.
Há uma boa chance de que, onde quer que você esteja lendo este artigo, não seja da sua mesa em um escritório tradicional.
Em vez disso, você pode lê-lo enquanto trabalha em casa ou em um café ou outro espaço, ou talvez em seu telefone enquanto espera entre as reuniões. Você pode estar lendo isso no escritório de sua empresa, mas mesmo que seja esse o caso, é improvável que você esteja lá todos os dias da semana.
Também: Como se manter seguro em Wi-Fi público: 5 dicas que você precisa saber antes de se conectar
Isso porque a ascensão do trabalho híbrido mudou fundamentalmente como – e onde – muitos de nós fazemos nosso trabalho.
Essa mudança para o trabalho remoto trouxe benefícios para os funcionários, que não precisam mais passar horas do dia presos no trânsito ou navegando em sistemas de transporte público lotados. As pessoas podem gastar o tempo economizado ao não se deslocar para o escritório e voltar cuidando de outras tarefas diárias, proporcionando mais tempo para relaxar e passar o tempo com os entes queridos à noite, embora em muitos casos a realidade seja que as pessoas acabam trabalhando mais, também.
Os benefícios do trabalho remoto e híbrido foram amplamente aceitos pelos funcionários – de acordo com a Forrester, 68% das pessoas que trabalham remotamente dizem que desejam trabalhar em casa com mais frequência.
Também: O futuro do trabalho: como tudo mudou e o que está por vir
No entanto, embora a ascensão do trabalho híbrido tenha trazido benefícios, também criou problemas – e um deles é que é mais difícil do que nunca manter funcionários e redes protegidos contra ataques cibernéticos.
Gerenciar remotamente a segurança do trabalhador é complicado
Isso porque, enquanto antes os funcionários trabalhavam em um PC corporativo em um espaço de escritório físico e rodando na rede do escritório, agora os funcionários podem trabalhar de qualquer lugar em praticamente qualquer dispositivo, portanto, proteger sistemas e dados corporativos é um desafio muito mais complicado.
“É uma camada adicional de complexidade do ponto de vista da segurança”, diz Kelly Rozumalski, vice-presidente sênior e líder nacional de negócios de defesa cibernética da Booz Allen, empresa de consultoria de gerenciamento global.
Também: O melhor software e aplicativos antivírus (e por que você precisa proteger seus dispositivos)
“Os profissionais cibernéticos ainda estão lidando com a transição para o trabalho remoto”, explica ela. “Agora, eles precisam garantir uma superfície de ataque maior, porque há muito mais tecnologias por aí porque a Covid forçou todos a se transformarem digitalmente rapidamente e isso expandiu a superfície de ataque”.
Essa necessidade de uma transformação repentina das práticas de trabalho durante a pandemia, compreensivelmente, significou que a segurança cibernética ficou em segundo plano e, em alguns casos, ainda não foi alcançada. Os funcionários podem estar usando seus laptops pessoais para trabalhar em casa ou, mesmo se estiverem usando um dispositivo corporativo, ainda o estão usando em sua rede doméstica – e esse é um risco potencial de segurança cibernética para as organizações.
Também: O e-mail é nossa maior ferramenta de produtividade. É por isso que o phishing é tão perigoso
Isso porque, a menos que haja uma estratégia eficaz de segurança cibernética, é difícil garantir que os dispositivos sejam totalmente atualizados com os patches de segurança mais recentes para corrigir vulnerabilidades de segurança cibernética – especialmente se for um dispositivo pessoal. Mesmo o básico de saber se um dispositivo foi atualizado ou mesmo o que foi instalado nele pode ser um desafio.
E isso é só para começar.
“Os desafios são exponenciais e a superfície de ataque explodiu”, diz Bharat Mistry, diretor técnico da Trend Micro, uma empresa de segurança cibernética.
“Embora antes fosse uma máquina corporativa em um local corporativo sobre o qual você teria controle físico com as mãos e os olhos, quase todos os dias. Agora é o modelo oposto, em que muitos desses ativos estão fora do domínio corporativo”, ele acrescenta.
