0
0
Quando o verão chega, muitas organizações aceitam estudantes para estágios sazonais. Isso significa que pessoas jovens e inexperientes que provavelmente não sabem muito sobre segurança cibernética estarão envolvidas em seus processos de negócios.
As organizações raramente passam muito tempo pensando nos riscos relacionados a isso, e não tomam medidas de precaução. Eles dizem a si mesmos que os estagiários não estarão lá por muito tempo e é improvável que eles tenham acesso a qualquer informação confidencial. Isso é verdade, mas não significa que você deva ignorar o fato de que estagiários inexperientes sem conhecimento adequado podem comprometer severamente sua organização apenas clicando em um link de phishing, definindo senhas fracas em suas contas de trabalho ou caindo vítima da engenharia social. Para evitar que qualquer uma dessas coisas aconteçam, aqui estão algumas recomendações para prestar atenção especial.
Sessão de orientação
Antes de dar aos seus estagiários acesso à infraestrutura e ao equipamento da organização, é uma boa ideia familiarizá-los com o essencial. Em primeiro lugar, explique os padrões aceitos pela organização sobre políticas de segurança, autenticação de dois fatores e senhas.
Quando você envolve estagiários em suas operações, eles precisam definir senhas. E embora a segurança da senha pareça ser um tópico bem discutido, pode não ocorrer a um novato que eles não devam usar a mesma senha para vários serviços, e eles podem nem saber completamente o que significa “senha forte”.
Princípio do menor privilégio
Ao conceder aos estagiários acesso aos recursos da organização, você deve seguir o princípio do menor privilégio, o que significa que todos recebem apenas o nível mínimo de acesso de que precisam para fazer seu trabalho. Este é realmente um bom princípio a ser seguido em geral, mas é especialmente importante quando você está trabalhando com estagiários.
Acordos de não divulgação
Muitas organizações não têm seus estagiários assinando acordos de não divulgação, mais uma vez porque veem os estagiários como tendo apenas um papel menor e temporário. No entanto, é uma boa ideia fazê-lo. Mesmo que os estagiários não se aproximem de nenhum segredo corporativo, assinar um NDA é uma ótima maneira de transmitir a esses funcionários novatos que eles não devem falar sobre processos de negócios em conversas pessoais.
Segurança da informação em contas pessoais de mídia social
Os estagiários são principalmente jovens, e os jovens de hoje tendem a narrar suas vidas nas redes sociais. É fácil imaginar que eles estarão ansiosos para postar sobre algo tão significativo para eles quanto seu primeiro emprego.
Por um lado, a organização pode definitivamente se beneficiar se os estagiários falarem animadamente nas mídias sociais sobre o quão interessante é o seu trabalho. Mas, por outro lado, os estagiários podem inadvertidamente divulgar informações importantes em suas postagens — por exemplo, se tirarem selfies com documentos internos por trás deles.
É por isso que recomendamos que você articule claramente aos seus estagiários a política da sua organização sobre o uso das mídias sociais. Mas tente não enviar instruções longas por e-mail, pois as chances de que elas sejam lidas de A a Z serão muito baixas. Uma abordagem mais eficaz é dar um briefing verbal.
Acesso aos recursos de trabalho após o término do estágio
Todas as coisas boas devem chegar ao fim — incluindo estágios. Alguns alunos podem ficar com você além do estágio, mas alguns inevitavelmente vão embora. Preste atenção especial aos que partem. Certifique-se de revogar todo o acesso aos recursos internos da organização depois que o estagiário sair. Apenas ter uma conta extra com acesso é uma vulnerabilidade potencial.
Treinar estagiários sobre os conceitos básicos de segurança cibernética
Como regra geral, recomendamos treinar todos os funcionários sobre os conceitos básicos de segurança cibernética. No entanto, os estagiários raramente são incluídos em tais sessões de treinamento. Isso é um erro. Treinar estagiários ajudará a mitigar os riscos para sua própria segurança cibernética e, ao mesmo tempo, será uma lição importante que eles levarão com eles quando saírem de sua organização.
Você nem precisa investir recursos significativos neste treinamento. Existem alguns materiais on-line de código aberto que abordam os conceitos básicos de segurança cibernética que você pode compartilhar com seus estagiários. Por exemplo, para ajudar as organizações a tornar seus funcionários mais resilientes a ataques cibernéticos, lançamos recentemente um curso on-line gratuito – parte da nossa Plataforma de Conscientização de Segurança Automatizada Kaspersky (ASAP) – sobre como usar as redes sociais e evitar ser vítima da engenharia social.
FONTE: KASPERSKY