Os dias em que a segurança era a dor de cabeça apenas do departamento de TI já se foram há muito. Hoje, todos em uma organização precisam assumir responsabilidade pessoal pela segurança geral e segurança da rede.
Um grande motivo é a transformação no ambiente de trabalho moderno. No passado, os departamentos de TI tinham controle rigoroso sobre gateways, firewalls e redes. Com o advento do BYOD (bring-your-own-device, traga seu próprio dispositivo) e com acesso 24 horas por dia, 7 dias por semana às redes da empresa, os limites não são tão claros. Os funcionários estão se tornando a maior vulnerabilidade na infraestrutura.
De acordo com um relatório de 2018, 87% das empresas confiam no uso de dispositivos pessoais de funcionários ou BYODs. Ao mesmo tempo, o erro humano é o principal contribuidor para violações de segurança. A combinação do uso de dispositivos pessoais e a probabilidade de erro humano aumenta os riscos de segurança. Funcionários caindo em sites de phishing, ransomware e sites mal-intencionados aumentam o risco para toda a organização – e as consequências podem ser terríveis.
Protegendo a infraestrutura de rede da sua organização
O influxo de dispositivos pessoais no local de trabalho significa que os departamentos de TI não podem garantir o controle total. Portanto, a única solução é criar sistemas e processos para gerenciar o caos. Aqui estão alguns passos práticos que toda organização pode tomar:
Treinar os funcionários nas melhores práticas de segurança cibernética
A primeira linha de defesa são seus funcionários, portanto a educação adequada é fundamental. Toda empresa deve ter um programa de treinamento para ensinar os funcionários sobre segurança. O treinamento pode ajudar os funcionários das seguintes maneiras:
- Pratique a regra correta de senha. Os funcionários devem entender a importância de criar senhas longas e que eles consigam memorizar e utilizar um cofre de senhas (pesquisas confirmam que senhas complexas aliadas à rotação de senha aumentam os riscos e não são mais indicadas pelo NIST e pela Microsoft). Além disso, às vezes eles não percebem o perigo de decisões simples. Escrever uma senha em um lembrete de papel é um risco de segurança. Compartilhar senhas com colegas de trabalho ou outros é um risco de segurança. Ensinar os funcionários a evitar esses comportamentos de alto risco pode melhorar a segurança de uma organização.
- Evite golpes de phishing e e-mails suspeitos. Golpes de phishing e malware estão ficando sofisticados. Os funcionários podem receber e-mails de golpistas que parecem ter origem em instituições financeiras legítimas, entidades governamentais ou até mesmo de seus superiores no trabalho. Quando os funcionários aprendem a reconhecer esses golpes, a probabilidade de ataques bem-sucedidos diminui.
- Aprenda através de execuções de teste. As empresas podem usar exercícios de treinamento para orquestrar cenários reais de ataque cibernético. As organizações podem executar esses testes para ataques de phishing e ransomware, coletar dados e usar técnicas post-mortem para solidificar ainda mais as medidas preventivas.
- Crie bons hábitos de segurança. Treinamentos e discussões regulares podem ajudar os funcionários a se manterem à frente das mais recentes ameaças de hackers e cibersegurança, mantendo a segurança em primeiro lugar. A aprendizagem contínua é a única maneira de proteger contra possíveis ataques futuros, por isso as organizações devem promover esses bons hábitos.
Criar políticas BYOD
O uso de dispositivos privados no local de trabalho tornou-se a norma. As empresas não podem impedir a mudança. Portanto, a solução prática é criar políticas de BYOD práticas. Os departamentos de TI precisam implementar sistemas que permitam aos funcionários registrar facilmente seus dispositivos. As políticas precisam ser convenientes para que não criem obstáculos à produtividade. Se ninguém respeitar as políticas, todo o esforço será em vão. Por outro lado, as regras precisam ser abrangentes o suficiente para cobrir uma ampla gama de casos de uso. Os sistemas precisam encontrar um equilíbrio delicado entre usabilidade e segurança. As empresas podem exigir que todos os dispositivos móveis se conectem a uma rede separada, em vez da rede interna que hospeda informações particulares e confidenciais. Isso atenuará quaisquer problemas que possam surgir se um dispositivo móvel contiver um malware e eliminará a disseminação em toda a organização.
Criar políticas de uso aceitáveis.
Embora as organizações modernas tentem ser o mais flexíveis possível, a linha tem que ser desenhada em algum lugar. As empresas devem avaliar seus níveis de ameaças, discutir os problemas com seus funcionários e estabelecer políticas de uso aceitáveis. Essas políticas serão muito diferentes entre as organizações. Um banco ou instituição financeira pode ter requisitos totalmente diferentes de uma empresa que cria jogos para dispositivos móveis. Cada organização precisa chegar a um acordo sobre quais são as políticas de uso aceitável dentro do escopo de suas expectativas de negócios.
Ajude a proteger a empresa
É evidente o problema que os pontos apontados nesse texto podem gerar para uma empresa, é necessário ser flexível para não causar espanto aos funcionários, mas estar sempre atento às ameaças tanto externas como internas.
Para tal, o Untangle NG Firewall oferece uma solução para ajudar as empresas a identificarem e administrarem corretamente as ações a serem tomadas quanto às ameaças internas, assim como é possível utilizar as ferramentas de BYOD para simplificar a tarefa de implementação de políticas de segurança. Para saber mais, acesse nosso site.
Texto traduzido e referenciado do blog da Untangle. Link: https://www.untangle.com/inside-untangle/security-is-everyones-responsibility-in-the-organization/