Uma força de trabalho consciencializada para os riscos de segurança informática é uma força de trabalho segura para a organização. É importante incluir nos ciclos anuais de formação ações de formação para a cibersegurança que possam prevenir ocorrências de phishing, ransomware, e malware em geral. A covid e a explosão do teletrabalho fez aumentar a quantidade de ameaças e de organizações comprometidas numa tendência que promete não abrandar nos próximos anos..É comum que abordagens de engenharia social lançadas contra indivíduos da nossa organização tenham sucesso. Não é difícil, com alguma inteligência e paciência, manipular alguém para que nos ceda informação confidencial ou pessoal que, depois, pode ser usada para entrar nos sistemas da organização. Com efeito, estima-se que em cerca de 90% dos ataques de phishing registados em 2020 se tenha usado algum tipo de engenharia social. A melhor prevenção contra esta ameaça é a formação cruzada com operações simuladas de engenharia social para aferir a eficácia da mesma..Cada vez há mais casos de hackers que usando programas de encriptação de dados interrompem o acesso ou destroem os dados das organizações e que ameaçam, também, os dados dos computadores pessoais de muitos utilizadores individuais. Em troca pedem o pagamento de um resgate (quase sempre em Bitcoins) mas nada garante, nunca, que depois cedam a chave de encriptação que permite recuperar o acesso aos ficheiros perdidos. Estima-se que, apenas em 2020, se tenham perdido mais de 8.5 mil milhões de dólares para esta atividade, um valor que quase dobrou desde 2019 e num percurso inflacionário que se deverá ainda agravar este ano. A melhor prevenção contra o ransomware é a definição de boas políticas internas de segurança informática e garantir a sua boa implementação. Ninguém deve ter acesso a nada mais do que aquilo que estritamente precisa, todos os acessos devem ser monitorizados e a formação assume, aqui, um papel tão importante como bons sistemas de backup..Idealmente, todas as atividades laborais devem decorrer, apenas, em telemóveis de serviço e em computadores da organização. Se o MFA é feito por SMS ou por aplicações de autenticação (como as da Google ou da Microsoft) estas devem estar apenas em smartphones que a organização possa controlar sem que isso coloque dúvidas ou hesitações aos utilizadores. Por vezes, ou porque o computador pessoal ou o telemóvel são mais recentes ou têm software específico instalados, este é preferido em função do equipamento da organização para aceder a recursos como os do Office365 ou a uma VPN. Isso deve ser evitado porque a capacidade de controlar ou detectar uma intrusão ou risco de segurança é baixa ou nula nestes equipamentos. Há que ter em conta que o IT não pode executar verificações de segurança nem garantir que estão instaladas nestes as devidas atualizações de segurança, nem antivírus atualizados, nem sequer intervir diretamente em caso de uma ocorrência porque se trata de um equipamento pessoal e não de um computador da organização..Quando os colaboradores estavam no escritório era possível utilizar várias formas de os consciencializar para estes riscos quer através de cartazes quer através de outras formas físicas. Em teletrabalho isso é mais difícil mas é possível usar técnicas de gamificação enquadradas em atividades regulares de formação para conseguir esse objetivo que aumentem a sensibilização para a segurança e reforcem as boas práticas..A partir do momento em que temos colaboradores a trabalhar a partir das suas redes domésticas alargamos o perímetro de segurança e aumentamos os riscos para a organização. Neste contexto é importante incorporar nas políticas da organização uma política de "tolerância zero" a todos os equipamentos de rede pessoais, tais como smart TVs, colunas inteligentes, webcams domésticas, etc. Basicamente, nenhum destes equipamentos se deve ligar ao computador da organização. O uso de "backgrounds virtuais" deve ser também tornado mandatório como forma de proteger as casas dos nossos colaboradores contra riscos de segurança através da exposição de janelas ou de pontos possíveis de entrada nas suas habitações. Na prática, deve ser implementada a política de que equipamentos organizacionais devem sempre estar dentro do conceito de "Zero Trust" com todos os acessos monitorizados e autenticados com mecanismos de dupla autenticação (idealmente por hardware)..Todos os equipamentos que os utilizadores usam na organização devem estar cobertos por várias formas (regularmente testadas) de segurança: os ficheiros e pastas mais importantes devem estar em shares de rede onde se fazem backups regulares e os dados nas clouds corporativas regularmente testados por reposição. A este propósito: uma nota: cuidado ao incentivar os utilizadores a adicionarem ao seu OneDrive Sync sites sharepoint: se o seu computador for infetado com ransomware esses sites serão, também, afetados e com eles, todos os outros utilizadores destes sites. Para efeitos de backup isso pode ser feito num servidor específico, mas apenas nesse..Nunca deixe fora do alcance da sua vista o seu laptop ou a mala com o dito. O furto de um equipamento (e há várias formas de aceder ao disco local mesmo sem passwords) é o risco para a organização e se isso acontecer é importante que o IT local seja imediatamente avisado estabelecendo essa regra de forma directa e pública..Sempre que um colaborador da organização se ligar a recursos da mesma (p.e. um Google Workplace ou uma conta Office 365) a partir de uma rede aberta, seja ela um hotel, um cibercafé ou a de um restaurante, deve ter especiais cuidados. Não pode existir confiança implícita em quem gere essa rede e há que ter consciência de que todos os sites a que formos podem ser e provavelmente serão monitorizados e registados. Idealmente, esse tipo de acessos devem ser limitados e tão restritos quanto possível..Não realizar atividades que não estejam diretamente relacionadas com o trabalho em computadores da organização é a abordagem mais segura. O risco de segurança é consideravelmente maior quando estamos a navegar para fins pessoais ou nos dedicamos a atividades não laborais. O mesmo se pode dizer dos documentos e das aplicações que permitem instalação sem permissão local de administração (que, de qualquer forma, não deve ser possível aos utilizadores e que, sendo, não deve ser interactiva)..Associação Vizinhos em Lisboa, Núcleo Vizinhos do Areeiro e IT Operations Leader em empresa nacional