelo fosse unicamente presencial.
Mas o trabalho remoto, de fato, não é algo novo.
Foi pensando na segurança da informação que nós da Compugraf preparamos este artigo.
Iremos abordar o trabalho remoto dentro dos seguintes contextos:
- A origem do trabalho remoto
- O que é trabalho remoto e seu impacto no mundo corporativo
- Trabalho remoto e segurança da informação
- Inteligência artificial em segurança da informação
- Como manter sua empresa segura em tempos de trabalho remoto e transformação digital acelerada
Podemos começar?
A origem do trabalho remoto
Nunca falamos tanto sobre trabalho remoto como hoje, empresas dos mais variados portes passaram a enxergar o seu valor, mas o tema não é nada recente.
Inclusive, o escritor Monteiro Lobato já previa – para 2200, um modelo de trabalho parecido, em sua obra "O Presidente Negro".
Em um diálogo entre os personagens Miss Jane com Ayrton, podemos ler:
(…) O que se dará é o seguinte: o radiotransporte tornará inútil o corre-corre atual. Em vez de ir todos os dias o empregado para o escritório e voltar pendurado num bonde que desliza sobre barulhentas rodas de aço, fará ele o seu serviço em casa e o radiará para o escritório, em suma: trabalhará a distância. (…)
Mas antes disso, já era possível identificar o modelo de trabalho na idade média, quando o estabelecimento ficava em um andar e a casa em outro – ou em um local diferente, o que funcionou até a Revolução Industrial.
Apesar de não possuir uma origem exata, acredita-se que o conceito de trabalho remoto tenha nascido no século XVI ao longo da transição no sistema econômico, político e social americano para o capitalismo.
Muitos dos trabalhadores foram para a indústria, mesmo com as péssimas condições de trabalho.
E isso ocorreu até os anos 2000, quando o trabalhador passou a simplificar novamente suas alternativas de trabalho, enxergando a oportunidade de trabalhar mais próximos de casa, na área comercial.
Até então, o trabalho remoto passou havia passado por dois grandes momentos: O ano de 1857, quando J. Edgard Thompson utilizou o sistema de telégrafos para gerenciar divisões remotas de sua estrada de ferro, Penn.
E 1962, na Inglaterra, quando Stephane Shirley criou um dos primeiros programas de freelancer, gerenciado a partir de casa.
É possível dizer que até então, o trabalho remoto era apenas um luxo e uma verdadeira vantagem ao trabalhador, pois a verdade é que problemas contemporâneos, como o trânsito, ainda não eram um problema.
Pelo uso dos telégrafos, durante muito tempo os trabalhadores deste formato foram conhecidos como teletrabalhadores, mas com a chegada de novas tecnologias o termo foi perdendo sua potência.
Home Office x Trabalho Remoto
Home Office é um dos termos mais populares do momento, mas será que ele se aplica somente ao trabalho realizado em casa?
Ao pesquisar sobre trabalho remoto, não é incomum se deparar com o termo home office ou até mesmo sua cicla oficial SOHO (Small Office/Home Office), mas ao contrário do que podemos pensar, não podemos traduzir o termo ao pé da letra.
Sendo assim, "trabalho em casa" – a tradução literal de home office, não significa necessariamente um trabalho realizado a partir de casa, pelo contrário, assim como trabalho remoto pode ser realizado a parte de qualquer lugar.
Esse entendimento fica mais nítido quando interpretamos a cicla SOHO.
O termo trabalho remoto, portanto, é a versão nacional do termo e de maneira alguma retrata o assunto de maneira equivocada. E não há diferenças entre as duas coisas.
O que é trabalho remoto e seu impacto no mundo corporativo
Entende-se por trabalho remoto toda atividade profissional realizada fora da empresa.
Isso significa que até mesmo aquele café ou evento de networking podem ser taxados de tal maneira, afinal, é parte do trabalho e está sendo realizado fora da empresa.
Embora seja um conceito de trabalho mais popular em atividades informais, como nas atividades de freelancers e autônomos, existe uma tendência crescente de várias empresas tradicionais implementando o formato em sua rotina.
Um formato muito utilizado ocorre quando funcionários têm sua rotina parcialmente remota ao possuir dias específicos para realizar suas tarefas na empresa, por exemplo.
Quais as vantagens do trabalho remoto para empresas?
As empresas podem se beneficiar de diversas maneiras do trabalho remoto, isso porque quando pessoas que não precisam estar presencialmente em um lugar específico são contratadas e ainda sim conseguem entregar seu trabalho, elas economizam.
Segundo estudo da Randstad, 68% de pessoas trabalham alocadas em escritórios no mundo todo. Em países como a Holanda e Suécia, mais pessoas trabalham remotamente do que dentro das empresas.
Mas as vantagens desta modalidade não acabam por aí:
Reduz a rotatividade de funcionários
Muitos funcionários são obrigados a desligarem-se de uma empresa porque necessitam mudar-se de endereço ou até mesmo profissionalizar-se ao estudar em um país diferente.
Com o trabalho remoto, no entanto, isso deixa de ser um problema para tornar-se um plus no currículo do funcionário e no portfolio da própria empresa podendo ser algo incentivado com a retenção e investimento nos melhores talentos.
É uma vantagem competitiva
Já faz um bom tempo que o trabalho remoto deixou de ser um extra na avaliação de oportunidades para tornar-se algo muito procurado no mundo todo. Se você quer profissionais competitivos em sua linha organizacional, considere o trabalho remoto.
Aumenta a escalabilidade de negócios
Se a sua empresa tem a oportunidade de contratar profissionais específicos para determinadas funções mas deixa de fazê-lo por uma limitação no espaço físico, isso deixa de ser um problema com a contratação no modelo de trabalho remoto.
Isso também vale para momentos em que uma equipe maior é necessária, por exemplo, uma empresa no setor de varejo pode ter uma maior demanda de mão de obra durante datas comemorativas.
Redução de Custos
Empresas podem negociar beneficios diferenciados ao contratar funcionários para o trabalho remoto, além disso, algumas das características mais importantes no trabalho presencial, tais como estrutura e localização estratégia, deixam de ser protagonistas.
A redução de custos ocorre a partir do momento que a organização pode oferecer flexibilidade nos contratos, mais em benefícios e menos em suas instalações internas – incluindo as contas de consumo essenciais como água e luz.
Flexibilidade de Horários
Quando as empresas dão a liberdade do trabalho remoto para o funcionário, elas também diminuem a carga de responsabilidades por horários, quando isso não é algo extremamente necessário para realização de certas entregas.
Isso também permite que exista maior flexibilidade quando a empresa necessite de ajuda em horários específicos, o que torna a relação profissional mais saudável.
Quais as vantagens do trabalho remoto para os profissionais?
Se para empresas o trabalho remoto é uma opção extremamente vantajosa, como isso funciona para os profissionais?
Menos tempo no trânsito, mais tempo produzindo
Em cidades como São Paulo, o trânsito ou transporte público são grandes responsáveis pelo crescimento de sensações como ansiedade e depressão.
Ao trabalhar remotamente, especialmente quando a função pode ser exercida da própria casa do funcionário, muitos profissionais tornam-se mais produtivos e menos estressados em seu dia a dia, o que é uma grande vantagem para a saúde mental.
Mais tempo com a família
Embora o trabalho remoto não represente folga ou menos trabalho, estar presente em mais momentos familiares também contribui para a saúde mental e consequentemente no rendimento profissional.
Com a conscientização correta, empresas podem beneficiar-se dessa maior proximidade entre funcionários e suas famílias.
Mais economia
Quando o trabalho é realizado a partir da própria residência, muitos funcionários acabam economizando pois, em geral, isso represent menos tempo na rua, comendo em restaurantes ou passando por lojas que possam incentivar o consumo.
Outra grande vantagem é a redução na variação de uso de roupas, já que menos dias no escritório significa uma menor necessidade de roupas formais.
E por isso a possibilidade de poder guardar dinheiro é uma grande vantagem do trabalho remoto.
Possibilidade de viajar mais vezes ao ano
Funcionários que trabalham remotamente não precisam escolher entre o trabalho e um curso no exterior, por exemplo, tornando-se possível conciliar as duas coisas.
Toda a locomoção estratégica ocorre em um processo simples e favorável para ambas as partes quando bem organizado junto a familia e aos supervisores no trabalho.
Melhor rotina alimentar
Quando estamos no escritório somos tentados a experimentar coisas, visitar lugares, e tudo isso resulta em menos controle em coisas como a alimentação.
Ao trabalhar de casa é possível gerenciar essas vontades e criar suas próprias regras para evitar qualquer tipo de tentação paralela.
Vantagens do trabalho remoto para a sociedade
Sim, o trabalho remoto é vantajoso para todos, até mesmo quem não possui relação nenhuma com funcionário ou empresa.
Diversos cenários poderiam ser beneficiados com a aderência de mais empresas a esse tipo de trabalho, obtendo vantagens como:
Pais mais presentes
Pais e mães mais próximos de seus filhos, irmãos, e outros membros da família.
Empresas focadas em escalabilidade
Com empresas menos focadas em estruturas físicas, mais empregos podem ser gerados com o crescimento através de meios digitais.
Menos trânsito
Mais pessoas trabalhando a partir de casa significa menos carros circulando pelas ruas de grandes cidades.
Desvantagens do Trabalho Remoto
Será que com tantas vantagens é possível encontrar pontos negativos no Trabalho Remoto?
Nem tudo é uma maravilha para quem trabalha de casa.
É importante entender que nem todos possuem o perfil necessário para trabalhar longe de um escritório. Seja por gosto ou pela simples personalidade.
Portanto, se você:
- Sente-se muito carente longe de colegas de trabalho.
- Perde o foco facilmente.
- É dependente de autoridade.
- Tem problemas de socialização.
- É mais desorganizado do que no trabalho presencial.
- Mora em um ambiente muito agitado.
- Não gosta de comunicação digital.
