Archived content
NOTE: this is an archived page and the content is likely to be out of date.
Permitir o Trabalho Remoto sem Comprometer a Cibersegurança
Pedro Samuel Pires, responsável pela unidade de Cibersegurança na Fujitsu Portugal
A pandemia do coronavírus está a revelar-se o maior teste de sempre à forma como as práticas modernas e flexíveis de trabalho estão a permitir que os colaboradores se mantenham produtivos, a trabalhar a qualquer hora, em qualquer lugar e em qualquer dispositivo. As tecnologias de mobilidade empresarial da actualidade possibilitam que os colaboradores se conectem remotamente aos recursos de que precisam, sempre que precisam e no dispositivo que escolherem. Acresce que, em virtude dos eventos globais actuais, com os governos de todo o mundo a ordenarem aos seus cidadãos que mantenham distanciamento social, o trabalho remoto tornou-se uma medida incontronável para a continuidade do negócio ao invés de uma simples escolha.
Apesar destas virtudes, o acesso remoto a dados e sistemas da organização através de diversos dispositivos móveis em múltiplas redes representa riscos adicionais para os Chief Information Security Officers (CISOs). Aceder a dados fora do perímetro seguro da rede abre “superfícies de ataque” sem precedentes aos cibercriminosos e aumenta a probablidade de exploração de vulnerabilidades. Com isto em mente, quais são os riscos que os CISOs e os decisores TI precisam de ter em conta quando implementam práticas de trabalho remoto e como podem esses riscos ser mitigados?
Questões de capacidade
A capacidade pode parecer um aspecto simples, mas também é bastante tangível. Os trabalhadores à distância recorrem a redes privadas virtuais (VPNs) para aceder às redes da empresa, mas as VPNs colocam pressão considerável sobre os recursos organizacionais, obrigando à existência de licenças suficientes para um acesso remoto.
Durante o planeamento da continuidade do negócio e da recuperação em caso de desastre, as organizações devem ter em consideração factores de capacidade, incluindo a disponibilidade de licenças e de largura de banda, de modo a estarem preparadas para qualquer pico inesperado na procura. Para alocar tráfego web às aplicações cloud de forma segura, os decisores TI devem considerar a utilização de soluções de Cloud Access Security Broker (CASB) para gerir a procura, ao mesmo tempo que mantêm políticas de segurança e monitorização de segurança que garantam que os utilizadores e as aplicações estão devidamente protegidos. As empresas podem também querer aproveitar as funções de segurança que já estão ao seu dispor através de serviços existentes que já consomem, como o Microsoft Azure, uma vez que estes podem ajudar a aliviar rapidamente os desafios.
A capacidade pode parecer um aspecto simples, mas também é bastante tangível. Os trabalhadores à distância recorrem a redes privadas virtuais (VPNs) para aceder às redes da empresa, mas as VPNs colocam pressão considerável sobre os recursos organizacionais, obrigando à existência de licenças suficientes para um acesso remoto.
Durante o planeamento da continuidade do negócio e da recuperação em caso de desastre, as organizações devem ter em consideração factores de capacidade, incluindo a disponibilidade de licenças e de largura de banda, de modo a estarem preparadas para qualquer pico inesperado na procura. Para alocar tráfego web às aplicações cloud de forma segura, os decisores TI devem considerar a utilização de soluções de Cloud Access Security Broker (CASB) para gerir a procura, ao mesmo tempo que mantêm políticas de segurança e monitorização de segurança que garantam que os utilizadores e as aplicações estão devidamente protegidos. As empresas podem também querer aproveitar as funções de segurança que já estão ao seu dispor através de serviços existentes que já consomem, como o Microsoft Azure, uma vez que estes podem ajudar a aliviar rapidamente os desafios.
Dispositivos não seguros
A frequência actual das actualizações do software de segurança mobile requer que os dispositivos sejam alvo de patches regulares para manter a segurança a nível da empresa. Isto é especialmente relevante nos cenários de bring your own device (BYOD), nos quais o software de segurança nativo do dispositivo móvel pode não estar à altura dos padrões da organização. Os patches e as actualizações respondem a problemas de segurança conhecidos, o que significa que ignorá-los abre a porta a novos vectores de ataque dos cibercriminosos.
Os decisores TI tem de encontrar formas de se certificar de que os processos de patching estão a ser cumpridos de modo a assegurar que os dispositivos se mantêm em segurança. Isto requer visibilidade sobre o que se está a ligar à rede e sobre o estado de saúde desses dispositivos, incluindo informações sobre a sua informação mais recente. Em linha com isto, o processo precisa de ter visibilidade para as novas actualizações oriundas das marcas de hardware e software para assegurar que estas são aplicadas assim que ficam disponíveis.
