Sobre sua política de acesso remoto: é hora de uma atualização

Views: 76
0 0
Read Time:4 Minute, 46 Second

Os tempos mudaram, com mais funcionários trabalhando em casa. A política de acesso remoto da sua empresa acompanhou a chegada de novos usuários, tarefas, tecnologias de acesso e ameaças?

Com mais funcionários do que nunca trabalhando em casa, é importante examinar a política remota de acesso à rede da sua organização para garantir que ela ainda esteja cumprindo seu objetivo de proteger a rede corporativa contra uso indevido e ataques.

O maior erro que as organizações cometem ao criar ou atualizar sua política de acesso remoto não é tomar tempo suficiente para entender o cenário atual de ameaças, disse Tim Singleton, presidente da Strive Technology Consulting, uma provedora de serviços de TI da área de Denver. “Técnicas de hacking que são populares hoje nem sequer eram um pensamento há três anos”, observou ele. “Se a política de acesso remoto não for atualizada de acordo com as novas ameaças … é apenas proteger contra problemas ultrapassados.

Pam Nigro, vice-presidente e oficial de segurança da Home Access Health Corp., ressaltou a importância de garantir que os usuários finais entendam suas responsabilidades nas áreas de confidencialidade, propriedade intelectual e conformidade com informações, bem como os protocolos de segurança necessários para manter os sistemas de informação seguros. “Isso deve ser claramente delineado para obrigar a conformidade e as precauções apropriadas para o uso e acesso de dados”, disse Nigro, que também é diretor do ISACA, uma associação profissional internacional focada na governança de TI.

Proteger logins

Se já não for uma política de acesso remoto, o uso obrigatório de autenticação multifatorial (MFA) deve ser adicionado à política o mais rápido possível. “O MFA é importante para garantir que os atores de ameaças não possam usar … credenciais comprometidas para fazer login e obter acesso à sua rede com impunidade”, explicou Keith Mularski, diretor-gerente da consultoria da EY, com foco em questões de segurança cibernética. “O MFA habilitado para acesso remoto ao trabalho impedirá que esse tipo de violação aconteça, e também impedirá que técnicas brutas de força e pulverização de senhas usadas por atores de ameaças insiram uma rede seja eficaz”, acrescentou.

A política de acesso remoto também deve exigir que todos os trabalhadores remotos usem um gerenciador de senhas aprovado. “Todo mundo sabe que deveria ter senhas únicas e complicadas para cada conta de logon”, disse Singleton. Com funcionários fazendo malabarismo com dezenas, talvez até centenas de contas diferentes, “as pessoas não usam a mesma senha em muitos lugares”, alertou. Uma ferramenta de software barata que gera automaticamente uma senha única e complexa para cada conta permitirá que os funcionários entrem na empresa e em outros recursos on-line de forma altamente conveniente e segura.

Erros e omissões

Muitas políticas de acesso remoto não abordam a importante questão do acesso do fornecedor aos recursos corporativos. “O acesso do fornecedor deve ser restrito e segmentado para a função ou trabalho que está desempenhando”, aconselhou Mularski. “Muitas vezes, vemos eles tendo o mesmo acesso que um funcionário da empresa.”

Com o número de trabalhadores remotos crescendo rapidamente, as empresas também precisam reexaminar periodicamente as considerações de privacidade de sua política de acesso remoto. “Para trabalhar de forma eficaz, os funcionários usarão ferramentas que os ajudarão a colaborar dentro e fora de sua organização, realizar reuniões remotamente e acessar e compartilhar documentos potencialmente sensíveis”, observou Robert Waitman, O diretor de privacidade de dados da Cisco Systems. À medida que os trabalhadores domésticos se envolvem em tais tarefas, os nomes dos participantes, informações de conta e até mesmo aparência física podem se enquadrar na categoria de Informações Pessoalmente Identificáveis (PII) e podem estar sujeitos a várias regulamentações globais de privacidade. “Muitas pessoas já ouviram falar do Regulamento Geral de Proteção de Dados (GDPR) da UE, que se tornou exequível há cerca de dois anos, mas há mais de 140 regulamentações de privacidade diferentes em outras jurisdições em todo o mundo”, explicou Waitman. “As organizações que agora estão trabalhando para permitir que seus funcionários trabalhem remotamente precisam avaliar como o PII está sendo tratado para atender aos requisitos dessas leis e regulamentos.”

Outra grande supervisão em muitas políticas atuais de acesso remoto é não tratar os administradores em vários níveis separadamente dos usuários comuns. “Certos tipos de administradores não devem ser autorizados a fazer login com suas contas elevadas”, alertou Mularski. “Deve haver restrições sobre onde eles aterrissam no meio ambiente e o que eles têm acesso sem passar por um hospedeiro bastião,porexemplo.”

Nigro observou que as empresas devem estar preparadas para ajudar os funcionários domésticos que parecem estar lutando com requisitos detalhados e complexos de políticas de acesso remoto. “Entenda que seus trabalhadores remotos não têm uma equipe de segurança cibernética em seu local para ajudá-los”, disse ela. “Exigir uma política e esperar conformidade sem o treinamento e assistência adequados para garantir que sua rede doméstica esteja segura seria contraproducente.”

Takeaway

Um estudo recente da ISACA revelou que apenas 51% dos entrevistados estavam altamente confiantes na capacidade de sua equipe de segurança de detectar e responder a ameaças cibernéticas durante a pandemia. Ainda mais preocupante, 87% dos entrevistados relataram que, com a rápida mudança para o trabalho emcasa, houve um risco aumentado em questões de privacidade e proteção de dados, e 92% acreditam que os atores de ameaças aumentarão os ataques cibernéticos contra indivíduos. “É essencial [para as empresas] definir o tom da segurança cibernética em casa”,disse Nigro. “Ajude todos a entender a necessidade de se manterem seguros on-line.”

FONTE: NETWORK COMPUTING

Previous post Como as redes sociais estão se preparando para um potencial hack-and-leak de outubro
Next post Por que os MSPs são alvos de hackers e o que fazer sobre isso

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *