Como conscientizar funcionários em meio a transformação digital sobre práticas de segurança no trabalho remoto
Existem diversas razões que tornam a conscientização uma ação importante para toda organização, pois o fator humano é o elo mais vulnerável quando falamos em cibersegurança.
Segundo dados da Kaspersky, 33% dos incidentes em cibersegurança ocorrem por consequência de falha humana em 2019.
A rápida evolução da tecnologia com o processo de transformação digital resulta também na complexidade de infraestruturas devido a falta de conhecimento de funcionários de alguns setores e também o pouco tempo que os profissionais têm para se adaptar a elas.
Não atoa, em 2019 mais de 60% das empresas latino-americanas já possuíam como objetivo de alta importância a digitalização de seus processos até o fim do ano, o que embora seja algo positivo para a indústria 4.0, aumenta os riscos de vulnerabilidades associadas a essas novas infraestruturas.
O que é indústria 4.0
Também conhecida como quarta revolução industrial, a indústria 4.0 é um termo que surgiu no início da década de 2010 para definir todos as mudanças que ocorriam nos processos industriais com a ascensão da tecnologia e informatização.
O termo é ainda muito associado ao trabalho remoto, pois todas as possibilidades trazidas com a tendência das tecnologias digitais tornaram o formato mais viável.
O processo de transformação digital
A transformação digital é uma consequência social que no cenário corporativo tornou-se uma das demandas mais importantes para a maioria das empresas.
A tecnologia impacta a vida de pessoas ao redor do mundo e inovação deixou de ser um ponto extra para tornar-se essencial no mercado, pois graças a tecnologia, muitos profissionais podem ser mais produtivos ao dispensar tarefas que antes demandava parte de sua rotina.
Embora importante, não é toda empresa (e gestão) que apresenta as melhores facilidades no processo. Basicamente, a transformação digital consiste nos seguintes pilares:
Diagnóstico da Estrutura gerencial
Antes de qualquer ação dentro de uma organização é importante compreender sua estrutura gerencial. Com esse diagnóstico é possível definir o ponto de partida e todas as ações que tornarão a transição mais harmoniosa.
Essa importante etapa também ajuda na prevenção e redução de riscos, pois há um entendimento geral: quadro de funcionários, tecnologias utilizadas atualmente, área de atuação e impactos econômicos.
A análise de tecnologias atuais ajudará o setor de TI a definir as metodologias e processos que deverão ser adotados para a transformação digital.
Engajamento de Pessoas
A fase mais sensível na transformação digital é o envolvimento humano, a transição e linha de aprendizado de todos os profissionais envolvidos no processo pode variar muito de uma área para outra. Ainda que as intenções sejam de melhoria.
A adesão de pessoas é uma importante fase para o sucesso de um projeto como esse.
Uma boa maneira de garantir que todos os colaboradores estejam nos mesmos termos em relação ao processo, é através de reuniões de equipes – para que cada time possa compreender como isso irá impactar seu dia a dia, ou ainda, campanhas de conscientização, para que a informação seja sempre alinhada entre todos o setores.
Análise da Infraestrutura
Com toda a equipe ciente e positiva sobre as mudanças, chega a hora de voltar com os preparativos e análise de infraestrutura.
Essa é também uma etapa de extrema importância considerando que todas as expectativas estão em cima da funcionalidade das mudanças implementadas.
Outro ponto positivo é a possibilidade de antecipar riscos e os potenciais problemas que o novo sistema possa apresentar, já que a estrutura base para a mudança pode não ser totalmente compatível com as mudanças e por isso precisa ocorrer de maneira gradual ou exija um maior investimento.
Digitalização de processos
Uma das maiores transformações que deve ocorrer para a grande maioria das empresas é a digitalização de processos que antes eram realizados de maneira analógica, demandando tempo de trabalho dos funcionários.
Soluções como Robotic Process Automation (RPA), Internet of Things (IoT) e de análise de dados são algumas das que facilitam a rotina profissional ao automatizar diversos processos, fazendo que com que os profissionais possam dedicar-se ao trabalho intelectual ou simplesmente reduzir ações repetitivas que resultam em problemas como a Lesão por Esforço Repetitivo (LER).
O Gerenciamento de processos de negócio (Business Process Management ou BPM) é um dos conceitos que pode auxiliar o ciclo de transformação digital através de sua aplicação de recursos de gestão de negócios somados a tecnologia da informação com foco na otimização dos processos de negócio.
