Prevenindo vazamentos de dados com trabalhadores remotos

Apesar dos muitos benefícios da contratação de trabalhadores remotos, há um aumento substancial no risco de ameaças internas e vazamentos de dados relacionados ao trabalho remoto. Este é um problema constante até mesmo para especialistas na área de negócios, muito menos para proprietários de startups que estão apenas se aventurando no mundo dos negócios.

A Titan Security Europe opera de forma totalmente remota há uma década. Como especialistas na área de trabalho remoto, ofereceremos conselhos do ponto de vista da segurança física e cibernética sobre como proteger sua empresa contra vazamentos de dados ao trabalhar com funcionários remotos.

Estatisticas

Antes de entrar no que você pode fazer para evitar vazamentos de dados de seus funcionários remotos, é importante conhecer os fatos.

Aqui estão algumas estatísticas sobre as ameaças à segurança cibernética ao trabalhar remotamente, de acordo com Wifi Talents:

• 75% dos profissionais de TI afirmam que as empresas estão mais vulneráveis ​​às ameaças cibernéticas agora que mudaram para o trabalho remoto.
• Mais de 55% dos profissionais de TI pensam que os trabalhadores remotos têm maior probabilidade do que os trabalhadores no escritório de violar as políticas da empresa, levando a um maior risco de fugas.
• 95% das violações de segurança cibernética são causadas por erro humano.
• 80% dos trabalhadores remotos NÃO possuem treinamento adequado em segurança cibernética.
• As empresas enfrentam uma média de 22 ameaças à segurança por semana devido a trabalhadores remotos.

Embora essas estatísticas indiquem um grande problema com os trabalhadores remotos, não deixe que isso o impeça de contratar trabalhadores remotos para sua empresa iniciante. Os benefícios superam os riscos, desde que você gerencie os riscos com sucesso.

Como combater os problemas

Quando se trata de trabalhadores remotos, existe um conjunto específico de preocupações de segurança que podem surgir em relação aos dados. Existem medidas que uma empresa e seus funcionários podem tomar para combater esses problemas.

Hardware inseguro e vulnerável

Funcionários que usam dispositivos pessoais e inseguros podem causar vazamento de dados. Esses dispositivos geralmente não têm o nível de segurança que um dispositivo da empresa terá, e a mistura de arquivos de trabalho com arquivos pessoais pode levar a vazamentos negligentes.

O que você pode fazer?

• Forneça aos funcionários um dispositivo da empresa com os processos abaixo instalados neles. Se não for possível, certifique-se de que os funcionários instalem o seguinte nos dispositivos nos quais trabalharão:
  • Autenticação multifator: um sistema que só permite que os usuários façam login em um dispositivo ou servidor seguindo várias etapas. Por exemplo, além de uma senha, eles devem ter um código enviado para outro dispositivo, usar sua impressão digital, responder a uma pergunta secreta, etc. Exemplos de software MFA incluem JumpCloud, ManageEngine, Cisco Secure e muito mais.
  • Endpoint Security: A prática de proteger todos os dispositivos conectados a uma rede, as plataformas Endpoint Protection examinam todos os arquivos à medida que entram na rede, permitindo que malware e ameaças sejam detectados rapidamente. Exemplos de Endpoint Security incluem Cisco Secure, WatchGuard, Avast Business Security e muito mais.
  • Software de criptografia: Os softwares de criptografia de arquivos e dados instalados em dispositivos usados ​​para trabalho protegem todos os dados de serem alterados sem autorização, roubados ou comprometidos. Os softwares de criptografia incluem Secure IT, Folder Lock e Kruptos 2 Professional.
• Configure uma Política de Trabalho Remoto que estabeleça que apenas dispositivos configurados com os programas acima podem ser usados ​​para trabalho.

O que os funcionários podem fazer?

• Siga a política definida e trabalhe apenas em dispositivos fornecidos pela empresa.
• Sempre que possível, não utilize dispositivos da empresa para uso pessoal.

