Com a mudança de modelo de trabalho ocasionado pela pandemia do novo coronavírus– do escritório para casa – as empresas têm enfrentado diferentes desafios diante a mudança de rotina, ambiente e regras. Entre as operações internas que tem sofrido modificações está a cibersegurança.
Manter a proteção de dados e as políticas internas de segurança e privacidade no home office virou prioridade para muitas empresas, principalmente por conta do aumento dos ataques cibernéticos, resultado de forças de trabalhos centralizadas no ambiente digital sem o devido preparo técnico.
Mas a adaptação segue lenta.
E isso é um risco para as empresas. Saiba a seguir o porquê você deve se importar com a cibersegurança da sua empresa.
As principais quebras na Cibersegurança registradas nos últimos meses
No home office, os dados corporativos estão abrigados nos computadores dos funcionários em casa. Não se dá para comparar o investimento em cibersegurança de uma empresa com rede corporativa ao Wi-fida casa do funcionário. Além disso, a mudança repentina e a crise financeira e sanitária do coronavírus impossibilitou que as empresas investissem na estrutura home office de toda a equipe.
A falta de ferramentas tecnológicas, treinamento dos profissionais e equipamentos resultou no aumento de golpes e ataques cibernéticos. Aqui estão as principais quebras na cibersegurança registradas nos últimos meses:
- Emails e mensagens
É a primeira pandemia que acontece com o acesso universal da internet pelo mundo, tal globalização possibilita que as notícias cheguem muito mais depressa a sua demanda de leitores.E como isso se tornou um risco para as empresas? Bem, por conta do phishing.
O phishing é um tipo de golpe cibernético que usa a fraude de links, mensagens e ligações para conseguir acesso a dados confidenciais de uma empresa ou pessoa. Esse crime de acesso dos dados aumentou drasticamente nos últimos meses, e as razões podem ser explicadas por: necessidade de atualização constante sobre a pandemia, mundo político e financeiro, e recebimento de promessas tentadoras ou preocupantes durante um momento de crise mundial.
Durante a pandemia do coronavírus, muitos funcionários ficam com as plataformas corporativas abertas de trabalho e, simultaneamente, em outras abas: e-mail pessoal, redes sociais, web aplicativos de mensagens e sites de notícia. Os hackers aproveitam o momento de crise e, utilizando de nome de canais de notícias famosos, criam links falsos com títulos atraentes, induzindo a vítima a clicar e compartilhar suas informações.
Imagine um funcionário que acaba de receber em seu e-mail um link sobre supostas novas regras do home office reguladas pelo Ministério do Trabalho. Esse link traz um formulário com o logotipo do governo solicitando informações de suas condições profissionais. Por ser uma informação que pode afetar sua vida profissional, esse funcionário passa seus dados e ainda envia para outros colegas.
Pronto. Essas informações serão utilizadas para infiltração na rede da empresa.
- Invasão na nuvem
Outro alvo de ataque dos hackers é a nuvem.Com a grande confiança que as empresas possuem nessas plataformas, os hackers aproveitam as vulnerabilidades na segurança para se infiltrar. Isso pode acontecer por meio de phishing ou spear phishing, como ataques de Business E-mail Compromise e ataques de Domain Fronting. O spear phishing é o golpe direcionado, ou seja, o golpe não é aleatório. O hacker sabe exatamente quem irá atacar e como fará isso.
Mas como o hacker pode vir a ter acesso a nuvem corporativa? Tudo começa por uma pesquisa. O hacker procura ter acesso aos registros cibernéticos do alvo: nomes, endereços de e-mails, padrões de escritas, cargos, relacionamentos etc. Muitas dessas informações são colhidas pelas mídias sociais, principalmente aquelas destinas ao ambiente profissional. A partir daí, inicia-se a engenharia social, em outras palavras, a persuasão emocional.
Vamos imaginar que um funcionário recebeu um e-mail do chefe pedindo pela chave de segurança que dá acesso a nuvem. O suposto chefe relata que fez um backup em seu dispositivo e precisa urgentemente da chave de acesso. O funcionário passa as informações. Agora o hacker possui a credencial para invadir a nuvem corporativa da empresa. Com isso, os seus dados de clientes, dos funcionários, planilhas financeiras, entre outros arquivos confidenciais foram expostos aos criminosos.
Sei o que você está pensando: Isso é um cenário absurdo. Nenhuma pessoa compartilharia informações tão importantes apenas com o recebimento de um e-mail. Bem, não há tanta certeza quanto a isso.
Os hackers planejam cada etapa do processo, desenhando a arquitetura técnica do e-mail até a forma de abordagem. Na questão técnica, o endereço de e-mail, foto e nome de usuário e template do e-mail são modelos falsificados do original, assim, quando o funcionário recebe o e-mail, não suspeita de se tratar de um golpe. O caráter de urgência da mensagem é outro fator que psicologicamente afeta a vítima. Utilizando da falta de suspeitas e da disposição de resolução de problemas de forma rápida do funcionário, o hacker consegue o seu objetivo.
- Invasão e fraude de videoconferências
Reuniões, treinamentos, entrevistas e outras necessidades de comunicação por vídeo tornaram as videoconferências essenciais para as empresas. Infelizmente, os hackers sabem disso.