As práticas de segurança
Agora que já ficou esclarecido que a transformação digital impacta todos os envolvidos no processo, especialmente pelas mudanças que ocorrem na rotina do profissional, chegou a hora de entender melhor o que é preciso ser de conhecimento de todos como conscientização.
Uma equipe bem informada é prevenida contra ataques de segurança da informação. Tanto no trabalho remoto, quanto no ambiente corporativo, existem algumas dicas que podem ser aplicáveis e lembradas por todos durante as campanhas de conscientização:
Manter gavetas e armários fechados.
Holerites, documentos e diversos outros arquivos impressos, com informações sensíveis, podem tornar-se uma vulnerabilidade ao serem facilmente vistas por colegas no ambiente corporativo.
Por isso, é importante manter as gavetas e armários fechados, e instruir os funcionários a levarem tudo o que for crítico para casa no final do expediente, ou disponibilizar um armazenamento específico para este fim.
Minimizar ou encerrar softwares que exponham dados da empresa ou funcionário.
Especialmente em empresas em que as mesas e computadores estiverem expostas em ambiente aberto, é muito comum que, quase inconscientemente, funcionários “bisbilhotam” o que outros estão executando no dispositivo.
Embora na maioria das vezes isso não represente nenhum problema, pode representar uma vulnerabilidade ao gerar oportunidades para pessoas com más intenções.
Não compartilhar login e senha com nenhum colega de trabalho.
Talvez a prática mais comumente difundida em qualquer ambiente, o compartilhamento de senhas é uma das práticas simples que podem causar as piores consequências a um trabalhador.
Imagine que ao fornecer a senha, a pessoa não apenas ganhar acesso total aos recursos disponibilizados para o dono da conta como também abre uma nova vulnerabilidade para seus dados pessoais, que podem a qualquer momento ser obtidos por algum usuário mal intencionado dependendo da prática do novo portador das informações de acesso.
Na necessidade de ausentar-se da mesa de trabalho, realizar o logout até o retorno.
Isso pode ser feito através do menu iniciar ou CTRL + Alt + Del caso esteja utilizando o Windows como sistema operacional.
Da mesma maneira que é importante fechar gavetas e armários que contenham documentos críticos, é essencial que os integrantes de qualquer equipe em uma empresa recebam o treinamento adequado para adquirirem o hábito de, ao ausentar-se da mesa de trabalho, encerrem a sessão de login no computador.
Isso porque ao manter o sistema logado o usuário abre brechas para que outras pessoas acessem ou alterem um arquivo específico que possa comprometer a vítima.
Não jogue documentos inteiros no lixo, rasgue-o ou fragmente caso seja uma opção no local de trabalho.
Jogar documentos e itens críticos como cartões de crédito, exames ou papéis com outras informações podem abrir brechas para a prática de no-hacking conhecida como “dumpster diving”, que consiste basicamente na vulnerabilidade encontrada num lugar muito comum: as lixeiras.
Em situações externas, evitar ao máximo mencionar informações internas da empresa
(quadro de funcionários, rotinas, procedimentos).
Exceto quando receber instruções específicas e treinamento de uma assessoria de imprensa, por exemplo.
Colaboradores bem informados sobre a própria organização nunca representarão algo negativo.
No entanto, é importante que os mesmos sejam instruídos nos lugares e momentos em que poderão falar sobre os temas internas.
Pessoas passam por diversos ambientes, além da empresa, ao longo do dia: transportes públicos, outras empresas e claro, a própria residência.
Todos os lugares externos podem abrir vulnerabilidades para que pessoas de fora ganhem acesso a informações privadas e que podem usar para finalidades de impacto negativo.
Coletar documentos impressos logo em seguida.
Impressão em rede é um excelente recurso para a maioria das empresas, afinal, diminui a necessidade de espaços físicos para diversas impressoras e permite que os funcionários compartilhem um mesmo equipamento.
No entanto, o compartilhamento desse dispositivo pode abrir vulnerabilidades para que pessoas tenham acesso ao que foi impresso antes mesmo de quem o solicitou.
E por isso recomendação geral é de que os documentos sejam coletados logo depois da impressão ser solicitada.
