Gerenciando os riscos cibernéticos do trabalho remoto

Em todo o mundo, empresas e governos estão rapidamente tomando medidas responsáveis ​​para proteger a saúde de seus funcionários e cidadãos - incluindo pedir às pessoas que trabalhem remotamente. Espera -se que mais de 30 milhões de trabalhadores de escritórios nos EUA e até 300 milhões em todo o mundo trabalhem em casa, de acordo com as estimativas do Bureau of Labor Statistics e as estimativas do Boston Consulting Group. Clerks de contabilidade, oficiais de compras, equipe de recursos humanos, C-suite e outros trabalhadores estarão entrando nos sites da empresa, participando de reuniões on-line e acessarem dados sensíveis da empresa pela Internet-em muitos casos através de seus computadores domésticos e telefones celulares privados.

While digital tools offer excellent support for remote workers, shifting work patterns on such a massive scale can have serious unanticipated implications for Ele e segurança cibernética . Sua empresa está preparada adequadamente para as mudanças em seu risco de segurança cibernética? Ou se um trabalhador for manipulado por técnicas de engenharia social para seguir as instruções de um criminoso cibernético que afirma ser do suporte técnico do empregador? Sua empresa possui disposições adequadas para impedir que os trabalhadores baixem malware que possam ser usados ​​para coletar senhas que fornecem acesso a sistemas de pagamento, registros de pessoal, dados pessoais do cliente, propriedade intelectual e outros ativos importantes? Observamos vários sinais de alerta. Já em janeiro, os nomes de domínio da marca Covid-19 começaram a ser adquiridos. Cibernéticos usam esses nomes de domínio para se disfarçar como legítimos

Consider the implications of workers clicking on an ad promising a COVID-19 wonder drug, or opening an email attachment—from what appears to be a legitimate health agency offering pandemic updates—that embeds software designed to compromise security. Or what if a worker is manipulated by social engineering techniques to follow instructions from a cyber criminal claiming to be from the employer’s help desk? Does your company have adequate provisions in place to prevent workers from downloading malware that could be used to collect passwords providing access to payment systems, personnel records, personal customer data, intellectual property, and other important assets?

It’s an unfortunate reality that in times of humanitarian crisis, we need to speak more about cybersecurity. We have observed several warning signs. As early as January, COVID-19-branded website domain names began to be acquired. Cyber criminals use these domain names to masquerade as legitimate Informações covid-19 sites. Eles também estão enviando e-mails de phishing que parecem vir de organizações legítimas, como os Centros de Controle e Prevenção de Doenças dos EUA e a Organização Mundial da Saúde, mas que na verdade contêm links ou anexos maliciosos. Mas quando eles instalaram o software necessário para visualizar o painel, o malware trabalhou em segundo plano para comprometer seus computadores, coletando e transmitindo IDs e senhas de usuários pessoais e da empresa a criminosos cibernéticos. In another case, users who clicked on an email link purporting to be a COVID-19 update from a leading shipping supplier were redirected to a realistic-looking Microsoft Outlook login page that prompted them to enter user credentials, giving cyber criminals access to company email accounts.

In one case, recipients were offered a link to a university dashboard about COVID-19 that is a popular source of up-to-date information. But when they installed the software needed to view the dashboard, malware worked in the background to compromise their computers, collecting and transmitting personal and company user IDs and passwords to cyber criminals. In another case, users who clicked on an email link purporting to be a COVID-19 update from a leading shipping supplier were redirected to a realistic-looking Microsoft Outlook login page that prompted them to enter user credentials, giving cyber criminals access to company email accounts.

By implementing a number of practical training, process, and technology measures, companies can avoid adding a cyber crisis to the challenges associated with COVID 19. Pedimos às empresas que dêem as sete etapas seguintes para proteger seus ativos corporativos. (Consulte a exposição.)

