No período de férias prolongadas, muitas organizações aceitam receber estudantes para estágios sazonais. Isso significa que pessoas jovens e inexperientes que provavelmente não sabem muito sobre cibersegurança estarão envolvidas nos processos do seu negócio.
As organizações raramente gastam tempo pensando nos riscos relacionados a isso e não tomam medidas de precaução. Os gestores dizem a si mesmos que os estagiários não ficarão lá por muito tempo e que é improvável que tenham acesso a qualquer informação confidencial. Isso é verdade, mas não significa que devam ignorar o fato de que estagiários inexperientes sem conhecimento adequado podem comprometer gravemente sua organização apenas clicando em um link de phishing, definindo senhas fracas em suas contas de trabalho ou sendo vítimas de truques de engenharia social. Para evitar que qualquer uma dessas coisas aconteça, aqui estão algumas recomendações para prestar atenção especial.
Sessões de orientação
Antes de conceder aos seus estagiários acesso à infraestrutura e aos equipamentos da organização, é uma boa ideia familiarizá-los com o essencial. Em primeiro lugar, explique os padrões aceitos pela organização sobre políticas de segurança, autenticação de dois fatores e senhas.
Quando você envolve estagiários em suas operações, eles precisam definir as credenciais de acesso aos sistemas. E embora a segurança da senha pareça ser um tópico bem discutido, pode ser que um novato não saiba que não deve usar a mesma senha para vários serviços e, ainda pior, nem saibam exatamente o que significa “senha forte”.
Princípio do privilégio mínimo
Ao conceder aos estagiários acesso aos recursos da organização, você deve seguir o princípio do privilégio mínimo, que significa que todos tenham apenas o nível de acesso mínimo necessário para realizar seus trabalhos. Este é realmente um bom princípio a ser seguido em geral, mas é especialmente importante quando você está trabalhando com estagiários.
Acordos de confidencialidade
Muitas organizações assinam acordos de confidencialidade com seus estagiários, mais uma vez porque acreditam que eles terão apenas um papel menor e temporário. No entanto, é uma boa ideia fazê-lo. Mesmo que os estagiários não se aproximem de nenhum segredo corporativo, assinar um documento do tipo é uma ótima maneira de transmitir a esses funcionários novatos que eles não devem falar sobre processos de negócios em conversas pessoais.
Informações de segurança em suas contas pessoais de mídias sociais
Os estagiários são em sua maioria jovens, e os jovens de hoje tendem a narrar suas vidas nas redes sociais. É fácil imaginar como estarão ansiosos para postar sobre algo tão significativo para eles quanto seu primeiro emprego.
Por um lado, a organização pode definitivamente se beneficiar se os estagiários falarem animadamente nas mídias sociais sobre o quão interessante é seu trabalho. Mas, por outro lado, os estagiários podem divulgar inadvertidamente informações importantes em suas postagens – por exemplo, se tirarem selfies com documentos internos por trás deles.
É por isso que recomendamos que você explique claramente aos seus estagiários como funciona a política de sua organização sobre o uso de mídia social. Mas tente não enviar instruções longas por e-mail, pois as chances de serem lidas de A a Z serão muito baixas. Uma abordagem mais eficaz é dar um briefing verbal.
Acesso aos recursos do trabalho após o fim do contrato
Todas as coisas boas devem chegar ao fim – incluindo estágios. Alguns alunos podem ficar com você além do estágio, mas alguns inevitavelmente vão embora. Preste atenção especial aos que partem. Certifique-se de revogar todo o acesso aos recursos internos da organização após a saída do estagiário para evitar uma vulnerabilidade em potencial.
Treinamento dos estagiários aos conceitos básicos de cibersegurança
Como regra geral, recomendamos treinar todos os funcionários sobre os conceitos básicos de cibersegurança. No entanto, os estagiários raramente são incluídos em tais sessões de treinamento. Isto é um erro. Os estagiários treinados ajudarão a mitigar os riscos à sua própria cibersegurança e, ao mesmo tempo, será uma lição importante que eles levarão para as próximas oportunidades profissionais.
Você nem precisa investir recursos significativos neste treinamento. Existem alguns materiais online de código aberto que abordam os conceitos básicos de cibersegurança que você pode compartilhar com seus estagiários. Por exemplo, para ajudar as organizações a tornar seus funcionários mais resilientes a ataques cibernéticos, lançamos recentemente um curso online gratuito — parte de nossa Kaspersky Automated Security Awareness Platform (ASAP) — sobre como usar as redes sociais e evitar cair em golpes de engenharia social.