article banner
Artigo

Cibersegurança e privacidade em tempos de crise global

14 mai. 2020

As novas maneiras de interação social estão impactando rapidamente as operações comerciais em todo o mundo. Lidar com ameaças cibernéticas e questões de privacidade e segurança se tornou uma espécie de disputa. Lacunas nas proteções são oportunidades para quebras, por vezes acidentais e, também, propositais, em segurança cibernética, privacidade e segurança operacional.

Nas empresas, os colaboradores estão suscetíveis a erros e os hackers estão mais do que prontos para explorar, como evidenciado em ataques recentes a uma plataforma popular de videoconferência e a uma empresa de pesquisa de vírus Covid-19.

A solução é fortalecer as defesas por meio da conscientização, avaliação, mitigação e colaboração criteriosa.

1.      Esteja ciente sobre o aumento da vulnerabilidade

  • Alterações de emergência que ignoram procedimentos operacionais seguros
  • Problemas de capacidade que levam a preocupações de disponibilidade, como interrupções de VPN tornando aplicativos inacessíveis
  • Preocupações de segurança cibernética para funcionários remotos, por exemplo, falta de controle em computadores domésticos, incluindo senhas fracas, incapacidade de executar a lista de permissões de aplicativos
  • Maiores tentativas de phishing com palavras como “WHO” e “coronavírus” e sites maliciosos para coletar credenciais de usuários

As medidas governamentais, institucionais e organizacionais tomadas na crise da Covid-19, embora geralmente consideradas necessárias, criam desafios de cibersegurança, privacidade e segurança:

  • Vigilância - Verificação de distanciamento social, quarentena e auto isolamento
  • Rastreamento de contato - Identificação de contatos de pacientes que apresentaram resultado positivo
  • Divulgação de dados de saúde - Disponibilizar dados pessoais de pacientes com Covid-19 e seus contatos em bancos de dados não governamentais
  • Restrições e requisitos - Impor restrições de viagem, limitar visitantes e exigir exames médicos, potencialmente compartilhando informações
  • Trabalho remoto - Monitorando as atividades dos funcionários, incluindo o uso de dados

2. Avalie novas situações e tome medidas de mitigação

À medida que sua organização estabiliza seus novos modelos operacionais, avalie como sua postura de risco cibernético pode ter mudado. Em seguida, determine a mitigação definitiva.

Uso de novos dispositivos e ferramentas

Os ambientes de trabalho remoto introduzem abordagens que utilizam os dispositivos e ferramentas próprias das pessoas baseadas na nuvem para conferências na Web, compartilhamentos de arquivos e mensagens instantâneas. Muitos desses dispositivos e plataformas não possuem a mesma segurança dos sistemas gerenciados e de propriedade da empresa.

  • Utilize o software de controle de ponto final e lembre os usuários dos sistemas e processos apropriados a serem usados ​​para proteger informações confidenciais;
  • Implemente um software de proteção contra perda de dados para impedir que dados confidenciais sejam compartilhados por canais não seguros.

Controles de acesso do usuário

Com o trabalho em casa, o acesso tradicionalmente contido na rede corporativa é enviado para redes não seguras. Além disso, as atividades de licença obrigam processos normais a revogar o acesso. Esses problemas estão criando uma oportunidade para os direitos ficarem desalinhados com o que é necessário para as operações.

  • Considere aumentar o uso da autenticação multifatorial e baseada em riscos;
  • Execute certificações de acesso ad hoc para verificar se uma abordagem menos privilegiada está sendo aplicada;
  • Revise os logs e realize análises de comportamento do usuário para comparar os padrões de acesso atuais aos anteriores para identificar onde os compromissos já podem ter ocorrido.

E-mails de phishing e malware

Os ataques por e-mail aumentaram à medida que os fraudadores que tentam extrair credenciais de segurança se apresentam como equipes de suporte corporativo e de TI. Os ataques são mais fáceis porque os usuários se distraem estabelecendo novas rotinas de trabalho.

  • Lembre os usuários por meio de treinamentos rápidos sobre suas funções e responsabilidades, bem como as ações que eles podem executar para ajudar a proteger sistemas e dados corporativos;
  • Verifique se o software antivírus está instalado e atualizado em todos os dispositivos.

3.      Aumente os níveis de colaboração

Uma colaboração sem precedentes entre as áreas de cyber, privacidade e segurança é fundamental. Um foco coordenado pode reduzir a probabilidade e o impacto de incidentes:

  • Aumente a frequência de campanhas de conscientização para sua força de trabalho, por exemplo, uma comunicação semanal sobre segurança de dados, explicando os processos para acesso remoto seguro e como reconhecer o comprometimento do e-mail comercial, além de um rápido processo de resposta a alertas sobre suspeitos de incidentes;
  • Identifique como os dados pessoais e confidenciais estão sendo compartilhados e usados ​​além do curso normal dos negócios. Proteções reforçadas, por exemplo, aumentam o monitoramento das exportações e o compartilhamento de dados com terceiros;
  • Execute um passo a passo do processo de resposta a incidentes, distribuindo modelos de comunicação e processos de contenção para aplicativos críticos e sensíveis aos negócios;
  • Trabalhe em conjunto para resolver questões urgentes, como:
  1. Os sistemas e processos existentes precisam ser alterados para levar em conta a mudança nos locais de trabalho e como os usuários interagem para proteger os dados da sua organização?
  2. Os novos sistemas e relacionamentos corporativos introduzidos precisam ser submetidos a uma avaliação de risco?
  3. As políticas e procedimentos, e como eles afetam a configuração dos sistemas (por exemplo, políticas de senha), precisam ser atualizados?
  4. Como o novo modelo operacional se alinha aos seus requisitos de conformidade?

 

Barra decorativaComo a Grant Thornton pode auxiliar na segurança digital da sua empresa? 

Nossos especialistas podem avaliar suas necessidades e oferecer soluções customizadas ao seu negócio.

Entre em contato conosco

Veja também