Gerenciando os riscos cibernéticos de trabalho remoto

Em todo o mundo, empresas e governos estão rapidamente tomando medidas responsáveis ​​para proteger a saúde de seus funcionários e cidadãos - incluindo pedir às pessoas que trabalhem remotamente. Espera -se que mais de 30 milhões de trabalhadores de escritórios nos EUA e até 300 milhões em todo o mundo trabalhem em casa, de acordo com as estimativas do Bureau of Labor Statistics e as estimativas do Boston Consulting Group. Funcionários de contabilidade, oficiais de compras, equipe de recursos humanos, C-suite e outros trabalhadores estarão acessando os sites da empresa, participando de reuniões on-line e acessarem dados confidenciais da empresa pela Internet-em muitos casos através de seus computadores domésticos e telefones celulares privados.

enquanto as ferramentas digitais oferecem excelente suporte para trabalhadores remotos, a mudança de padrões de trabalho em uma escala tão grande pode ter sérias implicações imprevistas para Ele e segurança cibernética . Sua empresa está adequadamente preparada para as mudanças no seu risco de segurança cibernética? Ou se um trabalhador for manipulado por técnicas de engenharia social para seguir as instruções de um criminoso cibernético que afirma ser do suporte técnico do empregador? Sua empresa possui disposições adequadas para impedir que os trabalhadores baixem malware que possam ser usados ​​para coletar senhas que fornecem acesso a sistemas de pagamento, registros de pessoal, dados pessoais do cliente, propriedade intelectual e outros ativos importantes?

Consider the implications of workers clicking on an ad promising a COVID-19 wonder drug, or opening an email attachment—from what appears to be a legitimate health agency offering pandemic updates—that embeds software designed to compromise security. Or what if a worker is manipulated by social engineering techniques to follow instructions from a cyber criminal claiming to be from the employer’s help desk? Does your company have adequate provisions in place to prevent workers from downloading malware that could be used to collect passwords providing access to payment systems, personnel records, personal customer data, intellectual property, and other important assets?

It’s an unfortunate reality that in times of humanitarian crisis, we need to speak more about cybersecurity. We have observed several warning signs. As early as January, COVID-19-branded website domain names began to be acquired. Cyber criminals use these domain names to masquerade as legitimate Informações covid-19 sites. Eles também estão enviando e-mails de phishing que parecem vir de organizações legítimas, como os Centros de Controle e Prevenção de Doenças dos EUA e a Organização Mundial da Saúde, mas que na verdade contêm links ou anexos maliciosos. Mas quando eles instalaram o software necessário para visualizar o painel, o malware trabalhou em segundo plano para comprometer seus computadores, coletando e transmitindo IDs e senhas de usuários pessoais e da empresa a criminosos cibernéticos. In another case, users who clicked on an email link purporting to be a COVID-19 update from a leading shipping supplier were redirected to a realistic-looking Microsoft Outlook login page that prompted them to enter user credentials, giving cyber criminals access to company email accounts.

In one case, recipients were offered a link to a university dashboard about COVID-19 that is a popular source of up-to-date information. But when they installed the software needed to view the dashboard, malware worked in the background to compromise their computers, collecting and transmitting personal and company user IDs and passwords to cyber criminals. In another case, users who clicked on an email link purporting to be a COVID-19 update from a leading shipping supplier were redirected to a realistic-looking Microsoft Outlook login page that prompted them to enter user credentials, giving cyber criminals access to company email accounts.

By implementing a number of practical training, process, and technology measures, companies can avoid adding a cyber crisis to the challenges associated with COVID 19. Pedimos às empresas que dêem as sete etapas seguintes para proteger seus ativos corporativos. (Consulte a exposição.)

