GUIA RÁPIDO PARA TRABALHAR COM SEGURANÇA
Devido ao estado de alarme causado pelo coronavírus, muitas administrações e órgãos públicos estão promovendo o teletrabalho para garantir a continuidade de suas funções e serviços. O teletrabalho, no entanto, pode representar riscos de segurança cibernética se não for planejado com antecedência, a equipe for devidamente treinada e os equipamentos e conexões forem configurados com segurança. Dado o contexto atual, tudo isso pode não ter sido possível em muitos casos; por isso oferecemos-lhe um selecção das principais medidas de protecção de base a ter em conta que podem ajudá-lo a trabalhar à distância, minimizando os riscos de segurança no processamento das informações da sua organização.
Lembre-se de que a situação atual é muito atraente para os cibercriminosos roubarem senhas e sequestrarem informações confidenciais em troca de um resgate. Tais casos ocorreram nos últimos meses em administrações públicas com sérios danos econômicos e reputacionais.
Esta seleção foi feita com o objetivo de facilitar um guia prático e executivo, destinado a usuários não especialistas das administrações públicas de médio e pequeno porte, que não dispõem de recursos implementar um plano de segurança completo e avançado. Queremos evitar o excesso de informação e fazer recomendações inviáveis nas circunstâncias em que nos encontramos. Para usuários interessados em se aprofundar neste tópico, fornecemos links adicionais no final do guia.
Estas recomendações são de natureza geral. Se sua organização tiver seu próprio guia de segurança cibernética, preste atenção nele.
1. Aspectos organizacionais
Siga as instruções de segurança do gerente de tecnologia da sua organização.
Faça uso do ferramentas e aplicativos autorizados pela sua organização. Se você precisar usar outras soluções, tome cuidado e use apenas aplicativos confiáveis.
E também
Valide backups de documentos corporativos que você trabalha em casa.
Descubra qual é o canal para relatar incidentes e solucionar dúvidas.
Relate qualquer incidente de segurança cibernética imediatamente ao gerente de tecnologia da sua organização.
2. Equipe de trabalho
Certifique-se de sistema e aplicativos são atualizados com as versões mais recentes e que a atualização automática da versão está habilitada.
Verifique se o seu computador tem um sistemaantivírus e antimalware ativos.
- Para Windows: ativo Antimalware do Microsoft Defender
- Para MAC: instale uma solução de mercado livre: Kaspersky, Avast, AVG, Bitdefender, etc.
Aplicar o bloqueio de tela automático depois de dez minutos.
E também
Crie uma família separada e uma conta de teletrabalho em seu sistema operacional. Qualquer acesso não autorizado a informações confidenciais deve ser evitado.
Habilite um firewall em seu comptuador.
3. Conexão com a Internet e acesso remoto
Evite usar redes WiFi públicas desconhecidas e confiáveis para acessar remotamente os serviços da sua organização.
E também
Use os serviços dial-up VPN (Virtual Private Network) recomendados por sua organização para acessar os sistemas de informações corporativos, se aplicável.
Verifique se o roteador da Internet não usa a senha padrão de fábrica. Você encontrará muitos tutoriais na Internet e no YouTube. Você pode usar o procedimento recomendado pela Organização de Consumidores e Usuários.
Configure a senha do Roteador com sistemas de criptografia seguros: WPA3 (preferencialmente) ou WPA2.
4. Cópias de segurança
Faça backup de documentos gerados localmente por meio de um dos seguintes mecanismos:
- Pendrives: Você deve tê-los limpo ou formatado previamente para garantir que sejam seguros
- Disco rígido externo
- Serviço de armazenamento em nuvem autorizado pela organização
5. Senhas e autenticação
Sempre que possível, use o acesso a sistemas de informação certificados digitalmente (de preferência T-CAT P) ou sistemas de autenticação de fator duplo para evitar que sua senha seja roubada. (Os sistemas de fator duplo são baseados em códigos de uso único que são enviados via SMS ou APP)
Use senhas complexas: uma combinação de caracteres especiais, números e letras maiúsculas e minúsculas.
Não anote suas senhas corporativas em nenhum lugar.
Si instalar certificados digitais em software em seu computador pessoal (TCAT-P, Certificado idCAT) utiliza a opção "Enter Password for Private Key": desta forma o certificado digital só pode ser utilizado se a senha for conhecida.
E também
Se você precisar usar várias contas com usuários e senhas diferentes, use um aplicativo para gerenciar senhas diferentes com segurança. Existem várias soluções que oferecem uma versão gratuita (Lastpass, Dashlane, etc.). Os dispositivos Apple - iOS têm um gerenciador de senhas integrado ao sistema operacional.
E também
Os navegadores da web dos computadores devem ser atualizados e configurados com a versão mais recente e os patches de software.
Exclua periodicamente o histórico de navegação, cookies, senhas lembradas e outros arquivos temporários. Dessa forma, você evita possíveis spywares.