É provável que ao menos neste momento, o trabalho remoto não seja a sua melhore opção.
Mas além disso, o trabalho remoto possui suas próprias desvantagens:
Falsa sensação de tempo
Para algumas pessoas, trabalhar de casa pode significar a perda de noção de timing para algumas atividades, e é pela causa dessa distração que a modalidade pode não ser favorável sempre.
Trabalho sempre está em casa
Caso você trabalhe da própria casa, pode ser difícil separar sua rotina profissional da pessoal, e isso pode resultar em mais trabalho do que você normalmente teria se estivesse em um escritório.
Falta de rotina
Se no escritório da firma você acaba criando rotinas, como hora e local de almoço, lugares que gosta de visitar nos intervalos, etc., talvez em sua casa as coisas sejam um pouco diferentes.
A informalidade pode dificultar a criação de rotinas com as quais você possa se acostumar, e isso pode ou não ser um ponto negativo, tudo depende de sua personalidade.
Falta de socialização
Embora o excesso de socialização não seja algo positivo também, a falta é ainda mais problemática.
Imagine que algumas habilidades, como a de se apresentar diante de um grupo de pessoas, é muitas vezes desenvolvida graças aos contatos sociais que temos todos os dias no ambiente corporativo.
Ao trabalhar de casa deixamos de usufruir do aprendizado orgânico de algumas soft skills e caso sejamos naturalmente menos sociais no dia a dia , isso pode também contribuir para problemas psicológicos como a depressão.
Como pode ver, não existem apenas vantagens no trabalho remoto, e por isso sua oferta deve ser avaliada, pois existem muitos fatores que podem ou não, trazer sentido a ela para o momento da empresa e dos profissionais que nela atuam.
Políticas de Segurança da Informação
De maneira resumida, a política de segurança da informação organizacional é o posicionamento da empresa sobre as práticas que devem ser exercidas pelos funcionários para garantir a proteção de dados, assim como também seus recursos de hardware e software.
As políticas de uma empresa para outra podem ser bem diferentes e englobarem elementos isolados ou a área de TI como um todo. Mas uma boa estratégia deve abranger os principais pontos da segurança da informação:
- Confidencialidade
É preciso considerar que todos os dados sensíveis devem ser protegidos, tanto da empresa e seus funcionários quanto de seus clientes.
- Integridade
Os dados precisam ser verdadeiros e não podem sofrer alterações por parte de terceiros, de modo a manipular as informações.
- Disponibilidade
Assim como qualquer estrutura de rede tecnológica, as informações armazenadas precisam estar disponíveis para acesso quando necessário.
Segundo a norma ISSO 27001, uma das que estabelece diretrizes para tal prática, a segurança da informação é o ato de de proteger os dados da empresa contra as ameaças.
Para a maioria das empresas esse posicionamento é opcional, mas existem setores específicos que possuem obrigações legais de compliance de políticas e segurança da informação a serem seguidos, como é o caso por exemplo das empresas bancárias.
Independente do fator obrigatório ou não, o documento é recomendado para todas as empresas, pois através dele é possível traçar as melhores ações no cotidiano organizacional e possibilita a avaliação do que está sendo feito.
Com o crescimento acelerado das demandas por trabalho remoto e outros modelos de trabalho, padronizar as políticas de TI tornaram-se a melhor resposta para diversas ameaças, como as de engenharia social.
Como construir uma PSI
Para construir uma política de segurança da informação é possível analisar todos os fatores que giram em torno da empresa, além de envolver todas as pessoas que terão sua rotina afetada por ela.
Durante o processo de planejamento do plano, alguns fatores devem ser considerados:
Classificação de sensibilidade dos dados
É de extrema importância definir o tipo de dados que percorre pelos servidores de uma empresa antes de definir sua estratégia de proteção.
Esses dados podem ser categorizados como públicos, internos, confidenciais ou secretos, e devido a isso suas demandas de proteção são muito diferentes.
Por exemplo, dados como o balanço financeiro da empresa podem ser categorizados como confidenciais, dependendo da modalidade do CNPJ, já informações como número de funcionários podem ser públicas ou confidenciais, tudo vai depender da estratégia da organização.
Com isso definido é possível entender quem terá acesso a determinados dados e qual será o procedimento para definir seu fluxo de acessos ou necessidade de proteção.
Processos e ferramentas
Com os dados devidamente categorizados, chega o momento de definir os processos e ferramentas que deverão ser adotados para seu devido tratamento.
Dentre as perguntas a serem feitas durante a etapa, estão:
– Quando e qual a frequência de backups será necessária?
– Que tipo de senha poderá ser utilizada e qual sua validade?
– Quando e como os softwares serão atualizados?
– Quem e por onde poderá acessar determinadas informações?
– Em momentos de crise, qual o procedimento de contingência?
Essas e muitas outras perguntas podem ser realizadas para traçar as práticas principais dentro do plano de PSI.
Tempo e processo de implementação
Para empresas que já operam de maneira diferente, talvez o processo de aplicação de uma nova política de proteção de dados não seja tão fácil.
Mas é um erro pensa que somente a parte tecnológica importa no processo, pois se as práticas afetam a rotina de funcionários, eles também precisam enxergar seus benefícios e a importância.
É preciso considerar:
Qual o perfil da empresa?
Processos muito complexos para uma empresa menos tradicional pode não funcionar tão bem, por isso uma das principais partes da etapa de implementação de políticas de segurança da informação é analisar o perfil da organização para trabalhar em ações personalizadas.
O momento também o ideal para mapear todas as perguntas que devem ser respondidas: qual a finalidade de implementação, quem são os responsáveis, a quem recorrer em situações emergenciais, o que deve ser protegido e em quanto tempo tudo estará implementado.
Normas
O que é permitido e proibido para que as políticas sejam cumpridas?
Regras para o uso de softwares e equipamentos, bloqueio de sites e aplicativos são algumas das normas que podem ser necessárias para a aplicação da PSI.
Treinamento, disponibilidade e compromisso
Se os processos irão mudar, os funcionários precisam ser instruídos para aplicar as novas diretrizes, e dependendo da intensidade da mudança, treinamentos específicos podem ser necessários.
Após todos os processos serem ensinados, é interessante que os participantes se comprometam formalmente a cumprir o que foi aprendido.
E para garantir que não restem dúvidas, além de pontuar as pessoas que podem auxiliar no esclarecimento, é interessante criar um canal para que todos possam revisar os itens sempre que necessário.
Planos de contingência
E se mesmo com a política de segurança da informação algum dado for comprometido? E se o usuário tiver problemas e ninguém próximo para auxiliar?
É preciso definir planos de contingência para que todos possam tomar decisões rápidas e assertivas nos momentos críticos, uma estratégia que depende exclusivamente de uma pessoa ou local único para acesso, está fadada ao erro, pois imprevistos sempre podem acontecer.
Alinhamentos internos
Durante a criação do PSI é também importante manter todos os diferentes setores da organização alinhados para que seja possível compreender como isso afetaria cada uma das áreas.
Além disso, o RH precisa estar muito presente durante o processo, pois eles terão papel fundamental no planejamento instrutivo das medidas apresentadas.
Avaliação e atualizações
Com o plano aplicado, é preciso analisar periodicamente os impactos causados por ele.
Paralelo a isso, independente do sucesso da estratégia principal, é preciso estar informado sobre práticas e novas tecnologias que possam tornar as coisas cada dia melhores e mais efetivas.
E talvez o mais importante, a descrição das políticas deve ser breve e objetiva.
Trabalho Remoto e Segurança da Informação
A segurança da informação é um conjunto de ações para a proteção de dados que em sua melhor forma opera a partir de 4 pilares:
- Confidencialidade
- Integridade
- Disponibilidade
- Autenticidade
Sendo assim, todas as suas medidas preventivas possuem esses cuidados como princípio.
E o trabalho remoto, em sua essência, é capaz de incorporar todos os pilares da segurança da informação.
O que não significa que será um processo fácil, afinal, cada um dos pilares representa algo que depende de uma série de fatores para funcionar.
Não é possível, por exemplo, garantir disponibilidade quando o funcionário decide acessar os arquivos corporativos a partir de um dispositivo não configurado, ou ainda, a confidencialidade quando a empresa não pode saber com quem ele falou sobre o tema ou quem tem acesso aos seus documentos armazenados.
Os últimos anos têm sido um aprendizado para muitas empresas que não acreditavam que a segurança de suas redes eram tão importantes.
A empresa romena, Bitdefender, realizou um estudo envolvendo mais de 6.000 profissionais de segurança ao redor do mundo e constatou que 58% de suas empresas sofreram com ataques de segurança digital nos últimos 3 anos (2017-2019).
A pesquisa também explora as áreas com maior chance de serem definidas como alvo de ataque: financeira, administrativa e marketing, respectivamente.
Mais de 75% dos pesquisados revelam que a rápida reação é a principal coisa a ser feita após um ataque, porém ainda sim, apenas 34% declaram ter capacidade técnica para reagir no período de 24 horas seguintes a um ataque.
Isso significa que os ataques muitas vezes são mais ágeis do que a própria reação possível para diversas empresas.
Em relação ao ano passado, a pesquisa também revelou os principais ataques sofridos:
- 36% sofreram ataques por Phishing
- 29% sofreram ataques por Cavalo de Troia
- 28% Ransonware
E ataques que envolveram até mesmo riscos com o compliance ao GDPR (General Data Protection Regulations).
A cibersegurança no trabalho remoto
Em ambientes corporativos deve existir um planejamento amplo para proteger todos os dados transferidos e armazenados dentro da organização, mas no que o trabalho remoto pode se beneficiar com isso?
Quando uma empresa possui funcionários trabalhando de diversos lugares, ela deve pensar em uma estratégia que englobe todos os seus endpoints, assim como os servidores e modo de acesso (VPN, Cloud, etc.)
