O recurso ao Teletrabalho / Trabalho Remoto, quando possível e viável, tem-se revelado uma ferramenta estratégica para assegurar parte ou mesmo a totalidade das operações das empresas. Uns melhores preparados do que outros, gradualmente temos vindo a colocar a trabalhar em casa funções que jamais imaginávamos. A verdade é que isto é possível porque a tecnologia assim o permite e há muito que está disponível.

Muitas organizações fizeram mais pela Transformação Digital nas últimas semanas do que nos últimos anos, pelo menos no que diz respeito à desmaterialização de processos e a interações virtuais entre os indivíduos, internos e externos à organização. Algumas organizações, já tinham a tecnologia disponível mas à espera de uma oportunidade para ser explorada na sua plenitude; para outras, foi adquirida ou subscrita em modo “free” de um momento para o outro sem questionar alternativas ou os prós e contras.

A continuidade das operações e dos negócios depende de uma massiva força de trabalho em regime de Teletrabalho enfrentando, no entanto, novos desafios associados com a segurança cibernética. O perímetro de segurança mudou e os colaboradores são agora mais do que nunca alvos de fraudes e ataques cibernéticos. Os piratas informáticos têm agora um universo estendido, de utilizadores individuais e empresariais mais exposta e vulnerável.

Muitas empresas, principalmente micro e PMEs, apesar de terem tecnologia para suportar o teletrabalho e a mobilidade dos colaboradores, não cumprem com os requisitos mínimos das boas práticas em termos de segurança. Outras improvisaram, à pressa, formas de acesso e trabalho remoto com vulnerabilidades que as deixaram ainda mais expostas.

Com toda a urgência que o tempo impõe, fazem-se interpretações erradas das finalidades de certas tecnologias e ofertas disponíveis no mercado e cometem-se erros técnicos que colocam em causa a segurança e a operação das organizações. Por exemplo, recorrer a VPN para permitir que os utilizadores possam aceder de um computador pessoal ao da empresa, por Remote Desktop (Acesso Remoto). Com esta iniciativa traz-se para a rede da empresa um conjunto de dispositivos não geridos, não cumprindo os requisitos de configuração técnica da organização e que podem, à partida, estar comprometidos ou infetados. A VPN, é para ligar computadores da empresa a esta, através de redes públicas, cumprindo os requisitos de configuração da organização, não para ligar qualquer computador sem que sejam introduzidas medidas técnicas de proteção adicionais que se impõem.

Teletrabalho. Continuidade do Negócio e Segurança

Táticas usadas pelos Hackers

  • Comprometimento do e-mail institucional, através da qual o pirata informático faz-se passar, através do e-mail, por alguém que a sua vitima conhece, fazendo com que os valores a pagamento sejam enviados não para a conta normal mas para contas fraudulentas usadas pelo pirata

  • Falsificação do número telefónico do chamador (caller ID), sendo apresentado no telefone de quem recebe a chamada um número que lhe é comum ou que não levanta qualquer tipo de suspeitas para depois levar a pessoa a colaborar com o pirata nas suas ações fraudulentas

  • Chamadas falsas com voz clonada, onde piratas recorrem frequentemente à gravação da voz de uma pessoa conhecida do seu alvo para depois através de tecnologia apropriada (AI), colocarem um robot a falar com a pessoa, levando-a a fazer uma transferência bancária para uma conta fraudulenta. A mesma técnica pode ser usada para obter informação competitiva ou confidencial da empresa

Teletrabalho não é apenas continuidade de negócio

O Teletrabalho ou trabalho em modo remoto, aumenta consideravelmente os riscos de roubo de identidade, das credenciais de acesso, violação e roubo de informação.

Ao iniciar um ambiente de trabalho virtual em modo remoto, é fundamental a empresa focar-se na proteção dos processos operacionais vitais e não só na produtividade do colaborador. Deve ser dada uma especial atenção aos processos financeiros que envolvam compras ou pagamento a fornecedores e colaboradores.

É necessário assegurar que colaboradores não são presas fáceis de piratas numa fase em que estão compreensivelmente afetados pelo novo ambiente de trabalho criado e por toda a conjetura geral derivada da Covid-19. Muitas pessoas não têm acesso aos habituais recursos de trabalho nem às ferramentas que lhes permitem fazer uma validação rápida de informação e de contactos.

Proteger as compras e os pagamentos

É necessário adotar medidas excecionais para proteger as compras e os pagamentos da organização, bem como qualquer transação de dados críticos

  • Identificar ações e processos potencialmente vulneráveis com especial atenção à atualização de dados bancários de terceiros assim como às ordens de transferência bancária

  • Implementar políticas de confiança zero, com dupla verificação de todas as ações de alterações de contas bancárias ou pedidos de pagamento de fornecedores, sempre que possível deve-se recorrer à confirmação dos dados através de entidades terceiras, idóneas e seguras

  • Evitar pressas e urgências considerando aumentar o prazo de pagamento dos novos fornecedores ou  daqueles que tenham solicitado a alteração de contas bancárias, ganhando assim tempo para as verificações adicionais necessárias

  • Formar os colaboradores,  com especial incidência nos alvos típicos dos piratas. Os colaboradores envolvidos nos processos de compras e pagamentos devem ter treino especifico para saber identificar e-mails e chamadas telefónicas suspeitas

Aumentar os níveis de proteção da Infraestrutura TI e Sistemas

  • Proteger as vias de comunicação através de ligações seguras a todos os meios da organização por VPN

  • Proteger o acesso a sistemas revendo as contas de acesso a sistemas e as políticas de autenticação. Retificar todas as situações não conformes com as boas práticas. Impor autenticação multi-factor no acesso ou antes de iniciar ações que possam ser vulneráveis para a empresa

  • Melhorar a segurança do sistema de email para ser capaz de identificar emails enviados de domínios falsos, impedindo ataques de engenharia social que usam domínios semelhantes aos dos contactos mais comuns da organização (fornecedores ou clientes)

  • Isolar recursos confidenciais para que nunca sejam acedidos através de redes Wi-Fi públicas (por exemplo, através de RDP – remote desktop access), enquanto que outros recursos, como documentos confidenciais, devem ser totalmente isolados da rede

Agora é tempo para rever as condições de segurança (da Infraestrutura IT e Sistemas) com que as pessoas trabalham e apoiá-las a dar o seu melhor, todos os dias, tirando pleno partido das ferramentas e soluções disponíveis.

Conte com a FACTIS! Há mais de 25 anos a capacitar pessoas e negócios através da tecnologia e suporte continuado!

FACTIS we care iT!

A FACTIS dedica-se à Prestação de Serviços de Suporte Técnico iT e à promoção de soluções de Gestão de Serviço e Automação iT.
O lema WE CARE IT transmite o nosso compromisso em proporcionar um serviço iT de excelência, seja ele executado por nós ou pelos Clientes com recurso às soluções promovidas e implementadas pela FACTIS.