Em dispositivos
Se marketplaces oficiais como a Play Store, com todas as medidas que já tomam para a segurança de seus usuários, Instalar somente softwares e aplicativos de fontes confiáveis.
sofrem com esporádicas falhas na verificação e aprovação de aplicativos, os catálogos alternativos são ainda menos confiáveis.
Manter todo o sistema atualizado.
Os softwares de melhor qualidade atualizam seus protocolos de segurança na medida em que novas vulnerabilidades tornam-se conhecidas. Além de ter uma boa seleção de aplicativos com esta prática, é essencial que as atualizações manuais sejam feitas regularmente.
Realizar uma varredura com o antivírus de preferência antes de abrir qualquer download realizado.
Ao realizar o download de algum arquivo, da fonte menos para a mais confiável, é importante realizar a verificação (quando já não for realizada automaticamente) do arquivo, pois assim é possível reduzir as chances do arquivo instalar algum tipo de vírus no sistema.
Não memorizar senhas em computadores públicos ou de uso compartilhado.
Incentive funcionários a desabilitar a memorização de senhas em computadores públicos ou espaços compartilhados, incluindo contas privadas quando estiverem no espaço de trabalho.
Embora torne as coisas mais rápidas, é também a maneira mais fácil de permitir um acesso fraudulento.
Para que a prática seja funcional, também é essencial que o logout seja realizado ao final do uso.
Em transações bancárias
Acompanhar o extrato bancário de maneira recorrente para garantir que nenhum gasto desconhecido ou suspeito foi realizado.
Não há tempo e nem recomendável visitar agências bancárias ou caixas eletrônicos com grande frequência, no entanto, todo banco possui um aplicativo ou meio de acesso a conta através de um navegador ou smartphone e a maioria avisa em tempo real as transações realizadas.
Mas quando isso não acontece, é importante verificar regularmente o extrato através deste recurso.
Bloquear imediatamente qualquer cartão bancário perdido.
Defina como mandatório o bloqueio de qualquer cartão corporativo perdido por um colaborador, assim como incentivá-los a fazer o mesmo quando ocorrer com seus cartões pessoais.
A maioria dos cartões de crédito permite transações online apenas com os números informados no cartão e o nome do titular.
Nas agências bancárias, aceitar ajuda somente de pessoas devidamente uniformizadas e com as informações no crachá.
Embora muitas pessoas bem intencionadas busquem genuinamente ajudar alguém, o contrário também é possível.
Instrua funcionários a jamais aceitar ajuda de alguém sem algo que o identifique como funcionário do banco, e ainda com a presença de um crachá, evite compartilhar informações sigilosas como a senha do cartão.
Em e-mails e redes sociais
Verificar sempre o remetente do e-mail.
É importante que o remetente de todas as mensagens sejam verificados no ambiente corporativo. Pequenas variações no endereço de e-mail ou até mesmo uma grande diferença podem denunciar uma tentativa de phishing.
Desconfiar de todo e-mail, com remetente desconhecido, que possui anexos e links.
Se além de desconhecido o e-mail demande algo que deve ser feito muito rápido ou disponibiliza algum arquivo não solicitado, jamais realize o download e não faça a abertura de nenhum PDF.
Não compartilhar notícias ou informações que não possam ter a autenticidade comprovada.
As fake news ganham força principalmente por pessoas que observam apenas o título das matérias ou tem afinidade com o tema, ainda que não o tenham conferido.
Por isso é preciso conscientizar os colaboradores para garantir que aprendam a verificar tudo o que compartilham.
Fazer o controle de privacidade nas principais redes sociais.
Com a chegada da GDPR, todas as redes sociais passaram a possuir uma área restrita que permite a personalização da privacidade de dados.
Se no trabalho os funcionários precisam utilizar alguma rede social, ensine-os a configurarem o setor da maneira correta.
Evitar o envio de dados sensíveis por e-mail ou telefone, ainda que venham de algum colega de trabalho.
Aplique protocolos na organização que impeçam a troca de dados sensíveis por redes sociais ou em alguns casos, até mesmo através de e-mails.
Uma das principais vulnerabilidades que acontecem quando falamos em trabalho remoto são os ataques originados de engenharia social, como o phishing.
Pensando nisso, preparamos um guia para que gestores e profissionais possam entender os momentos em que estão mais vulneráveis a esse tipo de ataque.
Quer começar a agir? A gente pode ajudar!
Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode implementar as melhores soluções de segurança durante a transformação digital e a criar um plano completo e eficaz de conscientização!