Talvez o maior benefício no processo seja o cuidado fortalecido envolvendo ainda mais variáveis na estratégia de segurança da informação, mais camadas de proteção e diferentes dispositivos passam a ser protegidos.
Paralelo a todas as práticas de inteligência do projeto, as técnicas contra engenharia social são fundamentais ao conscientizar os usuários a repensarem na maneira como respondem a certos estimulos na internet.
Impactos do trabalho remoto durante o Covid-19
O coronavírus causou um impacto na economia mundial, e como toda crise, tornou-se também uma oportunidade para os mais diversos tipos de ataque.
Para começar, a alta demanda por informações e soluções rápidas para um problema que desde seu primeiro caso nunca foi algo simples, abriu espaço para diversos tipos de phishing e outros ataques de engenharia social.
Os cibercriminosos se aproveitam dos meios rápidos de comunicação para causar viralidade antes mesmo das pessoas pesquisarem sobre o tema, e por isso famosos e gratuitos serviços de comunicação, como o WhatsApp, ganharam destaque no Brasil.
Zoom sob ataques
Além dos impactos financeiros, softwares da área de tecnologia já estão sentindo os efeitos de um problema que foge das responsabilidades básicas da população.
Uma das empresas já atacadas ao longo deste período, foi o Zoom – empresa do segmento de comunicadores online, com um sistema que permite chamadas em tempo real por vídeo.
O fato de a ferramenta ser tão utilizada hoje para fins profissionais tornou-a um alvo justamente pelos possíveis dados que seus datacenters armazenam sobre seus usuários.
O grande problema em seu funcionamento é o fato de suas reuniões serem públicas (sem necessidade de nenhuma senha para acesso) por padrão, o que permite a entrada de pessoas aleatórias nas salas.
Ao longo do tempo houveram casos de racismo, compartilhamento de links maliciosos nos chats e até mesmo imagens com conteúdo obsceno.
Tal vulnerabilidade ficou conhecida como "zoombombing" e mostra como de fato nem mesmo uma grande plataforma é capaz de conter abordagens maliciosas.
Os trabalhadores remoto tornam-se grandes alvos da Engenharia Social no distanciamento de seus escritórios, mas uma empresa com uma cultura de conscientização não deve temer isso.
Comunidade de hackers dividida
O surto do coronavirus teve um impacto social muito grande, a própria comunidade de cibercriminosos pode ter sido afetada com isso.
Se por um lado abriram novas oportunidades, diante de tal fragilidade nos meios de comunicação, por outro todos – até mesmo os hackers, podem ter suas saúdes prejudicadas.
Segundo a Reuters, desde o crescimendto do coronavírus, a Organização Mundial de Sáude (OMS) sofreu diversas tentativas de ataque, sendo que um funcionário declarou que o aumento foi de mais de duas vezes que o habitual.
Mas recentemente, um dos grupos de elite desse tipo de ataque, Maze, publicou um comunicado oficial sobre a pausa de seus ataques contra a comunidade médica.
Seu principal ataque consistia na instalação de um vírus "de resgate" que desorganiza todos os dados de um sistema, deixando-os inoperantes.
Mas devido a pandemia, foi concluído que neste momento isso serveria apenas para atrasar uma possível cura e colocar a vida de ainda mais pessoas em risco, o que não é a intenção do grupo.
Bondade ou não, mais um indício de como é importante mantermos uma relação saudável com nossos dispositivos e conscientizar colegas de trabalho a fazerem o mesmo.
Para muitas empresas, o surto do coronavirus – que apesar de ocorrer mundo afora desde o fim de 2019, só tornou-se alarmante no país em 2020, foi um despertar para que fosse pensado em como, nos momentos de crise e até mesmo na rotina empresarial como um todo, seria possível manter a segurança com a mesma produtividade.
Como manter sua empresa segura em tempos de trabalho remoto e transformação digital acelerada
O mundo está passando por uma contínua fase de transformação digital, há quem diga que vivemos um momento de transformação digital acelerada.
Parte da tarefa de usufruir de novos recursos tecnológicos, na medida que são lançados, encontra-se a necessidade de criar soluções para criar maneiras de nos protegermos contra eles.
Sim, nos proteger.
É preciso compreender que todo novo dispositivo acaba tornando-se uma nova possível porta de entrada para novas vulnerabilidades, e indo além, isso vale também para softwares, aplicativos e redes sociais.
O conceito de transformação digital
Para tentar nos levar ainda mais longe nessa relação de tecnologia = vulnerabilidades, é preciso que a gente compreenda o conceito de transformação digital, você sabe o que isso significa?
Transformação Digital é um processo pelo qual uma empresa passa na tentativa de se beneficiar de novas tecnologias.
Dentre as novidades que são interessantes a nível corporativo estão todos os recursos que podem melhorar e em resumo, fazer a empresa faturar cada vez mais, com menos.
Que tal um exemplo?
É possível enxergarmos os efeitos da transformação digital em grandes empresas como a Netflix, que ao invés de tornar-se mais um número nas redes de locadora que estavam cada vez menos populosas, investiu em novas tecnologias para seguir seu negócio.
Mas e se a gente pudesse trazer isso para um contexto mais corporativo? Vamos pensar no setor de Recursos Humanos.
Se uma empresa precisa expandir o quadro de funcionários, mas seu espaço físico não pode mais suportar a quantidade de colaboradores, investir em tecnologias para proporcionar o trabalho remoto pode tornar-se uma alternativa
Esses são dois casos simples que exemplificam muito bem como tecnologias simples podem causar impactos gigantes em uma organização.
Mas assim como no nascimento de novas tecnologias, a aplicação da transformação digital também abre novas brechas de segurança.
De fato, o trabalho remoto possui suas vulnerabilidades, e não pense que apenas a tecnologia é um problema nesse sentido, a verdade é que podemos atribuir os riscos a diversos universos:
Humanos
A maior vulnerabilidade tecnológica sempre será a (s) pessoa responsável por ela. Todos possuem gatilhos que nos fazem agir de maneira emocional em situações de tensão, e isso nos torna vulneráveis a ataques de engenharia social.
Físicos
Da instalação do servidor ao local de realização de trabalho, qualquer característica fisica pode servir como vulnerabilidade.
Naturais
Chuva demais, sol demais, queda de energia – quais são as razões pelas quais você poderia tornar-se menos produtivo ou simplesmente não ter condições de trabalhar? Fatores naturais exercem extrema influência em nossa rotina.
Hardware
O equipamento adequado, as ferramentas corretas, tudo isso pode influenciar na maneira como iremos executar nossas tarefas durante o trabalho remoto.
Software
Softwares adequados para trabalhar, sistema funcionando corretamente e na velocidade esperada, conexão rápida com a internet e essas são apenas condições básicas para o trabalho remoto, considerando que não há nenhum código malicioso.
Mídias físicas
Inserir qualquer dispositivo comprometido no sistema corporativo pode ser o suficiente para causar danos para toda rede, mas o oposto também pode acontecer – de um sistema infectar seus dispositivos.
Comunicação
WhatsApp, Zoom, Skype são alguns dos comunicadores utilizados frequentemente para atividades profissionais, e por isso, todos tornaram-se alvos de ataques. Atente-se as notícias para não ser a próxima vítima de um ataque em massa.
Redes Corporativas e Data Centers
Vulnerabilidades de Redes Corporativas
Empresas tornam-se alvos fáceis para hackers de acordo com a relevância dos dados que são armazenados em seus data centers e trafegam por sua rede todos os dias.
A segurança da informação de redes corporativas é uma das principais preocupações que uma estrutura de TI deve ter, pois são inúmeras as oportunidades de ataque.
No trabalho remoto, o cenário é ainda mais preocupante, como a equipe de segurança corporativa pode assegurar que todos os usuários fora do escritório estão protegidos e também protegendo a empresa de possíveis danos?
Dentre os principais desafios no gerenciamento de fragilidades de uma rede corporativa, estão:
Segurança na VPN (Virtual Private Network)
Uma conexão VPN (Virtual Private Network) ou Redes Virtuais Privadas, possibilita a conexão segura entre redes corporativas e as remotas, incluindo por meio de dispositivos remotos.
Durante o trabalho remoto isso é possível através de uma conexão criptografada ou apenas sob protocolo de tunelamento entre a estrutura da empresa (neste cenário o servidor), e o funcionário, que irá poder usufruir de funções como a conexão de internet da empresa.
Tunelamento
O protocolo de tunelamento protege o que está sendo solicitado pelo servidor de origem e os dados que estão sendo enviados no processo, ele esconde as informações de maneira que ninguém que consiga ver isso ocorrendo até que chegue no destino final.
Isso significa que será mais difícil para cibercriminosos identificarem as ações do usuário e os arquivos com os quais ele está trabalhando.
Encriptação
O processo de encriptação pode ser um adicional no tunelamento, e seu funcionamento é baseado na codificação do que está sendo transmitido para que apenas a VPN possa entender os dados contidos ali.
Sendo assim, mesmo se algum cibercriminoso for capaz de burlar o tunelamento, ainda sim ele não conseguirá obter os dados que gostaria.
Como uma VPN funciona?
Quando um funcionário realiza uma conexão remota via Redes Virtuais Privadas, todo o tráfego de sua conexão é trabalhado localmente na rede corporativa, enquanto sua rede local recebe as informações de maneira criptografada.
Por exemplo, se o usuário se encontra em um país e se conecta, via VPN, em uma rede corporativa que está fisicamente em um outro país, ele terá os mesmos privilégios de conexão local do servidor.
Isso acontece porque o dispositivo do usuário passa a ser reconhecido como estando no mesmo local do servidor, que age como intermediário, ao invés de considerar o provedor de internet local.
Além disso, a conexão também se torna privada durante a navegação, pois o IP do dispositivo local é ocultado no processo, protegendo a identidade dos usuários.
Toda a comunicação entre dispositivos e servidores é privada, os dados transferidos são criptografados de modo que somente podem ser lidos quando estão no dispositivo local e no servidor corporativo, não sendo possível interceptá-los no trajeto.