1. Assess Core IT Infrastructure for Remote Working

Em um ambiente de escritório, grande parte da força de trabalho usa computadores de mesa conectados a servidores corporativos por cabos Ethernet ou uma rede Wi-Fi corporativa que depende da segurança física do edifício para manter os dados seguros. Para trabalhar remotamente, as pessoas provavelmente precisarão usar laptops emitidos pela empresa ou mesmo dispositivos pessoais que se conectem aos servidores da empresa pela Internet. Em vez de falar com ele e a segurança cibernética ajuda as mesas por meio de um sistema telefônico interno, os trabalhadores usarão seus telefones celulares ou telefones fixos. Colete um inventário completo de dispositivos autorizados a se conectar aos sistemas da empresa, prestando atenção especial aos endereços MAC da Ethernet do dispositivo, a fim de correlacionar dispositivos autorizados com usuários autorizados. O software VPN e token pode ser baixado remotamente, mas as licenças adicionais podem precisar ser adquiridas. A capacidade de conexões remotas em muitas empresas pode não ser suficiente para acomodar o aumento da carga de milhares de trabalhadores conectados. Portanto, pode ser necessário comprar hardware adicional para sistemas locais ou passar rapidamente para um provedor de serviços em nuvem. Observamos muitas empresas que enfrentam limites significativos de capacidade, dado o rápido aumento da demanda. 

Companies need to assess three categories of infrastructure: endpoints, connectivity, and enterprise architecture and infrastructure:

• Endpoints. Ensure that these include approved applications and cybersecurity tools. Collect a complete inventory of devices authorized to connect to company systems, paying special attention to device Ethernet MAC addresses in order to correlate authorized devices with authorized users.
• Connectivity. Ensure that connections to company networks take place over virtual private networks (VPNs) with two-factor authentication to prevent spying on data transmitted between workforce endpoints and company servers. VPN and token software can be downloaded remotely, but additional licenses may need to be acquired.
• Enterprise Architecture and Infrastructure. Configure firewalls, networks, collaboration tools, and servers to accept remote connections over the internet. The capacity for remote connections at many companies may not be sufficient to accommodate the increased load of thousands of connected workers. It may therefore be necessary to purchase additional hardware for on-premises systems or to rapidly move to a cloud service provider.

As the dramatic shift to working remotely accelerates, these technologies will have to be tested at scale to ensure that the company’s infrastructure and systems can accommodate the high loads. We observe many companies facing significant capacity limits given the rapid increase in demand. 

2. Aplicativos e dispositivos seguros para a força de trabalho remota

A infraestrutura de TI por si só não garantirá que os sistemas, o software e a segurança de uma empresa sejam configurados corretamente e operando bem. Ao incorporar a tecnologia necessária para o trabalho remoto em sua infraestrutura, tome as seguintes medidas para garantir a segurança cibernética das operações:

• Criptografar e instalar firewalls em todos os dispositivos. O EPS fornece firewall pessoal, controle de aplicativos, antispyware e proteção antivírus e impede que os computadores sejam infectados, impedindo que os hackers acessem IDs e senhas e usando computadores como pontos de entrada nos servidores e sistemas da empresa. Certifique -se de que todos os discos rígidos do computador, discos rígidos externos e unidades USB (polegar) sejam criptografadas e a empresa emitida para proteger os pontos de extremidade dos trabalhadores contra roubo ou acesso físico indesejado. Coloque as diretrizes para impedir o uso de unidades USB que não são emitidas pela empresa. Todos os pontos de extremidade devem ter recursos de limpeza remotos para que os dados possam ser apagados de um dispositivo perdido ou roubado, bem como o software de prevenção de perda de dados (DLP) para evitar a exfiltração de dados. (O DLP protege contra trabalhadores autorizados, que podem ter menos cuidado para não exfiltrar os dados ao trabalhar remotamente do que estão no escritório, onde podem ser mais facilmente detectados.) Finalmente, instrua os funcionários a fazer backup regularmente de dados de todos os laptops. Todas as VPN e logs de acesso remoto para comportamento anômalo. Se a organização não funcionar globalmente, considere restringir o acesso do sistema a redes ou locais específicos para reduzir a exposição à Internet, mitigar o risco e garantir a detecção precoce de comportamentos indesejados. perfeitamente com a força de trabalho remota e o pessoal de backup. As empresas também devem testar a restauração de backups para que possam ser confiados durante uma crise. Ask users to immediately install security patches and update endpoint protection and security (EPS) software on all endpoints, without exception. EPS provides personal firewall, application control, antispyware, and antivirus protection and keeps computers from becoming infected, thereby preventing hackers from accessing IDs and passwords and using computers as points of entry to the company’s servers and systems. Make sure that all computer hard drives, external hard drives, and USB (thumb) drives are encrypted and company issued to protect worker endpoints from theft or unwanted physical access. Put guidelines in place to prevent the use of USB drives that are not company issued. All endpoints should have remote wipe capabilities so that data can be erased from a lost or stolen device, as well as data loss prevention (DLP) software to prevent data exfiltration. (DLP protects against even authorized workers, who may be less careful not to exfiltrate data when working remotely than they are in the office, where they can be more easily detected.) Finally, instruct employees to regularly back up data on all laptops to company servers in order to ensure quick recovery from incidents and protect critical business processes.
• Secure access to company systems. Your company’s security operations center should monitor all VPN and remote-access logs for anomalous behavior. If the organization does not operate globally, consider restricting system access to specific networks or locations in order to reduce exposure to the internet, mitigate risk, and ensure early detection of unwanted behaviors.
• Make sure cyber-incident response processes are robust. Security operations and IT teams should update and test all processes and procedures to ensure that cyber-incident response and chains of escalation work seamlessly with the remote workforce and backup personnel. Companies should also test restoration of backups so they can be relied upon during a crisis.
• Instale salvaguardas de colaboração remota. Tais ferramentas permitirão a produtividade segura e impedirá que os trabalhadores usem uma proliferação caótica de ferramentas de qualidade do consumidor que devem ser proibidas. O compromisso de apenas um endpoint da força de trabalho pode criar uma violação para toda a empresa.  Ensure that the remote workforce has licensed, secure, enterprise-level teleconferencing and collaboration tools that have been tested. Such tools will enable secure productivity and prevent workers from using a chaotic proliferation of consumer-quality tools that should be prohibited. Compromise of just one workforce endpoint could create a breach for the entire company. 

3. Incorporar cibersegurança aos planos de continuidade dos negócios

Enquanto a força de trabalho está operando remotamente, é importante considerar a segurança dos locais dos funcionários - e, potencialmente, novas maneiras de trabalhar. Os planos de continuidade de negócios devem incluir disposições de segurança cibernética em várias dimensões:

• Garantir acesso à segurança de emergência. em consideração, a possibilidade de que pelo menos alguma equipe de segurança cibernética contrate o Covid-19 e não consiga trabalhar, mesmo remotamente. As empresas também devem ter acordos de nível de serviço com segurança cibernética remota e provedores de TI que podem ser mantidos realisticamente por várias semanas e devem verificar se esses provedores podem suportar operações remotas na escala necessária. Não confie em um único método de comunicação, como email, que pode ser comprometido. Ensure that security operations and incident response teams can access their tools and collaborate remotely if they are unable to physically access systems or be near colleagues during an incident.
• Train backup teams and enable remote support. Plans should take into account the possibility that at least some cybersecurity staff will contract COVID-19 and be unable to work, even remotely. Companies should also have service level agreements with remote cybersecurity and IT providers that can realistically be maintained for several weeks, and they should verify that these providers can support remote operations at the needed scale.
• Put clear communication plans in place. Secure direct and backup communications so that remote cybersecurity employees and other key staff can be safely reached in an emergency. Don’t rely on a single communication method, such as email, which can be compromised.
• Adapte seus planos. Torne a força de trabalho recém-remota ciente dos riscos adicionais de segurança Because the COVID-19 crisis is evolving rapidly, it’s important to track and quickly incorporate lessons learned, as some things will inevitably go wrong in this new environment.