1. Assess Core IT Infrastructure for Remote Working

em um ambiente de escritório, grande parte da força de trabalho usa computadores de desktop conectados a servidores corporativos por cabos Ethernet ou uma rede Wi-Fi corporativa que depende da segurança física do edifício para manter os dados seguros. Para trabalhar remotamente, as pessoas provavelmente precisarão usar laptops emitidos pela empresa ou mesmo dispositivos pessoais que se conectem aos servidores da empresa pela Internet. Em vez de falar com ele e a segurança cibernética ajuda as mesas por meio de um sistema telefônico interno, os trabalhadores usarão seus telefones celulares ou telefones fixos. Colete um inventário completo de dispositivos autorizados a se conectar aos sistemas da empresa, prestando atenção especial aos endereços MAC da Ethernet do dispositivo, a fim de correlacionar dispositivos autorizados com usuários autorizados. O software VPN e token pode ser baixado remotamente, mas as licenças adicionais podem precisar ser adquiridas. A capacidade de conexões remotas em muitas empresas pode não ser suficiente para acomodar o aumento da carga de milhares de trabalhadores conectados. Portanto, pode ser necessário comprar hardware adicional para sistemas locais ou mudar rapidamente para um provedor de serviços em nuvem.

Companies need to assess three categories of infrastructure: endpoints, connectivity, and enterprise architecture and infrastructure:

• Endpoints. Ensure that these include approved applications and cybersecurity tools. Collect a complete inventory of devices authorized to connect to company systems, paying special attention to device Ethernet MAC addresses in order to correlate authorized devices with authorized users.
• Connectivity. Ensure that connections to company networks take place over virtual private networks (VPNs) with two-factor authentication to prevent spying on data transmitted between workforce endpoints and company servers. VPN and token software can be downloaded remotely, but additional licenses may need to be acquired.
• Enterprise Architecture and Infrastructure. Configure firewalls, networks, collaboration tools, and servers to accept remote connections over the internet. The capacity for remote connections at many companies may not be sufficient to accommodate the increased load of thousands of connected workers. It may therefore be necessary to purchase additional hardware for on-premises systems or to rapidly move to a cloud service provider.

Como a mudança dramática para o trabalho remotamente acelera, essas tecnologias terão que ser testadas em escala para garantir que a infraestrutura e os sistemas da empresa possam acomodar as cargas altas. Observamos muitas empresas que enfrentam limites significativos de capacidade, dado o rápido aumento da demanda. 

2. Aplicativos e dispositivos seguros para a força de trabalho remota

A infraestrutura de TI por si só não garantirá que os sistemas, o software e a segurança de uma empresa sejam configurados corretamente e operando bem. Ao incorporar a tecnologia necessária para o trabalho remoto em sua infraestrutura, tome as seguintes medidas para garantir a segurança cibernética das operações:

• Criptografar e instalar firewalls em todos os dispositivos. O EPS fornece firewall pessoal, controle de aplicativos, antispyware e proteção antivírus e impede que os computadores sejam infectados, impedindo que os hackers acessem IDs e senhas e usando computadores como pontos de entrada nos servidores e sistemas da empresa. Certifique -se de que todos os discos rígidos do computador, discos rígidos externos e unidades USB (polegar) sejam criptografadas e a empresa emitida para proteger os pontos de extremidade dos trabalhadores contra roubo ou acesso físico indesejado. Coloque as diretrizes para impedir o uso de unidades USB que não são emitidas pela empresa. Todos os pontos de extremidade devem ter recursos de limpeza remotos para que os dados possam ser apagados de um dispositivo perdido ou roubado, bem como o software de prevenção de perda de dados (DLP) para evitar a exfiltração de dados. (O DLP protege contra trabalhadores autorizados, que podem ter menos cuidado para não exfiltrar os dados ao trabalhar remotamente do que estão no escritório, onde podem ser mais facilmente detectados.) Finalmente, instrua os funcionários a fazer backup regularmente de dados de todos os laptops. Todas as VPN e logs de acesso remoto para comportamento anômalo. Se a organização não funcionar globalmente, considere restringir o acesso do sistema a redes ou locais específicos para reduzir a exposição à Internet, mitigar o risco e garantir a detecção precoce de comportamentos indesejados. perfeitamente com a força de trabalho remota e o pessoal de backup. As empresas também devem testar a restauração de backups para que possam ser confiados durante uma crise. Ask users to immediately install security patches and update endpoint protection and security (EPS) software on all endpoints, without exception. EPS provides personal firewall, application control, antispyware, and antivirus protection and keeps computers from becoming infected, thereby preventing hackers from accessing IDs and passwords and using computers as points of entry to the company’s servers and systems. Make sure that all computer hard drives, external hard drives, and USB (thumb) drives are encrypted and company issued to protect worker endpoints from theft or unwanted physical access. Put guidelines in place to prevent the use of USB drives that are not company issued. All endpoints should have remote wipe capabilities so that data can be erased from a lost or stolen device, as well as data loss prevention (DLP) software to prevent data exfiltration. (DLP protects against even authorized workers, who may be less careful not to exfiltrate data when working remotely than they are in the office, where they can be more easily detected.) Finally, instruct employees to regularly back up data on all laptops to company servers in order to ensure quick recovery from incidents and protect critical business processes.
• Secure access to company systems. Your company’s security operations center should monitor all VPN and remote-access logs for anomalous behavior. If the organization does not operate globally, consider restricting system access to specific networks or locations in order to reduce exposure to the internet, mitigate risk, and ensure early detection of unwanted behaviors.
• Make sure cyber-incident response processes are robust. Security operations and IT teams should update and test all processes and procedures to ensure that cyber-incident response and chains of escalation work seamlessly with the remote workforce and backup personnel. Companies should also test restoration of backups so they can be relied upon during a crisis.
• Instale salvaguardas de colaboração remota. Tais ferramentas permitirão a produtividade segura e impedirá que os trabalhadores usem uma proliferação caótica de ferramentas de qualidade do consumidor que devem ser proibidas. O compromisso de apenas um endpoint da força de trabalho pode criar uma violação para toda a empresa.  Ensure that the remote workforce has licensed, secure, enterprise-level teleconferencing and collaboration tools that have been tested. Such tools will enable secure productivity and prevent workers from using a chaotic proliferation of consumer-quality tools that should be prohibited. Compromise of just one workforce endpoint could create a breach for the entire company. 

3. Incorporar cibersegurança aos planos de continuidade dos negócios

Enquanto a força de trabalho está operando remotamente, é importante considerar a segurança dos locais dos funcionários - e, potencialmente, novas maneiras de trabalhar. A continuidade de negócios deve incluir disposições de segurança cibernética em várias dimensões:

• Garantir acesso à segurança de emergência. deve levar em consideração a possibilidade de que pelo menos alguma equipe de segurança cibernética contrate o CoVID-19 e não consiga trabalhar, mesmo remotamente. As empresas também devem ter acordos de nível de serviço com segurança cibernética remota e provedores de TI que podem ser mantidos realisticamente por várias semanas e devem verificar se esses provedores podem suportar operações remotas na escala necessária. Não confie em um único método de comunicação, como email, que pode ser comprometido. Ensure that security operations and incident response teams can access their tools and collaborate remotely if they are unable to physically access systems or be near colleagues during an incident.
• Train backup teams and enable remote support. Plans should take into account the possibility that at least some cybersecurity staff will contract COVID-19 and be unable to work, even remotely. Companies should also have service level agreements with remote cybersecurity and IT providers that can realistically be maintained for several weeks, and they should verify that these providers can support remote operations at the needed scale.
• Put clear communication plans in place. Secure direct and backup communications so that remote cybersecurity employees and other key staff can be safely reached in an emergency. Don’t rely on a single communication method, such as email, which can be compromised.
• Adapte seus planos. Torne a força de trabalho recém-remota ciente dos riscos adicionais de segurança Because the COVID-19 crisis is evolving rapidly, it’s important to track and quickly incorporate lessons learned, as some things will inevitably go wrong in this new environment.

4. Make the Newly Remote Workforce Aware of the Added Security Risks

Além das considerações técnicas, o treinamento em segurança cibernética e as iniciativas de construção de conscientização são fundamentais para reduzir o risco. Aqui estão algumas das etapas que você deve executar:

• Treine os trabalhadores para usar novas ferramentas e recursos com segurança. Enquanto trabalha em casa, a equipe deve configurar seus roteadores para criar uma rede para seus computadores de trabalho separados da usada pelo restante dos dispositivos pessoais da família - uma capacidade que é uma característica de quase todos os roteadores domésticos. Essa é uma medida necessária, porque agentes e criminosos do Estado-nação estão visando os computadores dos membros da família dos executivos C-Suite. Manter protocolos rígidos impedirá que a equipe divulgue inadvertidamente as informações. Ensure that your workforce knows how to use the tools and technologies that support remote collaboration, as well as how to recognize and prevent COVID-19 cyber threats, such as phishing and fraudulent emails and phone calls offering tech support or posing as solicitations from charities. While working from home, staff should configure their routers to create a network for their work computers that is separate from the one used by the rest of the family’s personal devices—a capability that is a feature of almost all home routers. This is a necessary measure because nation-state operatives and criminals are targeting the computers of C-suite executives’ family members.
• Establish protocols for remote workers to authenticate each other. Train remote workers to use only secure methods to authenticate help desks and co-workers. Maintaining strict protocols will prevent staff from inadvertently divulging information.
• Prepare uma biblioteca de orientação. Estabeleça protocolos e comportamentos para se preparar para o trabalho remoto seguro Distribute materials such as self-service guides, videos, and lists of frequently asked questions that make employees aware of the security threats and cover best practices for working remotely in a secure manner.

5. Establish Protocols and Behaviors to Prepare for Secure Remote Working

A velocidade e a escala da transição para o trabalho remoto criam numerosos riscos de segurança para uma organização, e seu suporte técnico será a primeira linha de defesa. Aqui estão as maneiras de se preparar para a mudança e mitigar o risco:

• Aprimorar as mesas de ajuda. Crie ou expanda seu centro de suporte (ou centros) com serviços de voz e bate -papo para abordar consultas aumentadas. Certifique -se de que o suporte técnico autentica os trabalhadores remotos adequadamente usando métodos de autenticação multifatores. Isso pode ser tão simples quanto enviar mensagens de texto para o celular confirmado ou emitido pela empresa do trabalhador autorizado. Estabeleça pontos de contato periódicos com seus trabalhadores para discutir seu progresso e solicitar suas idéias para melhorar maneiras seguras de trabalhar. Seus trabalhadores querem ajudar e sabem o que está funcionando bem. Support the rapid surge in remote workers with additional secure tech support. Create or expand your support center (or centers) with voice and chat services to address increased queries. Ensure that the help desk authenticates remote workers properly using multifactor methods of authentication. This can be as simple as texting a code to the authorized worker’s confirmed or company-issued cellphone. Establish periodic touchpoints with your workers to discuss their progress and solicit their ideas for improving secure ways of working. Your workers want to help, and they know what is working well.
• Defina explicitamente maneiras de trabalhar remotamente. Distribua uma política de trabalho remoto que especifica métodos aceitáveis ​​para se conectar à rede interna. Considere minimizar o acesso dos dados apenas àqueles que precisam e alinhem -se ao horário de trabalho "normal", o que facilitará a capacidade da equipe de segurança cibernética de detectar atividades anômalas. Defina o fechamento dos negócios, o final do dia e outras vezes após o qual os dados confidenciais não podem mais ser acessados-como se os trabalhadores estivessem deixando o escritório para voltar para casa. O anfitrião da reunião deve ser hipervigilo em relação aos possíveis invasores, assumindo a participação e exigindo que todos os participantes se anunciem. O envio de convites de calendário protegido por senha adicionará maior segurança. Plataformas de colaboração em nível empresarial, como Slack, Trello e Skype for Business, fornecem às organizações recursos de bate-papo e gerenciamento de projetos seguros. Mas permita apenas as plataformas de colaboração e compartilhamento de arquivos que foram aprovadas para uso comercial; Evite plataformas comerciais que podem não ter recursos de proteção de dados. As organizações devem revisar as configurações de segurança dessas tecnologias e conduzir avaliações para detectar a sombra que podem ter sido criadas para colaborar de maneiras não aprovadas. Por fim, esteja aberto a novas maneiras seguras de trabalhar ouvindo sugestões de funcionários e implementando soluções por melhor orientação do provedor. Provide the organization with clear guidelines and explicitly define secure procedures for dealing with remote working. Distribute a remote-work policy that specifies acceptable methods for connecting to the internal network. Consider minimizing data access only to those who need it, and align on “normal” working hours, which will facilitate the cybersecurity team’s ability to detect anomalous activities. Define close of business, end of day, and other times after which sensitive data can no longer be accessed—just as if workers were leaving the office to go home.
• Document, announce, and provide for remote meetings, digital collaboration, and file sharing. Well-known platforms such as Webex, Zoom, and Skype will reliably enable secure meetings, but users must be trained and informed. The meeting host should be hypervigilant regarding potential intruders by taking attendance and requiring all participants to announce themselves. Sending password-protected calendar invites will add further security. Enterprise-level collaboration platforms such as Slack, Trello, and Skype for Business provide organizations with secure chat and project management capabilities. But allow only those collaboration and file-sharing platforms that have been approved for business use; avoid commercial platforms that can lack data protection features. Organizations should review the security configurations of these technologies and conduct assessments to detect Shadow IT that may have been set up to collaborate in unapproved ways. Finally, be open to new secure ways of working by listening to employee suggestions and implementing solutions per best guidance from the provider.