O conceito de criptografia
Os servidores VPN podem possuir sistemas de criptografia diferentes, mas todos têm o objetivo de assegurar os dados durante suas conexões.
Criptografia, por definição, é uma série de técnicas que permitem tornar um dado ininteligível para pessoas não autorizadas ou fora do contexto pré-definido de acesso.
Sendo assim, uma conexão VPN funciona como um túnel para a transferência segura e anônima de dados.
Quais os tipos de VPN?
Uma conexão VPN Corporativa é um dos principais recursos para uma empresa permitir o acesso remoto de funcionários, sendo assim, esse é o principal tipo de conexão no meio corporativo.
As empresas podem habilitar a conexão VPN para funcionários acessarem, por exemplo, a rede privada da organização (intranet), através de uma simples configuração, que pode demandar apenas uma senha para o acesso ou fatores adicionais de proteção.
Essa conexão pode ocorrer por meio de uma pré-configuração nos dispositivos ou com o uso de aplicações específicas para esse fim.
- Standalone VPN
Esse tipo de VPN é amplamente utilizado em pequenos e médios negócios, possibilitando a conexão através de uma aplicação específica.
É também uma opção válida para universidades, que assim podem permitir o acesso a alunos credenciados aos seus servidores e conexão a internet.
- Browser VPN
Os plugins e softwares de VPN focados em navegadores são especialmente voltados para o acesso a sites restritos por diversas razões, como a geolocalização.
Seu uso também pode ser atrelado a privacidade, quando o usuário quer ou precisa ocultar sua identidade para URLs específicas.
- Router VPN
Existem roteadores específicos que permitem a conexão e a criptografia de diversos dispositivos simultaneamente e sem a necessidade de configurações avançadas. A solução, no entanto, pode sair um pouco mais cara por envolver a compra desses dispositivos.
Acesso remoto sem VPN
Hoje, com o acesso remoto via VPN, acessar um diretório remotamente parece ser uma tarefa simples, mas nem sempre foi assim.
Antes era necessária a instalação de links dedicados que tornavam o recurso limitado e muito mais custoso e burocrático, diferente de hoje, que temos a conexão web como principal veículo para o tráfego de dados.
Ainda assim, ao não usar uma VPN para o acesso remoto, nos tornamos vulneráveis a ofensivas como a interceptação e roubo de dados.
Alguns servidores em nuvem e websites possuem proteção base na proteção de transferência de dados com seus usuários, como é o caso de sites protegidos por certificados SSL (aqueles que possuem um cadeado verde ao lado da URL), mas uma das práticas da segurança da informação, é:
Não confie sua segurança apenas nos recursos que acessa.
Como uma conexão VPN torna-se segura
Diversos fatores podem implicar no nível de segurança de uma conexão VPN, seu nível de encriptação pode ser funcional, porém limitado para o que é exigido.
Existem diferentes protocolos de VPN que podem ser mais adequados para diferentes finalidades:
Point-to-Point Tunneling Protocol (PPTP)
O protocolo mais antigo da internet, também o único funcional em sistemas operacionais antigos, foi criado pela Microsoft, hoje é somente recomendado para sistemas desatualizados.
Layer 2 Tunneling Protocol (L2TP/IPSec)
Esse tipo de protocolo é o mais utilizado para o acesso a VPN em redes corporativas hoje, sendo uma mistura entre o consolidado PPTP da Microsoft com um sistema de hardware em rede criado pela Cisco.
O formato permite a transferência de dados por meio de um processo que impede o acesso aos dados antes que chegue ao destino definido.
Embora seja um processo seguro, ele não possui a encriptação por padrão, sendo necessário aliá-lo ao protocolo de segurança IPSec para garantir o recurso.
Secure Socket Tunneling Protocol (SSTP)
O SSTP, criado pela Microsoft, é equivalente aos protocolos utilizados no acesso a websites seguros com SSL. Sendo assim, sua operação consiste em uma transmissão de dados segura entre servidor e usuário, sendo que apenas as duas partes terão a visibilidade das informações.
Internet Key Exchange, version 2 (IKEv2)
O IKEv2 é um protocolo especialmente Seguro para dispositivos móveis. Para garantir a encriptação de dados, ele também pode ser associado ao IPSec.
OpenVPN
O OpenVPN é uma tecnologia Open Source de VPN, sendo assim, é desenvolvida e melhorada por uma comunidade de profissionais de forma colaborativa, além de poder ser personalizada para fins específicos.
Atualmente é um dos protocolos mais utilizados no mundo e considerado um dos mais seguros também, devido as suas possibilidades de personalização.
O acesso não autorizado
Em um cenário ideal, todos os usuários de uma rede corporativa são identificáveis, gerenciáveis e monitoráveis.
Isso quer dizer que todos possuem credenciais de acesso e permissões muito específicas para operar na rede, as quais devem incorporar apenas as suas necessidades de acesso.
Para garantir o acesso não autorizado, além de informações sigilosas como senha serem criptografadas, as mesmas precisam basear-se em uma combinação de difícil previsão.
A proteção de dados
O acesso a arquivos é uma necessidade e quando possibilitado através de conexões remotas torna-se um recurso de extrema relevância.
Mas ainda que apenas os usuários corretos tenham acesso as informações que os convém, é uma grande questão a responsabilidade que terão com os arquivos acessados.
Basta que uma captura de tela vazada ou um download mal armazenado sejam expostos para que todas as camadas de proteção tornem-se inúteis na proteção dos dados.
E é por isso que os ambientes VPN possibilitam que todo o fluxo de informações ocorra apenas nos ambientes gerenciados, assim o usuário e empresa estarão sempre respaldados por suas aplicações preventivas.
Saúde dos arquivos executados
Talvez pior do que efetuar o download de arquivos importantes para ambientes não gerenciados seja trazer arquivos maliciosos para dentro da rede.
Os melhores protetores de endpoint são capazes de impedir a entrada de arquivos maliciosos, mas basta a abertura de um e-mail ou a execução de um arquivo infectado para possibilitar a contaminação e perda de dados.
Práticas do usuário
A maior fragilidade de toda arquitetura de segurança será sempre o fator humano.
Pessoas, diferentes de uma inteligência artificial, agem muitas vezes por emoção, e é isso que nos torna mais vulneráveis a certas abordagens de ataque, como as de engenharia social.
Mesmo em uma rede corporativa segura, é difícil garantir a segurança dos dados, pois não se sabe se no dispositivo dos funcionários também estão sendo aplicadas técnicas de segurança pessoal (como softwares de proteção) e ações preventivas.
O caso JPMorgan
Em 2014, um dos maiores bancos americanos, JPMorgan Chase teve dados de mais de 80 milhões de clientes (pessoas físicas e jurídicas), além de softwares instalados os computadores da companhia após uma fragilidade em sua segurança de redes, que causou a violação dos arquivos.
A empresa nunca divulgou a análise de como o ataque foi orquestrado.
Embora não tenha sido confirmado nenhum prejuízo financeiro aos clientes atingidos pelo ataque, iniciado por hackers russos, tornou-se pública a vulnerabilidade de proteção das informações na rede da companhia.
Melhores Práticas de Proteção para Redes Corporativas e Datacenters
Uma rede corporativa deve estar muito bem amparada na segurança de seus dados e para o acesso remoto, deve possuir um sistema de VPN.
Para início de aplicação, o fator humano deve ser treinado constantemente para reduzir as chances de geração de vulnerabilidades humanas, e junto as campanhas offline contra a engenharia social, outras práticas podem ser implementadas:
Sistema de confirmação
Sendo a atenção humana falha, um bom sistema de segurança deve minimizar essa característica ao demandar confirmação para a realização de atividades que possam causar danos a rede.
Pedir permissão para abrir as imagens de um e-mail ou para a instalação de um novo software, embora diminua a fluidez e praticidade do sistema devem garantir menos ações perigosas e automatizadas.
Firewall
Firewalls trazem camadas de segurança na execução de arquivos, impedindo a entrada de itens maliciosos ou com má reputação.
E é por isso que seu uso não deve ser negligenciado em ambientes pessoais e redes corporativas. Durante o trabalho remoto é importante que os usuários possuam um bom firewall em seus dispositivos para impedir a contaminação interna e externa aos arquivos que tem acesso.
Controle de acessos
O controle de acessos pode ser dividido em algumas categorias:
- Filtro de URL
Limitando o acesso a sites maliciosos, que tenham potencial negativo para o servidor ou a própria experiência do usuário.
- Controle de Aplicações
Ao assumir o controle das aplicações de cada usuário é possível reduzir a chance de contaminação por instalações de fontes questionáveis, piora no desempenho do sistema operacional ou simplesmente o acesso a softwares que não são realmente necessários para determinadas funções.
- Acesso a arquivos
Funcionários de terminados setores não precisam ter acesso a conteúdos que correspondem a outros, assim como determinados usuários não necessitam ter o controle de edição de determinados arquivos.
Reconhecimento de Usuários
Uma rede bem gerenciada permite que todos os usuários ativos e suas ações sejam identificáveis, trazendo transparência para todo processo organizacional.
Softwares de proteção
Além de todas as funcionalidades de segurança avançadas, um bom servidor e datacenter corporativo não deve dispensar o uso de softwares preventivos contra vírus, malwares e ransonwares. Os servidores também precisam estar imunes a dispositivos infectados por bots. E a mesma proteção deve estar aplicada no dispositivo de origem da conexão.
Endpoints
Um endpoint é qualquer dispositivo usado para conectar-se ao servidor corporativo, seja para a habilitação de recursos – como uma impressora, ou um computador que irá acessar toda a rede de arquivos.
Com a intensa transformação digital que vivenciamos, novos dispositivos são lançados todos os dias e existe a tendência global de que tudo deve estar conectado para a conveniência tecnológica.
Se por um lado isso é benéfico, por outros abre espaço para vulnerabilidades conhecidas e até mesmo para ataques zero-day.