Nos últimos meses, houve aumento de casos de videoconferências interrompidas por hackers e plataformas de videoconferências falsas. Além do risco de roubos de dados discutidos nesses encontros virtuais, a invasão de videoconferências prejudica a privacidade das conversas, dificultando a produtividade e confiança da comunicação remota.
- Fraudes em dados
Falamos bastante sobre perigos que vem de fora, mas não podemos esquecer que há alguns que vem de dentro também. Durante a pandemia do novo coronavírus, muitas empresas permaneceram com equipes trabalhando em casa. Com o avanço da crise financeira, muitas tiveram que demitir funcionários; muitos desses, inclusive, em home office. Então como garantir que o ex-funcionário, remotamente, não terá mais acesso aos dados da empresa?
Infelizmente, não é raro notícias de ex-funcionários que roubam dados e depois os vendem no comércio cibernético ilegal. Além disso, fraudes são recorrentes, muitas vezes, cometidas sem a intenção de lucro, mas de causar prejuízos à empresa.
O que a empresa perde?
As principais consequências de sofrer um ataque na cibersegurança da empresa são os riscos financeiros e os riscos de confiabilidade. Os riscos financeiros são causados pelos golpes com o intuito de pedir dinheiro após o ataque, por exemplo, muitos hackers criptografam os dados das empresas e depois pedem quantias altas de dinheiro para o resgate desses dados. A confiança de clientes e parceiros é quebrada e a reputação da empresa entra em crise.
Sem cibersegurança que apresente resultados, a empresa perde muito.
Como fazer a Cibersegurança no Home Office?
Para manter a rede corporativa segura é preciso que a cibersegurança seja planejada e realizada com o apoio de toda a equipe. No home office, torna-se ainda mais essencial que as políticas internas de segurança da empresa sejam seguidas.
Vamos esclarecer agora como fazer a cibersegurança no home office:
- Comece pelo treinamento da equipe
Antes de qualquer solução tecnológica, o treinamento da equipe humana é o início de tudo. Como foi apresentado, os golpes phishing e spearphishing utilizam de persuasão para tirar vantagens. Muitas vezes os e-mails dos hackers não chegam corrompidos, sendo endereços de e-mails legais, o que dificulta para a plataforma e sistemas antivírus identificarem possíveis riscos. Dessa forma, a única forma de deter os riscos é com treinamento que ajude o funcionário a identificar perigo.
Durante o home office, a equipe está distante, por isso, é fundamental um treinamento que vise o alerta e a suspeita. Estabeleça políticas de cibersegurança que estejam guiadas pelas 6 camadas contra a engenharia social e phishing. São elas:
- Não acesse ou faça download de conteúdo desconhecido e nem compartilhe informações pessoais e credenciais sem a certificação do remetente;
- Estabeleça políticas de comunicação com base na necessidade, por exemplo, comunicação de voz: favores e tomada de decisões importantes;
- Checar a autenticidade das informações do suposto remetente por outros canais de comunicação;
- Por mais que o conteúdo da informação seja emocional ou urgente, não haja com impulso de resolução do suposto problema sem antes checar;
- Possua senhas de segurança fortes;
- Certifique que os dispositivos da equipe estejam com os sistemas atualizados e com as devidas correções de segurança.
Outra importante necessidade é, após o treinamento, produzir testes de simulação de phishing para monitorar o comportamento dos funcionários diante ameaças. Assim, a empresa compara resultados e junto com a equipe estabelece as fraquezas e os pontos fortes da cibersegurança.
- Invista em VPN
No modo remoto, os dados trafegam de um dispositivo de casa até a rede da empresa, e como já foi dito, não se pode comparar o nível de cibersegurança da estrutura corporativa a do home office, por isso, o VPN é um grande aliado para alterar essa realidade de vulnerabilidade.
O VPN (em português: Rede Virtual Privada) garante que as equipes se conectem em uma rede corporativa segura. Por exemplo, durante a pandemia do novo coronavírus muitas empresas de finanças e contabilidade estabeleceram regimes home office. A responsabilidade dos dados financeiros e pessoais dos clientes deve ser ministrado em uma rede que garante privacidade e controle de acesso. Nesse caso, o VPN seria fundamental, pois são exatamente esse tipo de dados sigilosos e com valor que os hackers buscam.
- 3. Faça monitoramento geral
Monitorar o acesso aos sistemas da empresa durante o home office pode ser menos complicado do que parece ser. Como os dispositivos estão fora da rede corporativa, a empresa precisa analisar o tráfego remotamente. A melhor opção de realizar isso é com o uso de softwares de gerenciamento em nuvem. Com essas análises, é possível monitorar o acesso de terceiros aos dados e regulamentar quem pode e quem não pode ter acesso.
Além das análises do tráfego da rede, é importante monitorar a segurança dos dispositivos dos funcionários, garantindo que programas antivírus, firewalls e sistemas operacionais estejam atualizados.
- Alerta de ameaças
Por fim, garanta que todos os dispositivos dos funcionários contenham alertas de ameaças de ataques cibernéticos. Esses sistemas de segurança quando instalados monitoram e alertam sobre possíveis ameaças em tempo real, permitindo que o funcionário tome as primeiras iniciativas contra o ataque e avise o restante da equipe.
Sobre a On Smart Tech
Segurança e inovação devem estar em equilíbrio para o sucesso da empresa. Invista em tecnologias que possam garantir ambos resultados. Quer saber mais? Siga a On Smart Tech no Instagram e no LinkedIn.
