- Administração aberta
- Inovação
O Observatório Digicanvis: partilhe e inspire outros conselhos
Devido ao estado de alarme causado pelo coronavírus, muitas administrações e órgãos públicos estão promovendo o teletrabalho para garantir a continuidade de suas funções e serviços. O teletrabalho, no entanto, pode representar riscos de segurança cibernética se não for planejado com antecedência, a equipe não for treinada adequadamente e os equipamentos e conexões não forem configurados com segurança.. Dado o atual contexto de emergências, tudo isso pode não ter sido possível em muitos casos; por isso oferecemos-lhe um selecção das principais medidas de protecção de base a ter em conta que podem ajudá-lo a trabalhar à distância, minimizando os riscos de segurança no processamento das informações da sua organização.
É importante notar que a situação atual é muito atraente para “hackers” criminosos roubarem senhas e sequestrarem informações confidenciais em troca de um resgate. Tais casos ocorreram nos últimos meses em administrações públicas com sérios danos econômicos e reputacionais.
Esta seleção foi feita com o objetivo de facilitar um guia prático e executivo, destinado a usuários não especialistas das administrações públicas de médio e pequeno porte, que não dispõem de recursos implementar um plano de segurança completo e avançado. Queremos evitar o excesso de informação e fazer recomendações inviáveis nas circunstâncias em que nos encontramos. Para usuários interessados em se aprofundar neste tópico, fornecemos links adicionais no final do guia.
Estas recomendações são de natureza geral. Se sua organização tiver seu próprio guia de segurança cibernética, preste atenção a isso.
Aspectos organizacionais
Siga as instruções de segurança do gerente de tecnologia da sua organização
Faça uso das ferramentas e aplicativos autorizados da sua organização. Caso tenha a necessidade de utilizar outras soluções tome cuidado e utilize apenas aplicativos confiáveis.
Também ...
- Valide se os documentos de backup são feitos dos documentos corporativos que você trabalhará em casa.
- Seja muito claro sobre o canal de comunicação de incidentes e resolução de dúvidas.
- Notifique imediatamente qualquer incidente de segurança cibernética ao gerente de tecnologia da sua organização.
Equipe de trabalho
De sua equipe de trabalho em casa, você terá acesso às informações confidenciais de sua organização. Esteja você usando um computador corporativo ou um computador pessoal, você precisa considerar um conjunto de medidas de proteção e prevenção. Se você usa uma equipe de trabalho corporativa, é mais comum que você já cumpra a maioria ou todas as recomendações por meio das políticas de segurança que o administrador impôs.
Certifique-se de que seu sistema e aplicativos estejam atualizados com a versão mais recente de cada um e que a atualização automática de versão esteja ativada.
- para Windows
- Para MAC
Verifique se o seu computador possui um sistema antivírus e antimalware ativo.
- Para Windows: ativo Antimalware do Microsoft Defender
- Para MAC: instale uma solução de mercado com uma versão gratuita: Kaspersky, Avast, AVG, Bitdefender, etc.
Aplica o bloqueio de tela automático após dez minutos.
Também ...
- Crie uma família separada e uma conta de teletrabalho em seu sistema operacional. Qualquer acesso não autorizado a informações confidenciais deve ser evitado.
- para Windows
- Para MAC
- Habilite um firewall em seu comptuador.
- para Windows
- Para MAC
Conexão com a Internet e acesso remoto
Evite usar redes WiFi públicas desconhecidas e confiáveis para acessar remotamente os serviços da sua organização.
Também ...
- Se possível, use os serviços de discagem VPN (Rede Privada Virtual) recomendados por sua organização para acessar os sistemas de informações corporativos.
- Verifique se o roteador de conexão com a Internet não usa a senha padrão de fábrica. Você encontrará muitos tutoriais na Internet e no YouTube. Nós deixamos para você procedimento recomendado pela Organização de Consumidores e Usuários (OCU).
- Configure a senha do Roteador com sistemas de criptografia seguros: WPA3 (preferencialmente) ou WPA2.
backups
Toda a documentação do escritório que você gera no computador particular que você usa para TV e não está armazenada no servidor da organização provavelmente não terá um sistema de backup automatizado. Portanto, é recomendável que você tome precauções para fazer backup.