O que é um ataque zero-day
Ataques zero-day são incógnitas no mundo da segurança da informação, isso significa que o termo engloba ameaças que ainda não foram identificadas.
O nascimento de novos dispositivos é o cenário ideal para esse tipo de ameaça, pois a princípio pode ser difícil levar a sério a informação de que um eletrodoméstico inteligente possa ser a porta de entrada pra algum ataque.
Mas isso não só acontece como é também a falta de conscientização que potencializa essas novas vulnerabilidades.
Uma brecha “zero-day” pode ser mantida escondida por anos até que seja descoberta, o problema é que isso pode ocorrer tanto por profissionais de segurança da informação quanto por hackers especialistas que podem, finalmente, criar algum tipo de ameaça para o endpoint.
Sendo assim, um dispositivo pode estar comprometido a anos sem que nada acontença ou eventualmente ser surpreendido com algo devastador.
Característica de um ataque zero-day
- Possui esse nome “dia zero” porque é uma vulnerabilidade descoberta antes da existêcia de uma solução.
- Pode ser uma brecha ocultada por anos sem que seja descoberta ou até mesmo nunca ser ativada como ataque.
- Seu potencial é infinito, depende do dispositivo e da vulnerabilidade.
- Podem ser veículos para vírus, malwares, ransonwares, etc.
- Por se tratar de uma vulerabilidade não reconhecida ainda, a maioria dos antivírus comerciais não são capazes de reconhecê-la, pois ajem após o ataque e não preventivamente.
Sendo assim, a segurança de endpoints é mais complexa e softwares comuns de antivírus não são o suficiente para impedir que isso aconteça.
Sem as medidas necessárias, os dispositivos conectados a rede estão vulneráveis, e justamente por estarem integrados, tornam-se a ponta de entrada para contaminar todo o ecossistema corporativo.
Diferenças entre Endpoint Security e Endpoint Protection
Existem dois conceitos quando falamos de endpoints, o conceito de segurança e o conceito de proteção.
Apesar dos nomes serem muito parecidos, suas aplicações em segurança da informação ocorrem em campos diferentes:
Endpoint Security
O endpoint security envolve soluções de segurança de última geração para servidoes locais que se utilizam pouco ou nada de uma rede em nuvem para o fluxo de arquivos.
Endpoint Protection
Enquanto isso, o endpoint protection também é robusco o suficiente para proteger o ambiente local (offline), mas suas funcionalidades são direcionadas aos servidores em nuvem.
Todo dispositivo que se conecta a rede para visualização ou transferência de dados, precisa de proteção endpoint.
Principais vulnerabilidades de um endpoint
Um endpoint desprotegido pode servir de porta de entrada para qualquer vulnerabilidade favorável a cibercriminosos.
De ataques desconhecidos (zero-day) a abordagens já conhecidas, uma rede corporativa pode sofrer diferentes de impactos se não tratar cuidadosamente de sua proteção endpoint.
A proteção endpoint é muito diferente de uma proteção de vírus convencionais, por exemplo, baseando-se mais nas ações preventivas do que nas reativas.
Com isso em mente, estas são as principais vulnerabilidades que um endpoint pode sofrer:
Zero-day Exploit
Se de maneira passiva os ataques zero-day podem simplesmente não causar nenhum prejuízo aos dispositivos alvo, por outro o cenário muda quando ele é explorado.
O termo zero-day exploit é usado para referir-se ao ataque que ocorre logo após uma vulnerabilidade ser descoberta.
Esse ataque tem altas chances de sucesso, pois ocorre antes mesmo que o fornecedor descubra que tal vulnerabilidade existe, sendo assim, é um dos principais perigos no cenário de endpoints.
Malware
O termo malware é usado para referir-se a softwares maliciosos (contração de malicious software, no inglês), sendo uma categoria de ataques muito popular no mundo cibernético.
Com um mercado gigantesto de softwares e aplicativos, malwares ganham cada vez mais espaço para se proliferarem, e como muitas vezes podem ser muito parecidos com qualquer outra aplicação segura, muitas vezes não é reconhecido por anti-vírus tradicionais.
Principais tipos de malware
São diversos os tipos conhecidos de malware, todos possuem a mesma estrutura de funcionamento ao se fantasiarem de aplicações legítimas, porém, os danos caudados por cada um pode ser bem diferente de acordo com o tipo e o endpoint do usuário.Resslta
É importante ressaltar que diversos tipos de vírus são variações de malware, mas nem todo malware é um vírus, logo trata-se de um tema mais abrangente na hierarquia.
- Ransonware
Ransonware é um tipo muito nocivo de malware que ao infectar o alvo pode impedir o acesso completo do usuário ao seu sistema operacional ou determinados serviços.
É uma ameaça relativamente nova (em comparação com as outras) – tenso seu primeiro caso reconhecido em somente em 2005, na Rússia, e por isso é muito destacada hoje, sendo popularmente conhecidas por envolver também uma solicitação de pagamento para que o sistema da vítima seja liberado novamente.
Caso a empresa não realize o pagamento solicitado pelos cibercriminosos é possível que todos os dados armazenados sejam deletados por ele.
Devido a sua complexididade e oportunidade de ataques em vulnerabilidades de endpoints, esse tipo de malware possui softwares específicos para seu combate, que tratam o assunto de maneira preventiva.
- Spyware
Spywares, como o nome sugere, é um tipo de malware que espiona seu alvo para permitir a coleta de dados pessoais, bancários ou diferentes finalidades, é uma ameaça muito comum e mais explorada nos dias hoje.
- Keylogger
Assim como um spyware, os keyloggers também podem servir para espionagem, porém sua ação ocorre na captura do que está sendo digitado.
- Trojan (Cavalo de Troia)
Assim como na mitologia grega, um cavalo de troia é adquirido disfarçado de uma outra coisa.
Ocorre quando o usuário executa um software aparente legitimo, porém que no fundo foi corrompido no processo.
A ameaça age muitas vezes de maneira silenciosa e quando dentro do sistema-alvo, viabiliza diversos pontos de entrada para novas ameaças.
- Bots e Botnets
Bots e Bonets são softwares e redes, que controlados por um cibercriminoso, executam tarefas para derminadas finalidades, podendo agir também de maneira silenciosa.
Engenharia Social
A Engenharia Social é uma classe de ataques que se utiliza da fragilidade do fator humano para causar danos ou roubar informações.
Seu principal tipo de ataque, o Phishing, corre através de mensagens persuasivas, que podem ocorrer a partir de um simples e-mail.
Países com estrutura tecnológica em ascensão são alvos maiores de ataques cibernéticos, assim como países que estejam passando por crises conhecidas.
Os cibercriminosos se aproveitam da fragilidade momentânea para tentar diferentes tipos de golpe. No ano passado, por exemplo, o Brasil foi um dos principais alvos de Phishing – resultado da crise de empregabilidade pela qual o país passou.
DDoS
Os ataques de DDoS, também conhecidos como Negação Distribuída de Serviço, causam uma grande sobrecarga em um servidor despreparado para recebê-lá.
Isso ocorre quando o agente malicioso envia múltiplas solicitações para o recurso invadido, no intuito de exceder sua capacidade, e muitas vezes é desativado como resultado.
Dada a instabilidade como resultado, são abertas oportunidades de acesso a arquivos e informções pessoais da vítima.
Dados da CenturyLink e o GitHub
No início de 2019, por exemplo, a empresa CenturyLink reduziu o impacto de mais de 14 mil ataques conta seus usuários.
Já a rede social de desenvolvedores, Github, não teva a mesma sorte. Em 2018 a empresa sofreu um ataque com mais de 1.35 Tbps de capacidade, tornando-se um dos maiores já reportados na história.
Todos os Tbps foram direcionados para ampliar o tráfego da rede social, e por isso o ataque foi tão intenso.
DNS
Pouco se fala de servidores de nome como possíveis vetores de ataque, mas a verdade é que os domínios de website, conectados aos servidores de hospedagem podem revelar informações ou permitir acessos importantes de uma pessoa ou empresa.
Melhores Práticas de Proteção Endpoint
O processo de proteção endpoint funciona de maneira diferente das práticas anti-vírus tradicionais, que operam de maneira reativa.
Isso quer dizer que os endpoins necesitam de uma estrutura própria, capaz de tratar ameaças de maneira preventiva, antes que elas tenham acesso ao sistema ou qualquer tipo de dado.
Isso somente é possível com sistemas que misturem inteligência artificial – para identificar ações suspeitas, por exemplo, e também que sejam robustos o bastante para descobrirem novas ameaças de maneira contínua, sem que precisam sofrer com elas.
Dada complexidade, um bom sistema de segurança endpoint tem as seguintes características:
Segmentação de redes
É pouco provável que uma cafeteira inteligente precise ter acesso a rede dos computadores da organização. Dependendo do tamanho da empresa, nem mesmo um setor deve utilizar a mesma rede que um outro.
A segmentação de redes, portanto, é um recurso para desvincular redes que possuem finalidades diferentes para evitar que ambientes menos preparados possam servir de ponte para os dados mais importates da companhia.
Proteção Anti-Malware
A maioria dos antivírus comerciais não são tão eficazes contra malwares.
Sendo uma das principais vulnerabilidades endpoints, os malwares devem ser tratados antes e não depois de executados. Existem também softwares específicos tratados como anti-ransonwares
Regras – Network Access Control (NAC)
Se o fator humano é suscetível a falhas, porque não restringir algumas ações reconhecidamente nocivas?
O NAC é um recurso muito importante para a proteção de redes e endpoints, através do seu controle de acesso é possível controlar todos os usos internos que um usuário terá sobre aquele ambiente e definir delimitações.
o NAC também permite que novos dispositivo sejam automáticamente configurados e que o usuário responda a algumas regras como a proibição da repetição de uso de senhas antigas, por exemplo.
Restauração de Arquivos
Como os endpoints envolvem o envio de dados para uma rede, é muito provável que alguns se percam quando necessitam de medidas preventivas para não serem contaminados.
