Ir para conteúdo

Boas práticas em Teletrabalho

Objetivo: Garantir a Cibersegurança do Teletrabalho ou Trabalho à Distância

Como?

Cuide dos dispositivos:

  • Utilize de preferência dispositivos autorizados pela sua organização e, se os perder, informe o responsável de cibersegurança;
  • Seja o único a utilizá-los – evite que terceiros os utilizem;
  • Use apenas pens USBs confiáveis;
  • Ative o bloqueio automático dos dispositivos e use PIN ou password;
  • Utilize filtro no ecrã do portátil.
Cuide dos sistemas e dos dados:

  • Garanta junto da sua organização que os dispositivos estão atualizados e têm o antivírus e a firewall ativados;
  • Faça backups regulares para um dispositivo externo.
Cuide da navegação:
  • Evite usar o Wi-Fi de espaços públicos e utilize sempre a VPN da sua organização;
  • Navegue sempre em websitesHTTPS;
  • Altere a password do Wi-Fi doméstico depois da instalação;
  • Garanta que o seu Wi-Fi doméstico tem uma password forte, secreta e altere-a regularmente;
  • Altere o nome do seu Wi-Fi doméstico de modo a não ser facilmente identificado como seu;
  • Escolha o modo de cifrar mais forte da sua rede Wi-Fi;
  • Garanta que a rede da sua organização é segmentada de modo a proteger a rede interna.
Cuide da comunicação:

  • Não abra emails ou SMS, nem clique em links ou anexos, desconhecidos;
  • Cifre as comunicações sensíveis;
  • Não partilhe informação profissional nas redes sociais.

O QUE CORRE BEM QUANDO AGE BEM

  • Ajuda a manter a sua organização protegida de ciberataques;
  • A informação sensível ou competitiva da sua organização fica mais segura;
  • Evita ser responsável por um incidente de cibersegurança.

PORQUÊ O CUIDADO

Porque ao trabalharmos fora do contexto físico da nossa organização tornamos os sistemas e a gestão da informação mais vulneráveis, visto estarmos mais expostos a terceiros, quer em termos físicos, quer digitais.

SABIA QUE

Os trabalhadores, voluntaria ou involuntariamente, são por vezes os principais responsáveis por ciberataques que afetam as suas organizações (insider). Na verdade, frequentemente, essa responsabilidade resulta mais da falta de cuidado do que de intenções maliciosas. É por essa razão que em cibersegurança se dá tanta importância ao fator humano. Por mais que as organizações estejam apetrechadas das melhores infraestru-turas técnicas de proteção, basta um erro humano para colocar a cibersegurança em causa, nomeadamente através de ações como clicar num link com software malicioso, partilhar informação sensível com agentes mal intencionados ou em websites inseguros, perder dispositivos não bloqueados, utilizar pens comprometi-das, aceder a Wi-Fi públicos ou não ter o Wi-Fi doméstico com uma password segura.

Os trabalhadores de algumas organizações, quer públicas, quer privadas, podem ser alvos apetecíveis para atividades de ciberespionagem. Quando a organização é privada e com fins lucrativos, normalmente o motivo é económico e prende-se com a espionagem industrial, visando obter informação privilegiada para a compet-itividade. Contudo, noutros casos, em geral ligados a organizações públicas, os motivos podem colocar em causa a segurança nacional.

A informação, profissional ou privada, que os trabalhadores expõem na Internet pode ser utilizada contra eles, em atos de engenharia social, como phishing, smishing, vishing ou deep fake de modo a levar estes trabalhadores, isolados em teletrabalho, a agir beneficiando o infrator, como seja fornecendo credenciais, fazendo transferências bancárias ou transmitindo outras informações sensíveis. Em muitas situações esta engenharia social atua simulando a identidade do CEO ou de outra chefia (CEO fraud) de modo a tornar-se mais credível e com autoridade.

Uma cadeia de ataque em cibersegurança inicia-se com um momento de reconhecimento, algo que pode passar pela simples recolha de informações sobre possíveis alvos de engenharia social. Por isso, é importante prevenir este tipo de situação mediante o conservadorismo na partilha de informações pessoais online. Em espaços públicos também é necessário ter cuidado, visto muita informação privilegiada poder ser recolhida através da visualização discreta de um monitor visível incautamente (shoulder surfing).

Quando se viaja, a condição de isolamento e exposição são intensificadas e podem ser vulnerabilidades percebidas por quem tem intenções maliciosas. Durante esses períodos, é muito importante vigiar os dispositivos de modo a evitar furtos ou perda.

DADOS

Num inquérito mundial (Cyberedgegroup), de 2018, 50,6% das organizações do setor da saúde e 47,3% das PME relataram que a sua principal preocupação de segurança é a ameaça interna.

Outro estudo (Forcepoint), em 2018, mostra que em 77% dos casos de data breach, a responsabilidade é de um insider.

Em 2018, 54% das empresas (Alertlogic) registaram um aumento da ameaça interna.

Um estudo (Broadcom), também de 2018, mostra que os dados mais vulneráveis à ameaça interna são as informações confidenciais de negócio (finanças, clientes, trabalhadores). Os ativos de Tecnologias de Informação mais vulneráveis são as bases de dados.

(ENISA Threat Landscape 2018 (2019):
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)

Nota: para um maior aprofundamento técnico dos melhores procedimentos de cibersegurança em teletrabalho, trabalho remoto e bring your own device (BYOD), consultar NIST Special Publication 800-46, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device(BYOD) Security.
(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf)

Última atualização em 19-07-2022