Os novos riscos se somam
Os funcionários querem fazer as coisas, querem fazer seu trabalho e ser produtivos. Mas passar pelos canais corporativos oficiais de software – se estiverem disponíveis – pode ser um processo longo e trabalhoso. Isso pode resultar em funcionários baixando software em seus dispositivos, seja um serviço de música para ouvir algo enquanto trabalham ou um aplicativo de armazenamento em nuvem para ajudar a armazenar e transferir arquivos.
Mas se esse processo de download não for gerenciado adequadamente, pode levar a problemas porque os criminosos cibernéticos podem induzir os usuários a baixar versões crackeadas ou falsas de aplicativos populares, agrupando malware dentro. Se for baixado e executado em um dispositivo corporativo, isso pode causar um problema na rede.
Também: As melhores chaves de segurança que você pode comprar
Pode até não ser os próprios funcionários que acabam baixando softwares ilegítimos; muitas crianças têm acesso aos laptops de seus pais ou responsáveis para ajudar nos trabalhos escolares, assistir a vídeos ou jogar.
Se um dispositivo não for monitorado ou bloqueado com uma senha segura, as crianças podem baixar inadvertidamente um software malicioso na máquina, fornecendo a um invasor acesso a arquivos corporativos, nomes de usuário e senhas para aplicativos em nuvem e muito mais.
E então, é claro, há e-mails de phishing. Os invasores cibernéticos sabem que mais funcionários estão trabalhando remotamente e dependem de e-mails para grande parte da comunicação diária; portanto, falsificam e-mails da equipe de TI, recursos humanos, finanças ou outros departamentos de escritório que sugerem que há um problema e você precisa para acessar sua conta.
Além disso: esses especialistas estão correndo para proteger a IA de hackers
Se essa instrução de phishing for seguida, os ataques obterão acesso ao nome de usuário e à senha necessários para entrar remotamente na rede.
Mesmo que um dispositivo esteja bem protegido pelas políticas da equipe de segurança da informação, ainda há riscos cibernéticos adicionais associados ao trabalho em casa.
O problema do hardware pessoal inseguro
As empresas terão roteadores especializados configurados para gerenciar a rede, mas é improvável que esse seja o caso de funcionários que trabalham em casa. É mais provável que eles estejam usando apenas o roteador doméstico fornecido pelo provedor de serviços de Internet quando iniciaram o contrato.
“O roteador é o primeiro ponto de presença na Internet e é um dispositivo que temos em nossas casas e que está diretamente conectado à Internet”, diz Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças da Bitdefender, uma empresa de segurança cibernética. .
Também: As 5 VPNs mais rápidas
O perigo é que esses dispositivos geralmente são antigos e raramente atualizados – uma fonte potencial de vulnerabilidade. É improvável que hackers mal-intencionados tenham como alvo seu roteador doméstico especificamente para perseguir você ou sua empresa, mas comprometendo o maior número possível de roteadores e observando o tráfego que eles enviam e recebem, eles podem encontrar os alvos mais valiosos e explorar seu acesso para obter um ponto de apoio mais forte para ir atrás de dados confidenciais.
Esses ataques contra roteadores e outros dispositivos da Internet das Coisas não eram inéditos antes de 2020, mas aumentaram desde então, à medida que mais pessoas estão trabalhando em casa e os invasores tentam perseguir alvos mais fáceis.
Botezatu descreve um cenário em que os invasores que exploram os pontos fracos dos roteadores podem redirecioná-lo para uma versão falsa de um site, como um e-mail corporativo. “Eles têm todo tipo de poder depois de hackear seu roteador”, avisa.
Também: O que o ChatGPT e outros chatbots de IA significam para o futuro da cibersegurança
Tudo isso cria um dilema para as equipes de segurança da informação corporativa. Por um lado, eles têm a tarefa de garantir que os dispositivos que os funcionários usam para trabalhar sejam seguros e com o suporte adequado.