Pensando nisso, é interessante implementar um sistema para que os arquivos danificados possam ser futuramente recuperados (em uma versão livre de códigos maliciosos)
Análise Forense
O grande problema da maioria das medidas de proteção contra atividades hackers é a falta de informação sobre como tudo ocorreu, inicialmente.
Um sistema de análise forense é capaz de descrever todo o cenário, facilitando o diagnóstico do que desencadeou o problema (para evitar recorrência) e encontrar as melhores soluções.
Compliance Corporativa e Remediação Automatizada
Somente através de medidas pré-definidas pela própria corporação é possível configurar algumas medidas de segurança para garantir a padronização de comportamento para a maioria dos processos de proteção automatizada.
Mobile
Os dispositivos mobile fazem parte de do ecossistema de endpoints, mas devido a sua crescente utilização no meio corporativo, demandam cada vez mais cuidados específicos para melhorar segurança.
Se antes os funcionários baseavam-se em computadores cedidos pela própria empresa para a execução de suas atividades de maneira remota, hoje dispositivos como os smartphones, dos próprios usuários, ganham uma participação fundamental no processo.
De fato, mais pessoas trabalham com o celular fora de casa do que a partir de computadores. Ao menos é o que uma pesquisa da Delloite, realizado em 2018, revela.
Esse conceito, que pode ser comparado ao bring your own device, em que empresas incentivam funcionários a levarem seus próprios equipamentos para o trabalho, traz um grande desafio para os gestores de segurança da informação: a visibilidade e controle limitado sobre os endpoints.
Quando um usuário trabalha com seus próprios dispositivos não é possível garantir que ele não acesse sites maliciosos ou que possua os melhores softwares de segurança, e por isso a proteção passa a ser limitada aos recursos disponibilizados pela organização na rede.
Outro grande problema é a maior vulnerabilidades a ataques de engenharia social, pois a distância pode causar ruídos na comunicação ou o usuário, durante um acesso pessoal em que ainda esteja conectado na rede do trabalho, pode cair em um desses golpes.
Segurança em Nuvem
Servidores em nuvem representam uma grande revolução no mercado corporativo devido a todas as suas possibilidades e redução de custos.
Dentre todas as suas vantagens em relação a servidores físicos, também deve ser considerado:
- Sua agilidade de operação.
- Mobilidade facilitada.
- Escalabilidade.
Esse tipo de servidor é vantajoso para todo tipo de empresa, mas a verdade é que hoje é especialmente difícil imaginar um grande negócio que não esteja em nuvem.
A transformação digital já é realidade para muitas empresas e essas são as menos afetadas em momentos de crise ou quando necessitam de modelos de trabalho remoto.
Diferentes tipos de serviço em nuvem são oferecidos hoje:
Infraestrutura como serviço (IaaS)
Quando não é possível montar localmente, empresas podem necessitar de infraestrutura remota para criar seus servidores em nuvem de maneira personalizada (como um site, por exemplo), é uma possibilidade para implementação de sistemas inteiros.
Plataforma como serviço (PaaS)
As plataformas funcionam nos momentos em que empresas querem desenvolver aplicações mas não necessitam criar uma infraestrutura do zero, com o serviço dispondo do que ela precisa para testar ou criar o que deseja.
Software como serviço (SaaS)
Os softwares como serviço representa um modelo comercial em que as empresas podem adquirir serviços específicos por períodos pré-determinados e pagam somente pelo que foi contratado, independente do uso. Sistemas como o Google Drive e o Office 365 funcionam dessa maneira.
Diferentes tipos de nuvem
Dentro do universo cloud existem diferentes categorias de ambientes para o armazenamento de dados e implementação de soluções
Todos os serviços mencionados acima podem operar sobre os seguintes formatos de rede: a nuvem pública, privada e a híbrida.
Nuvem pública
A nuvem pública é o principal formato da categoria.
Ela é especialmente interessante na implementação de SaaS (Software as a Service) e poder ter seu armazenamento facilmente expandido.
Seu ambiente propõe a virtualização de um sistema, acessível com conexão a internet, com base em recursos físicos que podem ser agrupados e compartilhados mas com regras bem definidas de um usuário para o outro.
É o caso de muitos serviços de hospedagem de sites, por exemplo.
É também o sistema mais baratos pelo fato de ter toda sua estruturada compartilhada.
Nuvem Privada
A nuvem privada, em contrapartida, é de uso particular.
Seu ambiente é controlado por uma única empresa e por isso é totalmente personalizável.
Pela infraestrutura não ser compartilhada, possui gastos maiores com a demanda de uma estrutura dedicada.
É indicada principalmente para grandes negócios, que demandem grande performance e possuam necessidades maiores de privacidade.
Nuvem Hibrida
A nuvem hibrida, portanto, aproveita o melhor de cada uma das modalidades anteriores.
Uma empresa pode se beneficiar da fácil e econômica escalabilidade de um servidor público enquanto mantém arquivos de maior sensibilidade em um servidor privado.
Ataque ao DropBox
O DropBox é um dos principais serviços "software as a service" do mercado.
Sua plataofmra permite a hospedagem de arquivos, com possibilidade de acesso remoto, por um preço pré-determinado.
A plataforma, no caso, oferece uma nuvem pública para esta finalidade, e em 2012 sofreu um dos maiores ataques de sua história.
A senha de mais de 68 milhões de clientes foram expostas publicamente.
Embora não tenha compartilhado maiores detalhes de como tudo ocorreu, é importante entender quais as maiores vulnerabilidades pelas quais um servidor em nuvem está sujeito:
Violação de Dados
Com a chegada de leis regulamentárias como a Lei Geral de Proteção de Dados, empresas estão cada vez mais preocupadas com sua reputação.
Por isso, investir em um servidor que pode, eventualmente, infringir alguma regra de segurança da informação está totalmente fora de questão, especialmente se a sua empresa armazena algum tipo de dado.
Configurações
Em 2018 foi descoberto que por um descuido na configuração do servidor, a Exactis, empresa corretora de dados, deixou vazar um banco de dados com informações pessoais de mais de 230 milhões de consumidores norte-americanos.
Talvez isso seja o suficiente pra fixar a importância de se contratar servidores que estejam com as coisas bem configuradas.
Má estrutura e manutenção
Da mesma maneira que um servidor mal configurado pode gerar grandes prejuízos para uma organização, também existe a possibilidade de contratação de servidores com uma estrutura precária ou a falta de manutenção regular.
Isso pode ser ainda mais sério, pois pode resultar na perda de projetos inteiros pela falta de responsabilidade da empresa provedora.
Credenciamento inseguro
Se é muito fácil acessar a área restrita do servidor em nuvem talvez seja a hora de reconsiderar a qualidade de seu serviço.
Para a maioria das vulnerabilidades, a principal proteção é justamente o momento de credenciamento, tanto é que métodos como login com duplo-fator são muito populares nos dias de hoje.
Invasão de Conta
Seja pelo acesso facilitado ou descuido dos próprios contratantes, é possível que cibercriminosos tenham acesso a certos servidores.
Se isso acontecer, eles terão toda a liberdade para implementarem o que o sistema não conseguir barrar na proteção generalizada.
Ameaças Internas
Seja um cibercriminoso com acesso a conta ou apenas um usuário descuidado, muitos perigos contra servidores em nuvem podem partir de dentro pra fora.
São arquivos maliciosos baixados, ou a implementação consciente de códigos e arquivos maliciosos, que a partir do momento que estão dentro do sistema podem causar danos para todos os usuários que o compartilham.
APIs inseguras
APIs são importantes facilitadores na conexão de informações a serviços específicos, mas também podem ser usados com finalidades maliciosas quando mal configurados e com brechas na segurança.
Visibilidade limitada
Se a visibilidade do servidor é limitada, como garantir a segurança do servidor?
Em um cenário em que novas ameaças aparecem todos os dias é cada vez mais importante que os administradores de servidores em nuvem tenham maior visibilidade do que acontece com seus serviços.
Abuso
Aqui vale especialmente para servidores públicos e híbridos.
Imagine que embora você siga todas as recomendações de segurança e use o servidor com responsabilidade, outros usuários podem não ter as mesmas práticas.
Melhores Práticas de Proteção em Nuvem
Os servidores em nuvem possuem sua própria complexidade e, portanto, devem ser tratados de maneira diferente na estratégia de segurança.
Além de todas as preocupações apontadas em outros cenários, cloud servers podem necessitar:
- Cloud Access Security Broker (CASB)
O CASB é uma tradicional prática de segurança para a nuvem, o serviço funciona como um intermediador entre usuário e as aplicações que se encontram em nuvem, sendo como uma camada adicional na proteção da rede.
Eles são softwares de governança que podem estar hospedados na própria nuvem ou localmente e impõe as políticas de uso daquele recurso, evitando assim que as ações do usuário sejam responsáveis por alguma vulnerabilidade.
Um arquivo com informações sensíveis, por exemplo, pode ter seu download bloqueado ou ser impedido de ser transferido para um outro diretório pelas regras definidas pelo CASB.
De acordo com o gartner, seguindo a transformação digital de várias empresas que estão migrando para a nuvem, cerca de 85% utilizarão esse tipo de proteção.
O CASB não é um firewall aprimorado e nem mesmo um antivírus inteligente, toda seu gerenciamento pode ser baseado nas diretrizes definidas pela empresa na política de proteção de dados.
Esse sistema opera sobre os seguintes pilares:
- Visibilidade
Ao permitir que os responsáveis pela ação definam quem pode acessar determinados arquivos ou funções, assim como o que fazer com isso, o CASB melhora a visibilidade do ecossistema do servidor em nuvem ao identificar seus usuários, descobrir o que fazem no servidor e poder atribuir apenas as funções que convém para suas atividades.
