O crime cibernético é uma fonte constante de medo e frustração no mundo empresarial moderno. O número de ataques aumenta à medida que as táticas utilizadas pelos cibercriminosos se tornam mais sofisticadas. E os danos potenciais para as empresas também estão a aumentar, com o custo médio global de uma violação de dados a subir para 4,35 milhões de dólares em 2022, segundo a IBM.
Existem vários factores que impulsionam o aumento da criminalidade cibernética, mas um estudo recente relacionou o risco crescente de ataques cibernéticos à mudança para o trabalho remoto nos últimos anos, uma vez que o espaço de trabalho remoto típico não está suficientemente protegido, criando vulnerabilidades de segurança cibernética.
Além disso, como os trabalhadores remotos dependem de ferramentas de comunicação digital para realizar o seu trabalho, estão mais suscetíveis a ataques de phishing e de engenharia social. O estudo também afirma que, como os trabalhadores remotos não estão fisicamente juntos no escritório, podem achar mais difícil comunicar com os colegas e verificar as informações ou pedidos feitos em e-mails de phishing.
Dado este risco potencialmente aumentado, as empresas deveriam cessar o trabalho remoto? Fazer isso teria seus próprios custos, já que foi demonstrado que o trabalho remoto leva ao aumento da produtividade e à retenção de pessoal. Nossa pesquisa com 1.004 tomadores de decisão de RH e de negócios e trabalhadores em todo o mundo descobriu que 69% dos empregadores com uma força de trabalho remota distribuída disseram que a retenção de funcionários aumentou desde que suas empresas adotaram a prática. Entretanto, 72% das empresas com força de trabalho remota internacional afirmaram que a produtividade aumentou desde a adoção de um modelo distribuído.
O que as empresas devem fazer?
Então, o que as empresas devem fazer para melhorar as suas defesas cibernéticas sem sacrificar os benefícios do trabalho remoto? As organizações podem presumir que a sua segurança cibernética é uma preocupação exclusiva do departamento de TI, mas este não é o caso. Na verdade, concentrar-se demais na tecnologia irá ignorar o elemento mais importante da segurança cibernética: o seu pessoal.
De acordo com outro estudo da IBM, 95% das violações de segurança cibernética são resultado de erro humano. Assim, se as pessoas numa organização são o elo mais fraco, então também é responsabilidade do RH melhorar a segurança cibernética e ajudar a implementar as práticas necessárias para proteger dados valiosos. O RH tem um papel inestimável a desempenhar na prevenção de violações de dados, e os líderes de RH devem intensificar e ajudar a proteger as suas organizações contra riscos cibernéticos.
Mas que medidas o RH deve tomar para resolver esse problema? A primeira coisa necessária é desenvolver uma cultura de segurança cibernética corporativa através de parcerias entre líderes de RH, equipas internas de TI e especialistas em proteção de dados. A cooperação entre departamentos é essencial.
Uma forma pela qual o RH pode contribuir ativamente é através da parceria com a TI para estabelecer níveis de acesso mais refinados com base na estrutura organizacional, incluindo o nível e departamento do funcionário. Ao fazer isso, o RH pode auxiliar no controle e regulação do acesso a tipos específicos de informações e ações.
Este esforço colaborativo entre RH e TI visa proteger dados sensíveis, concedendo privilégios de acesso apenas aos indivíduos que realmente necessitam deles para cumprir as suas responsabilidades profissionais.
O princípio do menor privilégio serve como princípio orientador, enfatizando que a intenção não é excluir indivíduos ou reter conhecimento dos funcionários, mas sim reconhecer que os funcionários de diferentes departamentos, como marketing e finanças ou contabilidade, não necessitam de acesso irrestrito a os dados um do outro. Este princípio deverá ajudar a limitar os danos potenciais de uma violação de dados causada por um único funcionário.
Em seguida, o RH pode utilizar o recrutamento, a integração e a formação contínua como oportunidades para garantir que os funcionários estão conscientes das suas responsabilidades relativamente à segurança cibernética em toda a organização.
Por exemplo, o recrutamento é uma oportunidade para sondar os candidatos quanto a possíveis sinais de alerta, uma vez que a má conduta dos funcionários é uma causa comum de violações de dados. É essencial realizar verificações de antecedentes dos candidatos para verificar a precisão do seu histórico profissional e educacional e rastrear qualquer histórico de atividade criminosa ou violações de políticas.
