148 views 6 mins

Segurança cibernética e de dados durante o trabalho remoto

em Destaques
quarta-feira, 15 de julho de 2020

Fernando Merces (*)

Embora os governos já discutam o caminho para a reabertura da economia e o retorno ao trabalho, muitas empresas ainda se mostram receosas sobre a volta do trabalho presencial de seus colaboradores. Mais do que isso, diversas organizações estão anunciando que devem estender o trabalho remoto até o fim deste ano como medida de segurança para não expor suas pessoas ao novo coronavírus, preservando o seu bem-estar.

Com esse cenário incerto, o home office deve continuar para muitas pessoas. Dado esse momento, muitas pessoas ainda seguem se adaptando à nova realidade de realizar suas funções profissionais de suas residências. Muitas delas já conseguiram se adaptar a esse novo normal na rotina de trabalho – que deve continuar sendo adotada mesmo após o fim da pandemia.

Entretanto, é preciso estar alerta: o trabalho remoto determina uma série de cuidados que devem ser tomados quando se trata de segurança da informação. Muitos atacantes cibernéticos estão se aproveitando do momento para realizar investidas criminosas no ambiente digital. Por isso, trago alguns pontos importantes sobre como cuidar da cibersegurança durante o trabalho remoto.

Há muitos golpes de phishing envolvendo cada fase da pandemia, desde distribuição falsa de álcool em gel até ligações falsas do Ministério da Saúde para a fraude de clonagem de WhatsApp, que culmina no pedido de empréstimo aos contatos da vítima. Ficar alerta e sempre verificar a origem das mensagens é o melhor a ser feito. Os criminosos lançam mão de bastante criatividade e promessas de benefícios sem custo, das quais sempre devemos desconfiar.

As empresas precisam focar em em campanhas de conscientização, mostrando exemplos de mensagens falsas por WhatsApp, SMS e e-mail, de preferência com a ajuda de treinamentos aos seus colaboradores e até envolvam gamification para gerar um ambiente descontraído de aprendizado que seja efetivo. Tais campanhas devem ser frequentes pois a conscientização em segurança é um trabalho contínuo.

Inclusive a Trend Micro possui uma ferramenta gratuita que pode ajudar neste programa de conscientização (http://phishinsight.com/). Além da conscientização, é importante investir em boas soluções de detecção de ameaças e phishing, tanto nos computadores quanto nos dispositivos móveis, mesmo que estes não sejam de poder da empresa, já que, com o advento do Bring Your Own Device (BYOD, na sigla em inglês), muito provavelmente dados da empresa circulem nos dispositivos pessoais dos colaboradores.

Antivírus, principalmente os que oferecem o recurso de bloqueio de URLs (endereços de sites) suspeitos oferecem uma proteção essencial. Cofre de senhas também é essencial e habilitação de recursos como Segundo fator de autenticação (2FA) é imprescindível. As iniciativas são muitas, mas infelizmente no Brasil os ciclos de desenvolvimento de software ainda são muito imaturos no que diz respeito à segurança. Infelizmente, as previsões não são boas: cada vez mais empresas estão expostas na internet e principalmente com a quarentena, mais e mais dados são compartilhados diariamente.

É importante a veiculação de matérias como essas porque as empresas precisam se conscientizar de que segurança é essencial para a continuidade do negócio. Ter a capacidade de realizar/contratar testes de intrusão, implementar o Ciclo de Desenvolvimento Seguro (SDL), recuperação de desastres, visibilidade de eventos de segurança, resposta à incidentes, dentre outros não podem ser novidade para as empresas brasileiras. Do contrário, o risco ao negócio é altíssimo.

Como colaborar com medidas de segurança informacional como a LGPD
Os usuários pode levantar discussões em suas empresas e governos sobre como seus dados estão sendo protegidos, convidando os gestores a considerarem o assunto. Muitas vezes a gestão de TI não tem ideia de como fazer segurança e a gestão de segurança, quando existe, é insuficiente. Empresários precisam entender que segurança de dados garante a continuidade de seus negócios e se o cliente levantar essa discussão, eles provavelmente ouvirão.

No ambiente corporativo, o usuário deve comunicar à gestão de TI imediatamente. É preciso vencer a vergonha de “ter caído num golpe” porque neste momento o silêncio só piora a situação.Na esfera pessoal, é necessário informar à polícia para obter orientações, trocar as senhas dos serviços envolvidos na fraude e também em outros que utilize a mesma senha.

(*) – É pesquisador sênior de Ameaças na Trend Micro.