- Regulamentações
O CASB ajuda no gerenciamento de ações e dados para que a empresa cumpra com as conformidades referentes a seu mercado de atuação. A automatização do processo, após configuração inicial, é um otimizador de tempo e garante que as ações sejam pontualmente realizadas.
- Proteção em Tempo Real
O CASB permite que o servidor em nuvem seja protegido em tempo real no decorrer das ações humanas.
Através da inteligência atribuída a ele é possível que usuários sejam impedidos de enviar arquivos contaminados para o servidor, assim como o buckup de arquivos para evitar qualquer tipo de perda. (Data Loss Prevention) causada por funcionários ou softwares maliciosos.
A visibilidade do recurso também permite analisar todo o processo (quem, fez o quê, quando, como) para que práticas futuras sejam aprimoradas.
Implementação de um Next Generation Firewall
O novo conceito em firewall é especialmente vantajoso para grandes redes, pois com ele é possível criar políticas de acesso de forma automatizada com maior profundidade e personalização de segurança.
Engenharia Social e a Conscientização de Funcionários
Somos a principal vulnerabilidade do mundo tecnológico, o fator humano, por isso é essencial preparar pessoas para lidar com o distanciameto.
Segundo dados divulgados pela DefesaNet,
Neste momento, os ataques que podem ocorrer durante o trabalho remoto devem incluir as seguintes abordagens/gatilhos:
- Lançamentos falsos de aplicativos Android.
- Campanhas de phishing por e-mail.
- Campanhas de fraude.
Com esses dados é possível traçar um sistema de defesa que contemple e proteja todos contra as principais vulnerabilidades do cenário.
Como proteger funcionários de golpes virtuais
Muitas empresas erram na prevenção contra golpes virtuais ao só importarem-se com eles após uma primeira ocorrência.
A verdade é que quando falamos que a maior vulnerabilidade de segurança no ambiente corporativo é o fator humano e não suas tecnologias, não estamos falando que os funcionários são menos competentes, mas sim, que todos podem ser persuadidos.
É por isso que uma boa estratégica para combater vulnerabilidades durante o trabalho remoto possui duas características:
- É preventiva.
- É constante.
O fato de ser preventiva mostra que a organização já está preparada para caso algo aconteça, ela reconhece o problema e suas probabilidades, e só isso já é o suficiente para afastar muitos criminosos entusiastas.
Quanto a ser constante, é para que os funcionários também estejam sempre alertas sobre o perigo e não apenas em campanhas específicas ou ações reativas a ataques sofridos.
Em outras palavras, a prevenção é a melhor arma contra ataques de engenharia social.
Como identificar e-mails falsos
Reconhecer um e-mail falso pode parecer uma tarefa fácil, até mesmo automática para muitas pessoas. Mas a verdade é que a tarefa está se tornando um pouco mais complexa do que costumava ser.
Se antes bastava conferir o remetente da mensagem @empresa, hoje diversos serviços de disparo de e-mail já não recebem um endereço personalizado, mas sim, um gerado automaticamente pelo serviço, o que dificulta que o reconhecimento ocorra dessa maneira.
Outro detalhe é que visualmente os e-mails falsos estão idênticos as suas versões originais.
Então como reconhecer um e-mail falso?
- Confira o remetente da mensagem
Embora e-mails gerados automaticamente estejam dificultando o reconhecimento de alguns remetentes, no geral, os e-mails falsos tentam replicar o endereço original da empresa para confundir o usuário na desatenção.
Para isso eles criam, por exemplo, endereços parecidos porém com detalhes numéricos. E em tentativas de golpes de menor qualidade, o próprio e-mail entrega não se tratar de algo legítimo e dependendo do domínio ou formato, o serviço de e-mails por desconhecer ou ter casos recorrente de endereços parecidos, nem mesmo permite que a mensagem chegue ao usuário final, ativando a proteção contra spam ou até mesmo direcionando diretamente para a lixeira.
- Links internos
Sempre que um e-mail contêm links ao longo da mensagem, a proteção spam de um serviço de e-mail de qualidade já o analisa de uma outra maneira, sendo que caso o link seja popularmente malicioso, a proteção é ativada automaticamente.
Mas o sistema não é perfeito e falha em inúmeros casos, pois alguns domínios são novos e ainda não tem nenhuma reputação (negativa ou positiva), por exemplo. Neste caso, é importante analisar duas coisas:
- Em que parte do texto os links são inseridos
Quando um hiperlink é criado em cima de um texto, por exemplo “acesse o site”, a primeira coisa que deve ser verificada é se o link corresponde ao texto.
- Verifique o formato de link
Existem links que se assemelham ao original com o detalhe de algum caracter especial para possibilitar o registro do domínio.
Mas no geral, muitos links maliciosos terão um formato diferente, nada familiares. Caso ao passar o mouse por cima do link e notar que o mesmo possui um formato diferente, não clique.
O ideal é pesquisar pelo domínio principal e ver os resultados que aparecem. Caso não há muito material disponível na internet, desconfie. Entre em contato com a empresa antes de clicar em qualquer coisa, assim é possível garantir a segurança do link.
Ao analisar essas duas características será muito mais fácil de identificar a autenticidade de um e-mail e, principalmente, segurança dos links apontados no corpo dele.
- Desconfie de ofertas inesperadas muito vantajosas
Embora todos queiram acreditar que foram contemplados com alguma promoção, é preciso tomar cuidado quando a oferta parece ser boa demais para ser verdade. Por isso, antes de qualquer ação em um e-mail desse tipo, verifique as informações diretamente com o remetente – no caso a empresa que enviou o e-mail.
Um e-mail falso é um dos principais meios de contato para a aplicação de um golpe por phishing. Portanto, é preciso tomar cuidado com abordagens não esperadas que apresentem uma oferta muito vantajosa, tanto de empresas conhecidas como desconhecidas.
- O e-mail acompanha anexo um boleto, nota fiscal ou fatura
Empresas que enviam qualquer tipo de cobrança ou nota fiscal por e-mail devem apresentar algum tipo de comprovação de que os arquivos são legítimos, além do mais, é importante refletir se um desses documentos é necessário – como resultado de alguma transação realizada. Jamais faça o download sem ter certeza de que o arquivo é legítimo e muito menos o pagamento.
No caso de cobranças recorrentes, como assinaturas de telefone, celular, internet, basta atentar-se aos valores e dados informados no corpo do e-mail, caso não especifique o titular correto ou o valor esteja diferente do usual, confirme diretamente com a opera e caso exista alguma pendência, solicite um novo boleto para garantir o pagamento da versão correta de preferência.
- O próprio e-mail se contradiz ou possui muitos erros de português
Erros básicos podem ser cometidos em e-mails falsos. Às vezes, as cores e fonte não batem com a identidade da marca, ou o texto possui muitos erros de português ou ainda, possuem um discurso contraditório.
É por isso que grande parte do processo de identificar um e-mail falso é a atenção do usuário ao observar as características mencionadas acima. Também é possível verificar a existência de um e-mail através da ferramenta gratuita CaptainVerify.
Como identificar sites falsos
Com os sites falsos cada vez mais parecidos com suas versões originais, torna-se cada vez mais difícil diferenciá-los visualmente. No entanto, ainda sim é possível identificar e apontar suas diferenças técnicas para garantir que o acesso ocorra na versão correta do site.
Durante o check up de um site, é muito importante verificar as seguintes características:
- A URL do site
A primeira coisa a ser observada para descobrir se um site está correto ou não, é reparar em sua URL. Isso porque em muitos casos o domínio não corresponde ao original, ou apesar de ser semelhante, é acompanhado por números e caracteres especiais.
- A quantidade de anúncios
Embora seja uma fonte de renda para muitos sites, é pouco provável que um site confiável exceda nas propagandas na página e, principalmente, se essas forem invasivas (como é o caso de pop-ups).
Caso já tenha acessado o site anteriormente e notou um aumento estranho na quantidade de anúncios, talvez seja um bom motivo pra desconfiar da veracidade da página.
Ou ainda, observar o conteúdo dos anúncios pode fazer toda diferença, pois se estiverem fora de contexto ou nem ao menos se associarem as suas pesquisas recentes, pode haver algo de errado ou o serviço de anúncios ser de baixa qualidade.
- Semelhante, mas é idêntico?
Normalmente, até os sites que “clonam” as versões originais possuem detalhes que se diferenciam, pois as vezes não acompanham suas atualizações ou simplesmente não chegaram no mesmo nível de programação da página.
Por isso, caso já tenha acessado o site anteriormente, vale a pena dar uma olhada mais clínica nos detalhes para verificar as informações.
- Velocidade de carregamento
Os sites falsos muitas vezes são hospedados em servidores de baixa qualidade, e caso o site original tenha uma estrutura mais ágil, é mais fácil reparar na diferença de qualidade de uma versão para a outra.
Mas também é importante lembrar que em momentos de instabilidade é possível que até mesmo grandes sites tenham problemas momentâneos como erros no carregamento ou na própria velocidade.
Se a necessidade de acesso não é imediata, vale a pena atualizar a página (F5) ou até mesmo aguardar alguns minutos para checar novamente se as coisas seguem da mesma maneira.
- Verifique se o site possui Certificado SSL
O certificado SSL é uma necessidade para todo tipo de site, principalmente se ocorre qualquer tipo de transação dentro do site. Ao longo dos últimos anos o certificado tornou-se tão importante que o Google passou a penalizar, nos resultados de busca, sites que não estejam certificados.
A boa notícia é que não há diferença entre certificados pagos ou gratuitos. Mas existem diferentes tipos de certificado que devem ser considerados de acordo com a finalidade do site.
O que é um certificado SSL?
Um certificado SSL (Secure Socket Layer) é um recurso de segurança para páginas na internet que garante a proteção na troca de dados entre o servidor e o usuário.
Isso é possível através de seu processo de encriptação, que pode possuir diferentes complexidades de acordo com o tipo de certifica, que funciona para apenas um site e no máximo seus subdomínios na maioria dos casos.