6. Incorporar cibersegurança no gerenciamento de crises corporativas

As equipes de gerenciamento de crises desempenham um papel central na navegação de organizações em tempos difíceis. É vital adaptar os planos de gerenciamento seguro e remoto de crises, tomando as seguintes etapas:

• Atualize os planos de gerenciamento de crises cibernéticas para abordar as implicações de segurança do COVID-19. Revise seus planos de gerenciamento de incidentes atualizados para garantir que eles atendam a regulamentos de segurança cibernética e privacidade nos países ou estados em que a empresa opera. Comunicar procedimentos de escalada de emergência, identificar pessoal de backup e definir planos de sucessão por função, como operações de segurança e administração de sistemas. Certifique-se de que o pessoal de backup entenda que eles podem ser chamados a qualquer momento-se alguém da equipe de gerenciamento de crises foi hospitalizado com o Covid-19, por exemplo-e confirme que eles têm treinamento e documentação adequados. Monitore de perto o status da equipe de TI e da cibersegurança em quarentena ou no hospital e garanta que o pessoal de backup esteja cumprindo seus papéis. Implementar um canal de comunicação covid e 19 dedicado, como um aplicativo SOS, linha direta por telefone ou caixa de entrada de email, para que a equipe e a liderança possam se comunicar facilmente. Certifique -se de que as pessoas entendam a gravidade da situação de segurança cibernética, tornando -o um tópico central em todas as mensagens da força de trabalho. Ensure that the lines of communication used by crisis teams are secure and approved—and that alternatives are available. Review your refreshed incident management plans to ensure that they meet cybersecurity and privacy regulations in the countries or states in which the company operates.
• Ensure that mission-critical technology and personnel are always available. Confirm that leadership and security personnel can maintain secure access to the tools they need when working remotely or quarantined. Communicate emergency escalation procedures, identify backup personnel, and define succession plans by role, such as security operations and system administration. Make sure backup personnel understand that they may be called upon at any moment—if someone in the crisis management team has been hospitalized with COVID-19, for example—and confirm that they have appropriate training and documentation.
• Maintain awareness of the performance, location, and health status of all employees. Establish communication and reporting mechanisms for all staff throughout the crisis. Closely monitor the status of IT and cybersecurity staff in quarantine or in the hospital, and ensure that backup personnel are fulfilling their roles. Implement a secure, dedicated COVID-19 communication channel, such as an SOS application, phone hotline, or email inbox, so that staff and leadership can communicate easily.
• Provide frequent, coordinated cybersecurity announcements. Update the workforce on evolving cyber threats related to COVID-19. Make sure people understand the gravity of the cybersecurity situation by making it a core topic in all workforce messaging.