4. Make the Newly Remote Workforce Aware of the Added Security Risks

In addition to the technical considerations, cybersecurity training and awareness-building initiatives are critical to reducing risk. Here are some of the steps you should take:

• Treine os trabalhadores para usar novas ferramentas e recursos com segurança. Enquanto trabalha em casa, a equipe deve configurar seus roteadores para criar uma rede para seus computadores de trabalho separados da usada pelo restante dos dispositivos pessoais da família - uma capacidade que é uma característica de quase todos os roteadores domésticos. Essa é uma medida necessária, porque agentes e criminosos do Estado-nação estão visando os computadores dos membros da família dos executivos C-Suite. A manutenção de protocolos estritos impedirá que a equipe divulgue inadvertidamente as informações. Ensure that your workforce knows how to use the tools and technologies that support remote collaboration, as well as how to recognize and prevent COVID-19 cyber threats, such as phishing and fraudulent emails and phone calls offering tech support or posing as solicitations from charities. While working from home, staff should configure their routers to create a network for their work computers that is separate from the one used by the rest of the family’s personal devices—a capability that is a feature of almost all home routers. This is a necessary measure because nation-state operatives and criminals are targeting the computers of C-suite executives’ family members.
• Establish protocols for remote workers to authenticate each other. Train remote workers to use only secure methods to authenticate help desks and co-workers. Maintaining strict protocols will prevent staff from inadvertently divulging information.
• Prepare uma biblioteca de orientação. Estabeleça protocolos e comportamentos para se preparar para o trabalho remoto seguro Distribute materials such as self-service guides, videos, and lists of frequently asked questions that make employees aware of the security threats and cover best practices for working remotely in a secure manner.

5. Establish Protocols and Behaviors to Prepare for Secure Remote Working

The speed and scale of the transition to remote working create numerous security risks for an organization, and your help desk will be the first line of defense. Here are ways to prepare for the change and mitigate risk:

• Enhance help desks. Support the rapid surge in remote workers with additional secure tech support. Create or expand your support center (or centers) with voice and chat services to address increased queries. Ensure that the help desk authenticates remote workers properly using multifactor methods of authentication. This can be as simple as texting a code to the authorized worker’s confirmed or company-issued cellphone. Establish periodic touchpoints with your workers to discuss their progress and solicit their ideas for improving secure ways of working. Your workers want to help, and they know what is working well.
• Explicitly define ways to work remotely. Forneça à organização diretrizes claras e definir explicitamente procedimentos seguros para lidar com o trabalho remoto. Distribua uma política de trabalho remoto que especifica métodos aceitáveis ​​para se conectar à rede interna. Considere minimizar o acesso dos dados apenas àqueles que precisam e alinhem -se ao horário de trabalho "normal", o que facilitará a capacidade da equipe de segurança cibernética de detectar atividades anômalas. Defina o fechamento dos negócios, o final do dia e outras vezes após o qual os dados confidenciais não podem mais ser acessados-assim como se os trabalhadores estivessem deixando o escritório para voltar para casa. O anfitrião da reunião deve ser hipervigilo em relação aos possíveis invasores, assumindo a participação e exigindo que todos os participantes se anunciem. O envio de convites de calendário protegido por senha adicionará maior segurança. Plataformas de colaboração em nível empresarial, como Slack, Trello e Skype for Business, fornecem às organizações recursos de bate-papo e gerenciamento de projetos seguros. Mas permita apenas as plataformas de colaboração e compartilhamento de arquivos que foram aprovadas para uso comercial; Evite plataformas comerciais que podem não ter recursos de proteção de dados. As organizações devem revisar as configurações de segurança dessas tecnologias e conduzir avaliações para detectar a sombra que podem ter sido criadas para colaborar de maneiras não aprovadas. Finalmente, esteja aberto a novas maneiras seguras de trabalhar ouvindo sugestões de funcionários e implementando soluções por melhor orientação do provedor.
• Document, announce, and provide for remote meetings, digital collaboration, and file sharing. Well-known platforms such as Webex, Zoom, and Skype will reliably enable secure meetings, but users must be trained and informed. The meeting host should be hypervigilant regarding potential intruders by taking attendance and requiring all participants to announce themselves. Sending password-protected calendar invites will add further security. Enterprise-level collaboration platforms such as Slack, Trello, and Skype for Business provide organizations with secure chat and project management capabilities. But allow only those collaboration and file-sharing platforms that have been approved for business use; avoid commercial platforms that can lack data protection features. Organizations should review the security configurations of these technologies and conduct assessments to detect Shadow IT that may have been set up to collaborate in unapproved ways. Finally, be open to new secure ways of working by listening to employee suggestions and implementing solutions per best guidance from the provider.