A frequência actual das actualizações do software de segurança mobile requer que os dispositivos sejam alvo de patches regulares para manter a segurança a nível da empresa. Isto é especialmente relevante nos cenários de bring your own device (BYOD), nos quais o software de segurança nativo do dispositivo móvel pode não estar à altura dos padrões da organização. Os patches e as actualizações respondem a problemas de segurança conhecidos, o que significa que ignorá-los abre a porta a novos vectores de ataque dos cibercriminosos.
Os decisores TI tem de encontrar formas de se certificar de que os processos de patching estão a ser cumpridos de modo a assegurar que os dispositivos se mantêm em segurança. Isto requer visibilidade sobre o que se está a ligar à rede e sobre o estado de saúde desses dispositivos, incluindo informações sobre a sua informação mais recente. Em linha com isto, o processo precisa de ter visibilidade para as novas actualizações oriundas das marcas de hardware e software para assegurar que estas são aplicadas assim que ficam disponíveis.
Comportamento suspeito torna-se difícil de monitorizar
Como, por definição, o trabalho remoto tem lugar fora do perímetro de segurança da empresa, ele perturba os padrões de trabalho base que os analistas de ameaças à empresa precisam de conhecer. Se iniciar sessão às 23 horas for uma opção, então os analistas de segurança precisam de estar conscientes de que este padrão é “um novo normal” quando analisam comportamentos suspeitos. Isto permitir-lhes-á redefinir as regras de comportamento de acesso normal, ao invés de assinalarem que um acesso remoto foge ao “velho normal” e é suspeito.
Restringir os padrões de acesso flexível dos colaboradores enquanto estes tentam trabalhar remotamente é contraproducente. Ao invés, as organizações precisam de considerar novos modos de monitorizar comportamentos que possam compensar essas situações de acesso remoto invulgar mas legítimo.
Como, por definição, o trabalho remoto tem lugar fora do perímetro de segurança da empresa, ele perturba os padrões de trabalho base que os analistas de ameaças à empresa precisam de conhecer. Se iniciar sessão às 23 horas for uma opção, então os analistas de segurança precisam de estar conscientes de que este padrão é “um novo normal” quando analisam comportamentos suspeitos. Isto permitir-lhes-á redefinir as regras de comportamento de acesso normal, ao invés de assinalarem que um acesso remoto foge ao “velho normal” e é suspeito.
Restringir os padrões de acesso flexível dos colaboradores enquanto estes tentam trabalhar remotamente é contraproducente. Ao invés, as organizações precisam de considerar novos modos de monitorizar comportamentos que possam compensar essas situações de acesso remoto invulgar mas legítimo.
Atacantes exploram utilizadores de dispositivos móveis
Estudos mostram que os utilizadores têm maior probabilidade de responder a e-mails de phishing e smishing (phishing via SMS) num dispositivo móvel. À luz dos eventos globais actuais, um número crescente de cibercampanhas estão a ser lançadas através de SMS e apps viradas para os consumidores, como o WhatsApp, para explorar os receios de utilizadores móveis vulneráveis que estão ansiosos por obter mais informações acerca do surto de coronavírus. E, porque a maioria dos utilizadores de dispositivos móveis tende a ter várias contas de e-mail num único aparelho, qualquer distracção com ataques de phishing em contas de e-mail pessoais pode afectar de forma adversa as redes da organização, caso o dispositivo da empresa fique comprometido.
Como o risco da engenharia social reside sobretudo nas pessoas que utilizam os dispositivos móveis, a solução é uma educação clara e rigorosa acerca das políticas de utilização dos dispositivos móveis, com orientações claras sobre o uso aceitável de aplicações direccionadas para os consumidores e contas de e-mail pessoais em recursos corporativos e BYOD.
Estudos mostram que os utilizadores têm maior probabilidade de responder a e-mails de phishing e smishing (phishing via SMS) num dispositivo móvel. À luz dos eventos globais actuais, um número crescente de cibercampanhas estão a ser lançadas através de SMS e apps viradas para os consumidores, como o WhatsApp, para explorar os receios de utilizadores móveis vulneráveis que estão ansiosos por obter mais informações acerca do surto de coronavírus. E, porque a maioria dos utilizadores de dispositivos móveis tende a ter várias contas de e-mail num único aparelho, qualquer distracção com ataques de phishing em contas de e-mail pessoais pode afectar de forma adversa as redes da organização, caso o dispositivo da empresa fique comprometido.
Como o risco da engenharia social reside sobretudo nas pessoas que utilizam os dispositivos móveis, a solução é uma educação clara e rigorosa acerca das políticas de utilização dos dispositivos móveis, com orientações claras sobre o uso aceitável de aplicações direccionadas para os consumidores e contas de e-mail pessoais em recursos corporativos e BYOD.
Fugas em dispositivos físicos
Usar um dispositivo móvel para trabalhar, por muito útil e prático que pareça, também comporta os riscos de perda, de roubo ou de o dispositivo ficar comprometido. Dispositivos perdidos ou esquecidos em espaços públicos, mesmo com uma forte encriptação e protecção, representam um risco de segurança directo e significativo para os dados da empresa, tanto no dispositivo em si como nas redes organizações a que este acede.