7. Atualizar medidas de acesso e segurança

executivos e outros funcionários -chave que lidam com dados confidenciais são particularmente críticos, mas geralmente menos familiarizados com a tecnologia e seus riscos. As equipes de segurança cibernética e gerenciamento de identidade devem limitar seu acesso e fornecer medidas de segurança atualizadas para reduzir o risco de compromisso. A seguir, são apresentados alguns exemplos dos papéis que as organizações devem acompanhar cuidadosamente e as medidas de segurança que eles devem considerar:

• executivos C-Suite devem alertar seus familiares sobre o fato de serem alvos cibernéticos e ensiná-los a praticar uma boa higiene cibernética. Isso ajudará a evitar ataques de criminosos cibernéticos que sabem que os executivos estão trabalhando em casa e possivelmente compartilhando a rede familiar. Eles devem verificar todas as comunicações financeiras, como e-mails, links e solicitações de transferência de arame, para obter autenticidade e exigir aprovação verbal de executivos para todas as transferências financeiras. Cuidado com e-mails com anexos suspeitos, como pedidos de compra e faturas de fornecedores desconhecidos ou de pessoas que fingem ser fornecedores conhecidos-especialmente aqueles que alegam estar relacionados ao CoVID-19. Mesmo e -mails com endereços desconhecidos que parecem ser legítimos devem ser tratados com cautela. A diferença entre os dois endereços a seguir, por exemplo, é impossível de detectar: ​​[email protected] e [email protected]. Mas no primeiro, o "L" é minúsculo, enquanto no segundo, o "L" foi substituído por um caso superior "I."
• Finance personnel should be on the lookout for phishing, phone, and business email scams, especially those claiming ties to health care organizations or charities. They should verify all financial communications, such as emails, links, and wire transfer requests, for authenticity and require verbal approval from executives for all financial transfers.
• Procurement officers should ensure that contractual and other confidential data are shared securely using secure Wi-Fi, enterprise file-sharing solutions, and encrypted, company-issued USBs. Beware of emails with suspicious attachments such as purchase orders and invoices from unknown vendors or from people pretending to be known vendors—especially those claiming to be related to COVID-19. Even emails with unfamiliar addresses that appear to be legitimate should be treated with caution. The difference between the following two addresses, for instance, is impossible to detect: [email protected] and [email protected]. But in the first one, the “l” is lower case, while in the second, the “l” has been replaced by an upper-case “I.”
• Assistentes executivos devem verificar todas as solicitações de executivos seniores, especialmente de entidades desconhecidas. Os criminosos cibernéticos geralmente recorrem a táticas personalizadas de susto Covid-19, como alegando que o filho do CEO contratou o vírus. Não abra esses anexos ou forneça informações ao chamador. Fontes confiáveis ​​por telefone diretamente para verificar as reivindicações. O trabalho remoto tem sido uma tendência crescente há algum tempo - e os profissionais de TI e de segurança cibernética na maioria das empresas trabalharam diligentemente ao longo dos anos para proteger seus sistemas. Mas poucos anteciparam a escala e a repentina dessa transformação do ambiente de trabalho, e muitas empresas simplesmente não têm a infraestrutura para apoiá -la.

---

Just as the COVID-19 outbreak has exposed the vulnerabilities of the world’s health care systems, a massive shift to remote working can put existing infrastructure and security measures to new and extreme tests. Remote working has been a growing trend for a while—and IT and cybersecurity professionals at most companies have worked diligently over the years to safeguard their systems. But few anticipated the scale and suddenness of this transformation of the working environment, and many companies just don’t have the infrastructure in place to support it.

As tecnologias, ferramentas digitais e procedimentos necessárias para mitigar a ameaça de segurança cibernética estão disponíveis e podem ser implementadas de maneira holística e abrangente com esforço e despesa modestos. A equipe do BCG trabalha remotamente há muitos anos e sabemos que o planejamento atencioso que leva em consideração os modos digitais de comunicação e colaboração pode evitar a potencial interrupção cibernética e permitir que seus negócios continuem com sucesso suas operações. Os ataques cibernéticos são como o próprio vírus Covid-19. Patching Your Systems é como lavar as mãos. E não clicar em e -mails de phishing é como não tocar seu rosto. Pode parecer assustador a princípio, mas essas medidas são cruciais agora e continuarão sendo importantes à medida que o trabalho remoto se torna cada vez mais um fato da vida no futuro. Deutscher. Michael Coden

The authors thank the following contributors to this article: Jennifer Hoffbauer, Shaina Dailey, Shirin Khanna, Matthew Doan, and Stefan Deutscher.