Redes inseguras e vulneráveis

Uma das maiores preocupações de segurança no trabalho remoto são as redes inseguras e vulneráveis. Embora uma rede doméstica pessoal normalmente funcione bem, uma rede pública e insegura deixa os dispositivos extremamente vulneráveis.

O que você pode fazer?

• Ao armazenar dados em um servidor em vez de no banco de dados de um dispositivo (especialmente um servidor com MFA ou dados criptografados), você pode garantir que os dados confidenciais serão protegidos mesmo se um dispositivo estiver conectado a uma rede não segura.
• Os dados são mantidos separados do dispositivo, portanto, mesmo que o dispositivo seja comprometido por meio de uma rede insegura, os dados ainda serão mantidos seguros.

O que os funcionários podem fazer?

• Evite redes públicas quando possível.
• Use pontos de acesso pessoais ou trabalhe off-line se estiver em público.
• Use VPNs para proteger a conexão.

Menos supervisão no tratamento de dados

Quando todos os funcionários trabalham em casa, é muito mais difícil para as equipes de segurança monitorar o manuseio dos dados. Existem mais dispositivos, servidores e redes com os quais eles se preocuparão. Também existe o risco de os funcionários terem seus laptops abertos em público e de o público ver dados confidenciais.

O que você pode fazer?

• Se todos os seus dados estiverem mantidos em um servidor e não puderem ser baixados ou compartilhados, o manuseio de dados se tornará um risco muito menor.
• Se os dados precisarem ser baixados para serem usados, imponha em sua política que, no momento em que os funcionários terminarem de usar os dados que estão usando, eles os carreguem novamente para a nuvem e os excluam de seus dispositivos.
• Implemente software de rastreamento em dispositivos fornecidos pela empresa para uso de funcionários remotos. Isso permitirá que as equipes de segurança rastreiem o tratamento de dados em dispositivos individuais.
• Certifique-se de ter os detalhes de cada dispositivo que acessa seus sistemas bloqueados, para que sua equipe de segurança possa usar o software necessário para limpar todas as senhas, dados ou documentos da empresa nos dispositivos no momento em que forem relatados como perdidos ou roubados.

O que os funcionários podem fazer?

• Relate um dispositivo perdido assim que isso acontecer.
• Evite trabalhar em público quando possível. Caso contrário, certifique-se de que ninguém mais possa ver a tela.

Suscetibilidade a fraudes por e-mail e phishing

Os trabalhadores remotos correm, como todos os trabalhadores, o risco de phishing e fraudes por e-mail. Estar fora de um ambiente corporativo pode levar ao descuido e a uma mudança de percepção, tornando os trabalhadores remotos mais suscetíveis. Os funcionários também têm menos capacidade de verificar se um e-mail veio de um colega quando não estão na mesma sala.

O que você pode fazer?

• Circule a conversa. Faça seminários sobre como identificar um possível golpe e o que fazer se um funcionário achar que está sendo enganado.
• Mantenha os funcionários informados sobre histórias de golpes de phishing.
• Monitore os e-mails dos funcionários – avalie possíveis golpes.

O que os funcionários podem fazer?

• Envie qualquer e-mail que eles considerem uma fraude imediatamente para um superior.
• Evite abrir links de pessoas que eles não conhecem.
• Responda apenas a e-mails de colegas e clientes conhecidos até que um e-mail seja analisado.
• Tenha detalhes de contato que não sejam de e-mail de todos os colegas, como números de telefone. Use-os para verificar se um e-mail foi enviado por um colega ou não.

Dispositivos não supervisionados

Tal como nos escritórios, os dispositivos não supervisionados representam um enorme risco de segurança – mas ainda mais no trabalho remoto, uma vez que qualquer pessoa, nem mesmo outros funcionários, pode aceder aos dados mantidos dentro de si.

O que você pode fazer?