O certificado impede que a conexão dos visitantes com um site sejam interceptadas ou ocorra o vazamento de qualquer informação sensível, pois os dados serão mascarados no processo de encriptação.
Como identificar se um site é corretamente encriptado
Junto da penalização do Google, a maioria dos navegadores passou a exibir o termo “não seguro” na barra de endereços para sites que não possuam nenhum certificado configurado.
Caso tudo esteja bem configurado, os usuários verão um cadeado na cor verde na barra de endereços ou até mesmo o nome da empresa dependendo do tipo de certificado, que deve ser superior no caso de empresas que lidam constantemente com dados pessoais de seus usuários. Como no caso de agências bancárias.
Se o cadeado estiver de outra cor que não seja verde – especialmente vermelho, ou o aviso de “não seguro” esteja aparecendo, considere não preencher nenhum campo que solicite suas informações pessoais, pois isso pode ser o gatilho para alguma série de abordagens maliciosas.
Como conscientizar sobre ataques sem tecnologia
Assim como nas vulnerabilidades tecnológicas, a melhor ferramenta contra os ataques sem tecnologias é a prevenção.
Existem diferentes medidas que podem ser aplicadas em diferentes situações para evitar que roubem informações pessoais ou de sigilo empresarial:
- Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo. Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
- Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo. Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
- Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador. Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
- Na ausência do escritório, sair de todas as contas do usuário até o retorno.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerre a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
- Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
- Em situações externas, evitar ao máximo mencionar informações internas da empresa (quadro de funcionários, rotinas, procedimentos).
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Em dispositivos
Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, Instalar somente softwares e aplicativos de fontes confiáveis.
sofrem com esporádicas falhas na verificação e aprovação de aplicativos, os catálogos alternativos são ainda menos confiáveis.
- Manter todo o sistema atualizado.
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
- Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado.
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
- Não memorizar senhas em computadores públicos ou de uso compartilhado.
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho. Embora torne as coisas mais rápidas, é também a maneira mais fácil de permitir um acesso fraudulento. Para que a prática seja funcional, também é essencial que o logout seja realizado ao final do uso.
Em transações bancárias
- Acompanhar o extrato bancário de maneira recorrente para garantir que nenhum gasto desconhecido ou suspeito foi realizado.
Não há tempo e nem recomendável visitar agências bancárias ou caixas eletrônicos com grande frequência, no entanto, todo banco possui um aplicativo ou meio de acesso a conta através de um navegador ou smartphone e a maioria avisa em tempo real as transações realizadas, mas quando isso não acontece, é importante verificar regularmente o extrato através deste recurso.
- Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais. A maioria dos cartões de crédito permite transações online apenas com os números informados no cartão e o nome do titular.
- Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível. Instrua funcionários a jamais aceitar ajuda de alguém sem algo que o identifique como funcionário do banco, e ainda com a presença de um crachá, evite compartilhar informações sigilosas como a senha do cartão.
Em e-mails e redes sociais
- Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
- Desconfiar de todo e-mail, com remetente desconhecido, que possui anexos e links.
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
- Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido. Por isso é preciso conscientizar os colaboradores para garantir que aprendam a verificar tudo o que compartilham.
- Fazer o controle de privacidade nas principais redes sociais.
Com a chegada da GDPR, todas as redes sociais passaram a possuir uma área restrita que permite a personalização da privacidade de dados. Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
- Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
Compliance do trabalho remoto
O compliance no trabalho remoto envolve uma série de fatores, não se tratando apenas de estar de acordo com uma lei especifica, mas sim, o cumprimento das demandas exigidas para realização do trabalho.
Isso significa que uma compliance corporativa parte da própria empresa e pode envolver questões como:
- A empresa fornece todos os equipamentos necessários para realização do trabalho?
- Se não, o usuário possui os equipamentos necessários para realizar o trabalho?
- O funcionário possui uma conexão adequada para acessar os recursos profissionais?
- As práticas do usuario condizem com as recomendações contra a engenharia social?
A legislação no trabalho remoto
Antes mesmo de qualquer surto na saúde pública, o Brasil passava por um processo de transição em suas Leis trabalhistas.
A modalide de trabalho remoto foi tratada pela primeira vez nos arts. (75-A até 75-E) sobre o caso, após a chegada a São Paulo, e a medida possuía justamente o desejo de propor que mais empresas invistam em funcionários trabalhando remotamente.
Compliance para a LGPD
Com a chegada da LGPD cada vez mais próxima, é importante que empresas analisem o desempenho de cada equipe no processo para trabalhar em modelos assim.
Mas no processo, a empresa e funcionário também devem refletir sobre os requisitos combinados nos diálogos iniciais.
Entedendo a LGPD
Após uma série de vazamento de dados, diversos países criaram medidas para que a responsabilidade das ocorrências seja maior para empresas de forma a aumentar sua responsabilidade sobre a segurança da informação.
Enquanto a lei de referência é a europeia, conhecida como General Data Protection Regulation (GDPR), o Brasil trabalhou em sua própria versão, a Lei Geral de Proteção de Dados (LGPD), que busca regulamentar o uso de dados no meio corporativo no país.
A LGPD regulamentará qualquer atividade offline ou online que envolva a utilização de dados pessoais e irá responsabilizar todas as empresas envolvidas no processo e o profissional responsável pelo controle desses dados, cargo conhecido como DPO (Data Protection Officer).
A LGPD irá abranger qualquer informação pessoal, como por exemplo: Nome, Endereço, Nº de Documentos, etc.
Todos os dados que possam servir para identificar alguém estão respaldados pela Lei.
Além disso, a LGPD também menciona os dados sensíveis, que diferente da documentação, refere-se a questões como:
- Status de Saúde
- Vida Sexual
- Dados Genéticos
- Dados Biométricos
- Opinião Política
- Origem Étnica
- Religião
- Participação em sindicatos ou organizações não governamentais
Dentre outras informações que expõem aspectos íntimos da pessoa física.
Tudo muito relevante para um ataque de engenharia social, pois o criminoso pode aproximar-se da vítima por afinidade ao saber esse tipo de informação sobre ela.
Quando a LGPD entrar em vigor, o não cumprimento resultará em processos administrativos e legais, podendo chegar a multas de até R$ 50 milhões. A Lei aplica-se a todas as empresas que coletam e armazenam dados (offline ou online), e por isso todas precisam adequar-se a ela.
A alto custo da multa é importante pois, para uma empresa, será muito mais vantajoso adequar-se a Lei do que pagar eventuais multas a longo prazo.
O objetivo por trás da proposta é a transparência da operação de empresas públicas e privadas, solicitando a permissão e o consentimento dos usuários para que seus dados sejam armazenados para devidos fins.
A penalidade financeira da LGPD irá variar de acordo com a gravidade da infração, sendo que as de não conformidade podem custar até 2% do faturamento da empresa limitando-se ao máximo de R$50 milhões.
Também podem ocorrer impedimentos legais de funcionamento parciais ou totais, dependendo do problema causado.
Para que a Lei 13.709/2018 entre em vigor em agosto deste ano, foi criada também a ANPD (ou Autoridade Nacional de Proteção de Dados), que terá como principais funções:
● Estabelecer diretrizes e padrões técnicos do processo.
● Elaboração de relatórios sobre a aplicação da Lei.
● A fiscalização das empresas, além da aplicação de novas sanções e programas informativos sobre o tema.
● Definir até quando as empresas poderão se preparar para aplicação da LGPD
Para saber mais sobre a LGPD, confira o guia de implementação da Lei de Proteção de Dados.
Inteligência artificial em segurança da informação (o futuro)
Com o futuro da segurança da informação mirando cada vez mais na prevenção e na automação, a inteligência artificial tem ganhado cada vez mais espaço dentro desse universo.
Muitos dos recursos disponíveis hoje no mercado já operam com versões tímidas dessa tecnologia, que devem ser exploradas a cada novidade no setor.
O que de fato é inteligência artificial
A inteligência artificial (IA) é uma área de estudos na tecnologia que envolve a criação de sistemas com o poder de investigação de ações para tomar melhores decisões de maneira automatizada, identificando padrões e tendências.
Como a inteligência artificial pode ajudar na cibersegurança
Com a transformação digital aceleradas das empresas, a migração para nuvem e criptografia de dados, espera-se que a maioria dos processos de segurança funcionem de maneira silenciosa.
Isso significa que com inteligência artificial dos sistemas operacionais do futuro muitos perigos cibernéticos serão impedidos de causarem danos antes mesmo de chegarem ao usuário final, algo que muitos antivírus hoje ainda não são capazes de fazer.
A IA sempre será um forte aliado da SI, especialmente pela alta disponibilidade e possibilidade de descobrir ameaças de maneira contínua, tornando cada vez mais difícil para certas vulnerabilidades progredirem.
Trabalho Remoto e Produtividade
Como medida emergencial ou não, o que as estatísticas dizem sobre o trabalho remoto para empresas?
Segundo pesquisa da universidade de Stanford, 10% de todos dos trabalhaos possuem ao ao menos um dia de home office em seus trabalhos.
Foi aí que a universidade de Stanford decidiu realizar um teste, colocou 250 funcionários – sendo que uma parte faria home office durante 4 dias de toda semana e o outro grupo manteria a mesma rotina de trabalho em casa.
O resultado? Quem trabalhou de casa performou 13% melhor do que o de costume.
Dentre as razões para isso, segundo a pesquisa, estão:
1. De casa, os usuários adoecem menos.
2. Ao trabalhar de casa fazemos menos pausas.
O trabalho remoto seguro já funciona para sua empresa?
Os maiores golpes cibernéticos começam a partir de ações humanas
Sabendo que o fator humano é uma das maiores vulnerabilidades de uma estratégia de cibersegurança, preparamos um guia pra quem quer saber mais sobre um dos maiores tipos de ataques da atualidade: A Engenharia Social.
O trabalho remoto é para sua empresa?
Converse com um especialista da Compugraf e descubra como implementar um sistema de trabalho remoto seguro e estável.