Mas, por outro lado, embora eles possam emitir atualizações e patches para dispositivos corporativos, eles não têm e provavelmente não deveriam ter qualquer competência sobre os dispositivos domésticos pessoais do usuário – isso pode ser visto como um exagero e uma invasão de privacidade.
É necessária uma melhor educação sobre segurança no trabalho remoto
No entanto, com as informações e orientações corretas, os funcionários podem ser informados sobre os possíveis riscos de segurança cibernética decorrentes do trabalho remoto e como melhorar a postura de segurança de sua rede doméstica de uma forma que ajude sua segurança pessoal online, além de ajudar o segurança da organização também.
Também: Um pesquisador de segurança encontrou facilmente minhas senhas e muito mais
“Quando comecei a trabalhar em casa, você tinha a avaliação de risco do seu espaço de trabalho, feita pelo seu departamento de RH. Não fazemos essa avaliação de risco de uma perspectiva cibernética”, diz Mistry da Trend Micro.
“Existem programas de conscientização dos funcionários, mas ainda são ambientados no ambiente corporativo. Precisamos colocar em um contexto doméstico e mostrar os perigos do ambiente doméstico. Aí as pessoas vão aprender muito rápido”, acrescenta.
Incentivar as pessoas a garantir que seus equipamentos domésticos estejam atualizados com os últimos patches e atualizações de segurança cibernética é apenas uma peça do quebra-cabeça. Existem também outras ferramentas úteis que podem ajudar a proteger os trabalhadores remotos, como garantir que todos os dispositivos corporativos estejam equipados com software antivírus robusto e aplicativos de segurança cibernética.
Também: Como descobrir se você está envolvido em uma violação de dados – e o que fazer a seguir
As senhas ainda são o principal alvo de muitos ataques cibernéticos. E às vezes os hackers nem precisam enviar e-mails de phishing. Eles podem usar um ataque de força bruta para adivinhar senhas simples para aplicativos remotos ou tentar usar outras senhas conectadas a um indivíduo que vazaram em uma violação de dados anterior de outra conta pessoal ou profissional.
Os trabalhadores remotos também precisam de melhores ferramentas de segurança
Por causa disso, as pessoas devem ser instruídas a usar senhas únicas e complexas para qualquer conta associada ao trabalho. As organizações podem ajudar a incentivar isso fornecendo a todos os funcionários um gerenciador de senhas para suas contas corporativas, o que significa que eles nem mesmo se lembram necessariamente de suas senhas.
As organizações também devem fornecer a todos os funcionários autenticação multifator (MFA) – também conhecida como autenticação de dois fatores (2FA) – para que, mesmo que um invasor obtenha uma senha legítima, haja uma camada adicional de proteção para ajudar impedi-los de acessar a conta. É uma defesa rigorosa – a Microsoft diz que o MFA bloqueia 99,9% das tentativas de invasão de contas.
Também: Os melhores navegadores para privacidade (e por que você deve ocultar sua atividade online)
Em última análise, proteger a força de trabalho híbrida é garantir que apenas o indivíduo correto possa acessar as contas e os serviços aos quais eles precisam. Isso pode ser feito aproveitando os controles corretos e as ferramentas de acesso, as melhores práticas de segurança cibernética e ensinando as pessoas sobre as possíveis ameaças existentes e como identificá-las e denunciá-las.
“Essa ideia de confiança zero e garantir que a pessoa certa tenha o acesso certo à coisa certa na hora certa. Isso é algo que está começando a ser cada vez mais adotado”, diz Rozumalski, da Booz Allen.
“Mas não podemos esquecer que algo tão simples quanto ensinar a seus funcionários remotos a higiene cibernética básica pode evitar possíveis golpes de phishing que podem afetar toda a sua rede. Portanto, precisamos garantir que continuemos a nos concentrar nessas práticas básicas de higiene cibernética , melhores práticas”, diz ela.
.