6. Incorporar a segurança cibernética no gerenciamento de crises corporativas

As equipes de gerenciamento de crises desempenham um papel central na navegação nas organizações em tempos difíceis. É vital adaptar os planos de gerenciamento seguro e remoto de crise, tomando as seguintes etapas:

• Atualizar planos de gerenciamento de crise cibernética para abordar as implicações de segurança do CoVID-19. Revise seus planos de gerenciamento de incidentes atualizados para garantir que eles atendam aos regulamentos de segurança cibernética e privacidade nos países ou estados em que a empresa opera. Comunicar procedimentos de escalada de emergência, identificar pessoal de backup e definir planos de sucessão por função, como operações de segurança e administração de sistemas. Certifique-se de que o pessoal de backup entenda que eles podem ser chamados a qualquer momento-se alguém da equipe de gerenciamento de crises foi hospitalizado com o Covid-19, por exemplo-e confirme que eles têm treinamento e documentação adequados. Monitore de perto o status da equipe de TI e da cibersegurança em quarentena ou no hospital e garanta que o pessoal de backup esteja cumprindo seus papéis. Implementar um canal de comunicação covid e 19 dedicado, como um aplicativo SOS, linha direta por telefone ou caixa de entrada de email, para que a equipe e a liderança possam se comunicar facilmente. Certifique -se de que as pessoas entendam a gravidade da situação de segurança cibernética, tornando -o um tópico central em todas as mensagens da força de trabalho. Ensure that the lines of communication used by crisis teams are secure and approved—and that alternatives are available. Review your refreshed incident management plans to ensure that they meet cybersecurity and privacy regulations in the countries or states in which the company operates.
• Ensure that mission-critical technology and personnel are always available. Confirm that leadership and security personnel can maintain secure access to the tools they need when working remotely or quarantined. Communicate emergency escalation procedures, identify backup personnel, and define succession plans by role, such as security operations and system administration. Make sure backup personnel understand that they may be called upon at any moment—if someone in the crisis management team has been hospitalized with COVID-19, for example—and confirm that they have appropriate training and documentation.
• Maintain awareness of the performance, location, and health status of all employees. Establish communication and reporting mechanisms for all staff throughout the crisis. Closely monitor the status of IT and cybersecurity staff in quarantine or in the hospital, and ensure that backup personnel are fulfilling their roles. Implement a secure, dedicated COVID-19 communication channel, such as an SOS application, phone hotline, or email inbox, so that staff and leadership can communicate easily.
• Provide frequent, coordinated cybersecurity announcements. Update the workforce on evolving cyber threats related to COVID-19. Make sure people understand the gravity of the cybersecurity situation by making it a core topic in all workforce messaging.

7. Atualizar medidas de acesso e segurança

executivos e outros funcionários -chave que lidam com dados confidenciais são particularmente críticos, mas geralmente menos familiarizados com a tecnologia e seus riscos. As equipes de segurança cibernética e gerenciamento de identidade devem limitar seu acesso e fornecer medidas de segurança atualizadas para reduzir o risco de compromisso. A seguir, são apresentados alguns exemplos dos papéis que as organizações devem acompanhar cuidadosamente e as medidas de segurança que eles devem considerar:

• executivos C-Suite devem alertar seus familiares sobre o fato de serem alvos cibernéticos e ensiná-los a praticar uma boa higiene cibernética. Isso ajudará a evitar ataques de criminosos cibernéticos que sabem que os executivos estão trabalhando em casa e possivelmente compartilhando a rede familiar.
• O pessoal financeiro deve estar à procura de golpes de e -mail de phishing, telefone e negócios, especialmente aqueles que reivindicam vínculos com organizações de saúde ou instituições de caridade. Eles devem verificar todas as comunicações financeiras, como e-mails, links e solicitações de transferência de arame, para obter autenticidade e exigir aprovação verbal de executivos para todas as transferências financeiras. Cuidado com e-mails com anexos suspeitos, como pedidos de compra e faturas de fornecedores desconhecidos ou de pessoas que fingem ser fornecedores conhecidos-especialmente aqueles que alegam estar relacionados ao CoVID-19. Mesmo e -mails com endereços desconhecidos que parecem ser legítimos devem ser tratados com cautela. A diferença entre os dois endereços a seguir, por exemplo, é impossível de detectar: ​​[email protected] e [email protected]. Mas no primeiro, o "L" é minúsculo, enquanto no segundo, o "L" foi substituído por um caso superior "I."
• Procurement officers should ensure that contractual and other confidential data are shared securely using secure Wi-Fi, enterprise file-sharing solutions, and encrypted, company-issued USBs. Beware of emails with suspicious attachments such as purchase orders and invoices from unknown vendors or from people pretending to be known vendors—especially those claiming to be related to COVID-19. Even emails with unfamiliar addresses that appear to be legitimate should be treated with caution. The difference between the following two addresses, for instance, is impossible to detect: [email protected] and [email protected]. But in the first one, the “l” is lower case, while in the second, the “l” has been replaced by an upper-case “I.”
• Assistentes executivos devem verificar todas as solicitações de executivos seniores, especialmente de entidades desconhecidas. Os criminosos cibernéticos geralmente recorrem a táticas personalizadas de susto Covid-19, como alegando que o filho do CEO contratou o vírus. Não abra esses anexos ou forneça informações ao chamador. Fontes confiáveis ​​por telefone diretamente para verificar as reivindicações. O trabalho remoto tem sido uma tendência crescente há algum tempo - e os profissionais de TI e de segurança cibernética na maioria das empresas trabalharam diligentemente ao longo dos anos para proteger seus sistemas. Mas poucos antecipavam a escala e a repentina dessa transformação do ambiente de trabalho, e muitas empresas simplesmente não possuem a infraestrutura para apoiá -la. A equipe do BCG trabalha remotamente há muitos anos e sabemos que o planejamento atencioso que leva em consideração os modos digitais de comunicação e colaboração pode evitar a potencial interrupção cibernética e permitir que seus negócios continuem com sucesso suas operações. Os ataques cibernéticos são como o próprio vírus Covid-19. Patching Your Systems é como lavar as mãos. E não clicar em e -mails de phishing é como não tocar seu rosto. Pode parecer assustador a princípio, mas essas medidas são cruciais agora e continuarão sendo importantes à medida que o trabalho remoto se torna cada vez mais um fato da vida no futuro. Deutscher. Michael Coden

---

Just as the COVID-19 outbreak has exposed the vulnerabilities of the world’s health care systems, a massive shift to remote working can put existing infrastructure and security measures to new and extreme tests. Remote working has been a growing trend for a while—and IT and cybersecurity professionals at most companies have worked diligently over the years to safeguard their systems. But few anticipated the scale and suddenness of this transformation of the working environment, and many companies just don’t have the infrastructure in place to support it.

The necessary technologies, digital tools, and procedures for mitigating the cybersecurity threat are available and can be implemented in a holistic and comprehensive manner with modest effort and expense. BCG staff have been working remotely for many years, and we know that thoughtful planning that takes into account digital modes of communicating and collaborating can avoid the potential cyber disruption and enable your business to successfully continue its operations. Cyber attacks are like the COVID-19 virus itself. Patching your systems is like washing your hands. And not clicking on phishing emails is like not touching your face. It may seem daunting at first, but these measures are crucial now and will continue to be important as remote working increasingly becomes a fact of life in the future.

The authors thank the following contributors to this article: Jennifer Hoffbauer, Shaina Dailey, Shirin Khanna, Matthew Doan, and Stefan Deutscher.