Os próprios departamentos de RH também devem ter cuidado durante o período de recrutamento para não cair em um ataque de ransomware ou phishing disfarçado de currículo ou carta de apresentação. E se quiserem realizar entrevistas virtuais com candidatos, as equipes de RH devem garantir que possuem medidas de segurança de rede adequadas e confirmar que qualquer software de recrutamento usado está instalado com as atualizações de segurança mais recentes.
Da mesma forma, a fase de integração é um momento crucial para o RH ajudar a proteger informações confidenciais. O RH deve manter um registro de todos os equipamentos que um novo funcionário recebe e garantir que eles serão devolvidos se e quando o funcionário sair da empresa, para que não retirem nenhum dado sensível. Os novos recrutas também devem estar cientes de importantes precauções de segurança, como detectar e-mails de phishing e criar senhas fortes e exclusivas.
Novamente, o RH também deve ter cuidado durante a fase de integração, pois receberá uma grande quantidade de informações de identificação pessoal do novo funcionário, geralmente por e-mail ou fax. Os departamentos de RH devem garantir que tais comunicações sejam criptografadas antes que os dados pessoais sejam coletados e armazenados.
Por fim, o treinamento é uma oportunidade significativa para investir na educação contínua em segurança cibernética para que sua equipe possa estabelecer e manter as melhores práticas. Os funcionários precisam de lembretes regulares sobre os perigos representados por senhas fracas e e-mails de phishing.
Este treinamento também é uma oportunidade para ensinar aos funcionários os mais recentes métodos de hacking usados pelos cibercriminosos e como permanecer seguros enquanto trabalham remotamente.
Por exemplo, o Wi-Fi público pode representar um grande risco e, embora os trabalhadores remotos possam desfrutar da flexibilidade de trabalhar a partir de um café ou de um espaço público, estão mais seguros ao utilizar o seu smartphone como hotspot em vez de se ligarem a uma rede desconhecida.
Na Remote, todos os funcionários são obrigados a passar por treinamento nos primeiros 30 dias de emprego e, a partir de então, anualmente, para garantir que entendam as políticas, procedimentos e melhores práticas de segurança. Investir na sua força de trabalho através de formação ajuda a criar confiança entre os seus funcionários, que são a sua primeira linha de defesa contra uma violação da segurança cibernética.
Um exemplo prático:
As empresas não têm de enfrentar esta tarefa sozinhas; eles podem trabalhar com parceiros confiáveis que podem ajudar a proteger seus dados enquanto continuam a empregar uma força de trabalho dispersa internacionalmente. Os provedores de serviços de Employer of Record (EOR) podem ajudar as organizações a desenvolver equipes globais seguras, ao mesmo tempo que garantem que os empregadores estejam em conformidade com as leis locais e internacionais de proteção de dados nos mercados onde operam. Isso libera as empresas para se concentrarem na gestão e no crescimento de seus negócios.
Existem outras vantagens em colaborar com empresas como a Remote, que têm propriedade total sobre as suas operações ponta a ponta, em vez de depender de entidades terceirizadas.
Esta abordagem é particularmente benéfica porque lhes permite ter controlo total sobre os dados e mitigar o risco de práticas incertas de tratamento de dados. A Remote buscou a certificação ISO27001, bem como o SOC2 Tipo II, o padrão mais conhecido e reconhecido internacionalmente para sistemas de gerenciamento de segurança da informação, para demonstrar nosso compromisso com a segurança da informação e fornecer uma plataforma segura para nossos clientes.
Como os EORs lidam com dados confidenciais de funcionários, incluindo informações pessoais, registros financeiros e documentos legais, essas certificações fornecem uma confirmação padronizada e independente, para que os empregadores possam ter certeza de que medidas rigorosas de segurança protegem as informações de seus funcionários.
A integração da segurança cibernética na cultura empresarial deve ser um esforço realizado por toda a organização e não apenas pela equipa de TI. O departamento de RH tem um papel fundamental a desempenhar na construção de uma base sólida e segura para uma empresa aumentar a sua força de trabalho distribuída globalmente.
Por Marcelo Lebre, COO e cofundador da Controlo remoto.