Faça backup de documentos gerados localmente por meio de um dos seguintes mecanismos:
- Pendrives: Você deve ter limpado ou formatado previamente o dispositivo para garantir que ele seja seguro
- Disco rígido externo
- Serviço de armazenamento em nuvem autorizado pela organização
Senhas e autenticação
Sempre que possível, use o acesso a sistemas de informação certificados digitalmente ou sistemas de autenticação de fator duplo para evitar que sua senha seja roubada. (Os sistemas de fator duplo são baseados em códigos de uso único que são enviados via SMS ou para um APP)
Use senhas complexas: uma combinação de caracteres especiais, números e letras maiúsculas e minúsculas.
Não anote suas senhas corporativas em qualquer lugar
Si instalar certificados de software digital em seu computador pessoal (TCAT-P, Certificado idCAT) utiliza a opção "Inserir senha para chave privada": desta forma, você só pode usar o certificado digital se a senha for conhecida.
Também ...
- Se você precisar usar várias contas com diferentes usuários e senhas, use um aplicativo para gerenciar com segurança diferentes senhas. Existem várias soluções que oferecem uma versão gratuita (LastPass, Dashlane, etc.). Os dispositivos Apple - iOS têm um gerenciador de senhas integrado ao sistema operacional.
Navegação segura na internet
Evite navegar em páginas inseguras e evite instalar qualquer software ou conteúdo duvidoso.
Também ...
- Os navegadores da web de mídia devem estar atualizados e configurados com a versão de software e os patches mais recentes.
- Exclua periodicamente o histórico de navegação, cookies, senhas lembradas e outros arquivos temporários. Dessa forma, evitamos possíveis spywares.
Phishing
El Phishing É um tipo de crime cibernético que envolve o envio de e-mails fraudulentos com o objetivo de roubar sua senha ou outras informações pessoais. É um dos golpes mais usados pelos cibercriminosos. O funcionamento do phishing é simples: você recebe um e-mail, com aparência legítima, que pede para atualizar, validar ou confirmar informações por meio de um link. Após clicar nele, você é redirecionado para um site falso, onde a senha ou outros dados são roubados.
Não clique em links ou faça download de anexos de e-mail suspeitos. Suspeita de e-mails solicitando ações incomuns para renovação de senhas. Verifique o endereço do remetente (não o alias) para e-mails aparentemente legítimos.
Também ...
- Ao se conectar pela web, verifique na barra do navegador se o endereço web do destino está correto. Os cibercriminosos podem replicar completamente um site e roubar sua senha.
Quando você terminar o trabalho
Feche todas as conexões com sistemas de informações corporativas e sites.
Faça backup de documentos locais nos quais você trabalhou e que não sejam cobertos pelo backup corporativo.
E também…
- Exclua o histórico de navegação, cookies, senhas lembradas e outros arquivos temporários.
Mais informações
Para usuários que desejam expandir essas informações, recomendamos que você visite os seguintes sites especializados:
- Normas de cibersegurança para a prestação de serviços de teletrabalho: Agência de Cibersegurança da Catalunha
- "Cibersegurança e proteção de dados": Escola de Administração Pública da Catalunha
- Guia de segurança do teletrabalho: Centro de Segurança TIC da Comunidade Valenciana
- Orientação de teletrabalho: práticas recomendadas, exemplos de políticas e segurança cibernética Universidade da Carolina do Norte, Escola de Governo
- Guia de referência rápida de teletrabalho: Centro de Integração de Segurança Cibernética da Califórnia
- CCN-CERT BP / 18 Recomendações de Segurança para Teletrabalho e Situações de Vigilância de Reforço: Centro Criptológico Nacional (conteúdo avançado)
- Como implementar uma política de acesso remoto seguro: National Cryptological Center (conteúdo avançado)
- Guia para Teletrabalho Corporativo e Segurança de Acesso Remoto: Instituto Nacional de Padrões e Tecnologia (conteúdo avançado)
Agradecimentos
Este conjunto de recomendações foi desenvolvido a partir de recursos próprios da AOC, das diretrizes da Agência Catalã de Cibersegurança, da Associação Catalã de Engenheiros de Telecomunicações (Telecos.cat), das consultoras Genís Margarit Contel e Cristina Ribas Casademont, e dos documentos do “Mais informação " seção.
Na AOC gostaríamos de agradecer todas as contribuições altruístas e proativas que recebemos e que são muito úteis e valiosas neste momento para garantir a segurança dos sistemas de informação do setor público.
Notas
- Este guia está aberto a sugestões, sugestões de melhoria e correções. Seus comentários são muito bem-vindos: você pode enviá-los para nós innovacio@aoc.cat
- Pedimos aos usuários da comunidade de software livre que nos ajudassem a completar o guia com recomendações específicas para sistemas operacionais baseados em Linux.