• Proteja com senha todos e quaisquer dados do dispositivo.
  • A MFA mencionada acima fornece uma camada adicional de segurança.
  • Certifique-se de que os dados estejam criptografados. Isso confunde os dados em um formato ilegível, a menos que uma chave digital muito específica seja usada. Esta chave digital específica só será conhecida pelos colaboradores que necessitem de ter acesso a esses dados.
• Certifique-se de que o login – com MFA – seja necessário sempre que os dados forem acessados, mesmo que esses dados tenham sido encerrados apenas momentos antes.
• Os funcionários só terão acesso aos dados específicos de que precisam se tiverem apenas as senhas desses dados. Os funcionários de vendas, por exemplo, não precisam de acesso a informações de recursos humanos.

O que os funcionários podem fazer?

• Proteção por senha – a McAfee sugere que as senhas incluam letras maiúsculas e minúsculas, caracteres especiais e números para garantir uma senha forte. Todos os dispositivos de trabalho devem ter senhas exclusivas que os funcionários não divulguem a ninguém.
  • MFA: Os funcionários devem ter um dispositivo confiável para enviar códigos MFA ou uma pergunta de segurança pessoal para a qual somente eles saberão a resposta.
• Nunca deixe seus dispositivos sem vigilância em público.
• Certifique-se de que os dispositivos estejam bloqueados quando não estiverem sendo usados.

Conformidade e regulamentos de dados

As equipes de segurança precisam garantir que as práticas de dados estejam em conformidade com os regulamentos do GDPR.

• Sem uma política definida, os funcionários podem facilmente violar as regulamentações do GDPR com acesso e gerenciamento de dados.
• Ao limitar os dados aos quais os funcionários têm acesso e ao implementar medidas de segurança conforme descrito acima, o cumprimento da regulamentação de segurança legal será muito mais fácil.

Malabarismo com segurança e confiança dos funcionários

É fundamental que você garanta que os dados da sua empresa estejam protegidos contra negligência ou mesmo vazamentos maliciosos e ataques internos. No entanto, é igualmente importante que você garanta que seus funcionários saibam que são confiáveis.

Conciliar a segurança com a confiança dos funcionários pode ser complicado. Aqui estão algumas dicas e truques para gerenciá-lo:

• Informe seus trabalhadores. Diga aos seus trabalhadores exatamente quais medidas de segurança você está adotando e diga-lhes por quê – é uma medida de segurança para proteger os dados, não uma questão de confiança.
• Dê-lhes os fatos. Explique que a maioria dos vazamentos de dados vem de erros inocentes e negligência.
• Permita ALGUMA privacidade . Rastreie o que você precisa rastrear – bancos de dados, sites da empresa, comunicações comerciais e assim por diante – mas não rastreie todos os movimentos feitos em um dispositivo. Os funcionários merecem não sentir que cada movimento seu está sendo observado.
• Circule a conversa . Faça reuniões virtuais onde você discute vazamentos de dados, ameaças e muito mais. Envie histórias de vazamentos de dados para provar o que está sendo defendido. Faça com que os funcionários falem sobre vazamentos de dados e o que podem fazer para evitá-los.

Conclusão

Quando se trata de trabalhadores remotos, é imperativo considerar tanto os benefícios como os riscos.

Eles são eficientes e econômicos para empresas iniciantes, pois permitem contratar trabalhadores sem se preocupar em alugar escritórios. Os trabalhadores remotos também tendem a ser mais motivados e a desfrutar do equilíbrio entre trabalho e vida pessoal do trabalho remoto.

No entanto, você deve considerar e se preparar para possíveis vazamentos de segurança. Não se trata de confiar nos seus funcionários – não quando a grande maioria dos vazamentos se deve a erro humano. Trata-se de tomar todas as medidas possíveis para garantir que seus funcionários remotos possam acessar os dados de que precisam com chances mínimas de vazamentos.