7. Videoconferência segura
Convoque a reunião com segurança. Permitir que apenas usuários que conhecem os dados da reunião participem da sessão de videoconferência. para fazer isso:
- Crea um encontro ao qual apenas pessoas podem participar convidados.
- Enve por convite por e-mail privado parcialmente participantes o estar através de um plataforma ou canal securado.
- Faça lsão pessoas a quem temgiz hóspede por email hagin d'entrar através de d'este mendereço ateu ou,
- usa um ssistema de autenticação de fator duplo, por exemplo gerando link da reunião (ou ID da reunião), no caso do Zoom) Eu exijont uma clau para unir.
- A sala de espera Isso é também um recurso muito útil para os anfitriões controlarem quem entra e quem sai da reunião.
- Não compartilhe o link para entrar na reunião por meio de mídias sociais ou outros fóruns públicos. EM QUALQUER LUGAR COM O LINK PODERIA PARTICIPAR DO sessão.
Gerenciar participantes.
- Configure com antecedência quem pode compartilhar uma tela ou enviar arquivos por bate-papo durante a reunião.
- No caso de grandes reuniões, lembre-se que o anfitrião pode silenciar participantes individuaismento ou tudo de uma vez, para evitar ecos, ruídos de fundo e distrações ou conversas paralelas.
- Avalie se necessário bficar loucor a reunião quando já todos os participantes estão presentes, para que novos participantes não possam participar indesejado.
E também
Conheça anteriormente com as configurações e funções da ferramenta de videoconferência que usarcetim para saber como proteger o espaço virtual onde a reunião acontecerá.
Ao final da sessão, certifique-se de que o espaço virtual onde ocorreu a reunião está fechado o acessível apenas para participantes da reunião, pois pode haver notas, arquivos e informações particulares.
8. Phishing
Não clique em links nem faça download de anexos de e-mail suspeitos. Suspeita de e-mails solicitando ações inusitadas para renovação de senhas. Verifique o endereço do remetente (não seu alias) para e-mails aparentemente legítimos.
E também
Ao se conectar pela web, verifique na barra do navegador se o endereço web do destino está correto. Os cibercriminosos podem replicar completamente um site e roubar sua senha.
9. No final do trabalho
Fecha todas as conexões com sistemas de informações corporativas e sites.
Faça backup de documentos locais nos quais você trabalhou que não são cobertos pelo backup corporativo.
E também
Exclua o histórico de navegação, cookies, senhas lembradas e outros arquivos temporários.
10. Mais informações
- Guia de Cibersegurança para Câmaras Municipais e Entidades Locais
Associação Catalã de Municípios - Regras de cibersegurança para a prestação de serviços na modalidade de teletrabalho
Agência de Cibersegurança da Catalunha - Pílula “Cibersegurança e proteção de dados”
Escola de Administração Pública da Catalunha - Guia de segurança do teletrabalho
Centro de Segurança TIC da Comunidade Valenciana - Recomendações para a proteção de dados pessoais em situações de mobilidade e teletrabalho
Agência Espanhola de Proteção de Dados - Como se comunicar com segurança sem colocar usuários e organizações em risco
Centro Criptológico Nacional - Orientação de teletrabalho: práticas recomendadas, exemplos de políticas e segurança cibernética
Universidade da Carolina do Norte, Escola de Governo - Guia de referência rápida de teletrabalho
Centro de Integração de Segurança Cibernética da Califórnia - CCN-CERT BP / 18 Recomendações de Segurança para Teletrabalho e Situações de Vigilância de Reforço
Centro Criptológico Nacional (conteúdo avançado) - Como implementar uma política de acesso remoto seguro
Centro Criptológico Nacional (conteúdo avançado) - Guia para Teletrabalho Corporativo e Segurança de Acesso Remoto
Instituto Nacional de Padrões e Tecnologia (conteúdo avançado)
Agradecimentos
Este conjunto de recomendações foi elaborado a partir de recursos próprios do AOC, das diretrizes da Agência de Cibersegurança da Catalunha, da Associação Catalã de Engenheiros de Telecomunicações de (Telecos.cat), das consultoras Genís Margarit Contel e Cristina Ribas Casademont , e os documentos na seção “Mais informações”.
Do AOC agradecemos todas as contribuições abnegadas e proativas que recebemos e que são muito úteis e valiosas neste momento para garantir a segurança dos sistemas de informação do setor público.
Notas
-
Este guia está aberto a sugestões, sugestões de melhoria e correções. Seus comentários são bem-vindos: você pode enviá-los para innovacio@aoc.cat.
-
Pedimos a duas entidades da comunidade de software livre e quatro usuários que nos dessem feedback crítico para nos ajudar a completar este guia com recomendações específicas para sistemas operacionais baseados em Linux. Não recebemos nenhuma resposta neste momento.