Home Office: preparando sua organização e funcionários

Veja as recomendações do NCSC

Home Office: preparando sua organização e funcionários. Como se certificar de sua organização está preparada para um aumento na casa de trabalho, e conselhos sobre manchar coronavírus (COVID-19) e-mails fraudulentos.

Como parte da gestão do coronavírus (COVID-19) situação, muitas organizações será incentivar mais do seu pessoal para trabalhar a partir de casa. Isto apresenta novos desafios de segurança cibernética que precisam ser gerenciados segundo o NCSC que trouxe uma orientação bem bacana que merece ser compartilhada aqui para todos os leitores do Blog Minuto da Segurança

Além disso, os criminosos  estão aproveitando o medo do coronavírus e enviando ‘phishing’ e-mails que tentam e enganam os usuários a clicar em um link para um site malicioso (o que poderia baixar malware em seu computador ou roubar senhas).

O material do NCSC :

  • recomenda as medidas a tomar se a sua organização está introduzindo (ou ampliação da quantidade de) trabalho de casa
  • fornece algumas dicas sobre como as pessoas podem detectar os sinais típicos de e-mails de phishing

Pedindo o seu pessoal para o trabalho de casa

Enquanto o trabalho de casa não vai ser novo para muitas organizações e funcionários, o coronavírus está forçando as organizações a considerarem trabalho de casa em uma escala maior, e por um longo período de tempo. Você pode ter mais pessoas a trabalhando a partir de casa do que o habitual, e alguns deles podem não ter feito isso antes.

A criação de novas contas e acessos

Se você precisa criar novas contas ou acessos que sua equipe possa trabalhar em casa, você deve definir senhas fortes para contas de usuário. Por favor, consulte orientação NCSC para os proprietários de sistema responsáveis ​​pela determinação da política de senha. O NCSC recomenda fortemente que você implemente autenticação de dois factores (2FA) se disponível.

Preparação para o trabalho em casa

Trabalhar em casa pode ser assustador para as pessoas que não tenham feito isso antes, especialmente se for uma decisão repentina. Há também considerações práticas; funcionários que usualmente compartilham um espaço de escritório, agora estarão remotos. Pense sobre os novos serviços que você pode precisar fornecer para que possam continuar a colaborar, como salas de chat, vídeo, teleconferência (VTC), web conference e compartilhamento de documentos. A orientação NCSC na implementação Software como um aplicativo de Serviço (SaaS)s pode ajudá-lo a escolher e lançar uma gama de serviços populares. Se você já está fornecendo esses serviços, você precisará plano para um grande de aumento de usuários.

Aqui estão algumas recomendações gerais para apoiar o trabalho em casa de forma segura.

  • Os usuários remotos podem precisar usar software diferente (ou usar aplicativos conhecidos de uma maneira diferente) em comparação com o que eles fazem quando no escritório. Você deve produzir guias de escrita para esses recursos, e teste que o software funciona como descrito.
  • Dependendo da experiência de sua equipe (e as aplicações que fornecem), você deve considerar a produção de uma série de guias ‘Como fazer?’. Por exemplo, você pode produzir uma ‘Como entrar em e usar uma ferramenta de colaboração online’.
  • Os funcionários estão mais propensos a ter seus dispositivos roubados (ou perdê-los) quando estão fora do escritório ou em casa. Certifique-se que os dispositivos possuem criptografia dados, enquanto em repouso, o que irá proteger os dados no dispositivo, se for perdido ou roubado. A maioria dos dispositivos modernos têm criptografia embutido, mas a criptografia ainda pode precisar estar ligada e configurada.
  • Felizmente, a maioria dos dispositivos incluem ferramentas que podem ser usadas para acesso de bloquear remotamente o dispositivo, apagar os dados armazenados nele, ou recuperar uma cópia de segurança dos dados. Você pode usar software de gerenciamento de dispositivo móvel para configurar os dispositivos com uma configuração standard.
  • Certifique-se de que seu pessoal sabe como relatar quaisquer problemas. Isto é especialmente importante para as questões de segurança. 
  • Sua equipe pode se sentir mais expostos a ameaças cibernéticas quando trabalha fora do ambiente de escritório, então agora é um grande momento para você usar o pacote de e-learning com Dicas para funcionários do NCSC.

Controlar o acesso a sistemas corporativos

Redes Privadas Virtuais (VPNs) permitem que usuários remotos acessem com segurança os recursos de TI da sua organização, tais como e-mail e arquivo de serviços. Crie uma conexão de  VPNs criptografada que autentica os dados do usuário e / ou dispositivo, e criptografa em trânsito entre o usuário e seus serviços.

Se você já estiver usando uma VPN, verifique se ele está totalmente atualizado. licenças adicionais, a capacidade ou largura de banda pode ser necessária se a sua organização normalmente tem um número limitado de ususuários. Se você nunca usou uma VPN antes, consulte  VPN – Orientações do NCSC, que cobre tudo, desde a escolha de uma VPN para e conselhos que você deve dar para sua equipe.

Ajudar os funcionários para cuidar de dispositivos

Os dispositivos usados ​​para trabalhar fora de um ambiente de escritório são mais vulneráveis ​​a roubo e perda. Seja utilizando seu próprio aparelho ou das organizações, por isto é importante  assegurar que o pessoal entende os riscos de deixá-los sem supervisão, especialmente em lugares públicos. Quando o dispositivo não estiver sendo usado, incentivar o pessoal para mantê-lo em algum lugar seguro.

Certifique-se de que o pessoal sabe o que fazer se o seu dispositivo for perdido ou roubado. Incentive os usuários (em uma maneira positiva, sem culpa) para relatar quaisquer perdas mais rapidamente possível. A notificação precoce de tais perdas podem ajudar a minimizar o risco para os dados, e os funcionários que temem represálias são menos propensos a relatar imediatamente.

Assegurar que o pessoal compreender a importância de manter as atualizações de software “up to date” (e dos próprios dispositivos), e que eles sabem como fazer isso.

Mídia removível

Drives USB pode conter muita informação sensível, são facilmente perdidos, e quando inserido em seus sistemas de TI podem introduzir malware. Quando drives USB e cartões são compartilhados abertamente, torna-se difícil de controlar o que eles contêm, onde estiveram, e que tem usado. Você pode reduzir a probabilidade de infecção por:

  • Proibindo o uso de mídia removível usando as configurações do MDM ou outra
  • Utilizando ferramentas antivírus preventivas
  • Permitindo apenas os produtos fornecidos pela organização possam ser usado
  • Protegendo os dados em repouso (cifrar) em mídias removíveis

Você também pode pedir ao pessoal para transferir arquivos usando meios alternativos (tais como através da utilização de armazenamento corporativo ou ferramentas de colaboração), em vez de via USB. Para mais informações, consulte o NCSC de orientação mídia removível.

 

Usando dispositivos pessoais de trabalho – BYOD

Se você está permitindo que as pessoas usem seus próprios dispositivos para trabalhar remotamente, consulte o NCSC de Traga seu próprio dispositivo (BYOD) orientação.

 

Identifique eMail Scams ligado ao coronavírus

Cyber ​​criminosos estão aproveitando o o medo do coronavírus para enviar ‘phishing’ e-mails que tentam e enganam os usuários a clicar em um link malicioso. Uma vez clicado, o usuário é enviado para um site desonesto que poderia baixar malware em seu computador ou roubar senhas. Os golpes podem afirmam ter uma ‘cura’ para o vírus, oferecer uma recompensa financeira, ou até encorajando-os a doar sangue.

Como muitos golpes de phishing, esses e-mails usam preocupações do mundo real para tentar enganar as pessoas para fazer a coisa errada. Consulte a orientação do NCSC sobre como lidar com e-mails suspeitos para aprender mais sobre detectar e lidar com e-mails de phishing.

Para informação verdadeira sobre o vírus, utilize site confiável das organizações governamentais de saúde. 

 

O que fazer se você já tiver clicado?

A coisa mais importante a fazer é não entrar em pânico. Há um número de medidas práticas que você pode tomar:

  • Abra o seu software antivírus (AV), se instalado, e execute uma verificação completa. Siga as instruções dadas.
  • Se você foi enganado para fornecer sua senha, você deve mudar suas senhas em todas as suas outras contas que tiver a mesma senha (procure sempre ter senhas diferentes).
  • Se você estiver usando um dispositivo de trabalho, contacte o departamento de TI e que eles saibam.
  • Se você perdeu dinheiro, você precisa denunciá-lo como um crime de fraude. 
Fonte: NCSC

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Pandemia do Coronavírus poderá postergar LGPD?
  2. Ataque cibernético paralisa centro de testes de coronavírus
  3. Erros de funcionários são responsáveis por 54% das ameaças a dados confidenciais das empresas

Deixe sua opinião!