Tal como acontece com a protecção contra o phishing, quando se trata da segurança de um dispositivo físico, os utilizadores de dispositivos móveis precisam de ser instruídos acerca das políticas da empresa e das responsabilidades associadas à utilização de dispositivos que podem aceder a dados críticos da empresa. Os métodos de forte encriptação de dispositivos fornecem alguma protecção caso o dispositivo fique comprometido ou desbloqueado, enquanto as capacidades de gestão remota de dispositivos é capaz de remediar automaticamente a situação através de um bloqueio remoto, de uma limpeza total do dispositivo ou da empresa ou de outros controlos de quarentena.
Usar um dispositivo móvel para trabalhar, por muito útil e prático que pareça, também comporta os riscos de perda, de roubo ou de o dispositivo ficar comprometido. Dispositivos perdidos ou esquecidos em espaços públicos, mesmo com uma forte encriptação e protecção, representam um risco de segurança directo e significativo para os dados da empresa, tanto no dispositivo em si como nas redes organizações a que este acede.
Tal como acontece com a protecção contra o phishing, quando se trata da segurança de um dispositivo físico, os utilizadores de dispositivos móveis precisam de ser instruídos acerca das políticas da empresa e das responsabilidades associadas à utilização de dispositivos que podem aceder a dados críticos da empresa. Os métodos de forte encriptação de dispositivos fornecem alguma protecção caso o dispositivo fique comprometido ou desbloqueado, enquanto as capacidades de gestão remota de dispositivos é capaz de remediar automaticamente a situação através de um bloqueio remoto, de uma limpeza total do dispositivo ou da empresa ou de outros controlos de quarentena.
Apps Maliciosas
Uma vez que as nossas vidas pessoais e profissionais convergem nos dispositivos móveis, os utilizadores irão inevitavelmente fazer download de apps para uso pessoal nos dispositivos que são propriedade da empresa. E porque quase ninguém fica a ler as políticas de privacidade das apps de consumo geral, há um risco real de que os utilizadores à distância poderem inadvertidamente expor esses dispositivos a spyware e vulnerabilidades de segurança que podem ser exploradas para aceder aos dados da empresa e aos seus sistemas.
As políticas de utilização de dispositivos móveis precisam de delinear os termos de utilização aceitáveis de modo a prevenir a perda de dados com permissões de partilha das apps, obrigatoriedade de palavras-passe a nível das apps e, se necessário, a existência de listas brancas e listas negras de aplicações. As equipas de segurança também devem monitorizar de forma rotineira os dispositivos, em busca de aplicações maliciosas conhecidas, e instruir os utilizadores para que as eliminem de imediato.
Não há dúvidas de que possibilitar o acesso remoto a recursos da empresa ao mesmo tempo que se salvaguarda a integridade dos sistemas da organização exige um equilíbrio difícil para a maioria dos decisores TI. Todavia, aproveitando as ferramentas de mobilidade inteligente, a análise de dados e conhecimento que está disponível hoje em dia, as equipas de segurança e de TI das empresas estão agora mais bem equipadas para fornecer aos seus colegas de trabalho um modelo de acesso remoto seguro, no qual a experiência de trabalho à distância dos colaboradores está optimizada, a produtividade é mantida e a pressão sobre os recusos TI da organização permanece contida.
Uma vez que as nossas vidas pessoais e profissionais convergem nos dispositivos móveis, os utilizadores irão inevitavelmente fazer download de apps para uso pessoal nos dispositivos que são propriedade da empresa. E porque quase ninguém fica a ler as políticas de privacidade das apps de consumo geral, há um risco real de que os utilizadores à distância poderem inadvertidamente expor esses dispositivos a spyware e vulnerabilidades de segurança que podem ser exploradas para aceder aos dados da empresa e aos seus sistemas.
As políticas de utilização de dispositivos móveis precisam de delinear os termos de utilização aceitáveis de modo a prevenir a perda de dados com permissões de partilha das apps, obrigatoriedade de palavras-passe a nível das apps e, se necessário, a existência de listas brancas e listas negras de aplicações. As equipas de segurança também devem monitorizar de forma rotineira os dispositivos, em busca de aplicações maliciosas conhecidas, e instruir os utilizadores para que as eliminem de imediato.
Não há dúvidas de que possibilitar o acesso remoto a recursos da empresa ao mesmo tempo que se salvaguarda a integridade dos sistemas da organização exige um equilíbrio difícil para a maioria dos decisores TI. Todavia, aproveitando as ferramentas de mobilidade inteligente, a análise de dados e conhecimento que está disponível hoje em dia, as equipas de segurança e de TI das empresas estão agora mais bem equipadas para fornecer aos seus colegas de trabalho um modelo de acesso remoto seguro, no qual a experiência de trabalho à distância dos colaboradores está optimizada, a produtividade é mantida e a pressão sobre os recusos TI da organização permanece contida.
