Trabalhar com freelancers há muito tempo se tornou parte da rotina de muitos diretores. Mesmo em uma grande organização, nem todas as tarefas podem ser resolvidas pela equipe interna. Na perspectiva de pequenas empresas, que não podem contratar um funcionário adicional, este cenário é ainda mais rotineiro. No entanto, conectar um estranho ao fluxo de trabalho digital pode introduzir riscos cibernéticos adicionais, especialmente quando você trabalha com uma pessoa diretamente sem uma agência no meio.
Os perigos na caixa de entrada de e-mail
Ao procurar o freelancer certo, não se esqueça de começar a pensar em ameaças em potencial. É improvável que você contrate alguém sem antes dar uma olhada em seu trabalho, portanto, é comum que o freelancer lhe envie um documento, um arquivo com portfólio ou um link para um site externo, informações que você precisará fazer o download ou visitar. Mas a verdade é que o arquivo ou site pode conter quase tudo.
Os pesquisadores frequentemente descobrem vulnerabilidades em navegadores ou suites de escritório. Mais de uma vez, os invasores conseguem obter o controle de computadores corporativos introduzindo scripts maliciosos em um documento de texto ou incorporando um pacote de exploits no código de um site. Mas às vezes esses truques podem não ser necessários. Alguns colaboradores podem clicar em um arquivo recebido sem sequer verificar a extensão por meio do qual um componente malicioso pode ser executado.
Tenha em mente que um cibercriminoso poderia exibir um portfólio completamente comum (embora não necessariamente de seu próprio trabalho) e enviar um arquivo malicioso mais tarde como entrega de uma demanda. Além disso, alguém poderia assumir o controle do computador do freelancer ou sua caixa de entrada e usá-lo para atacar sua empresa. Afinal, ninguém sabe que tipo de proteção está em seu dispositivo ou conta, e a segurança do seu computador não pode controlar o que acontece lá. Você não deve considerar os arquivos recebidos como confiáveis, mesmo que eles venham de um freelancer com quem você trabalha há anos.
Como se defender
Se você precisa trabalhar com documentos criados fora da infraestrutura da empresa, manter a higiene digital é o mais importante. Todos os funcionários devem estar cientes de ciberameaças relevantes, por isso vale a pena elevar o nível de consciência de segurança. Além disso, podemos dar algumas dicas práticas:
- Atribua regras rígidas para compartilhamento de documentos, comunique aos freelancers e não abra arquivos se eles não cumprirem essas regras. Arquivo autoexecutável? Não, obrigado. Um arquivo com uma senha especificada no corpo da mensagem? Isso pode ser necessário apenas para evitar filtros antimalware de e-mail.
- Use um computador autônomo, isolado do resto da rede, ou uma máquina virtual apenas para trabalhar com arquivos de fontes externas ou, pelo menos, para checá-los. Desta forma, você pode reduzir significativamente qualquer dano potencial em caso de ataque.
- Certifique-se de equipar este computador ou máquina virtual com uma solução de segurança que bloqueia a exploração de vulnerabilidades ou cliques em um site malicioso.
Privilégios de acesso
Vamos supor que você encontrou o especialista externo que você estava procurando. Para colaborar em um projeto, os freelancers ganham acesso aos sistemas digitais da empresa: plataformas de troca de documentos, sistemas de gerenciamento de projetos, serviços de conferência, mensagens internas, serviços em nuvem, etc. Aqui você deve evitar dois erros: não conceder muitas permissões ao trabalhador autônomo e não se esqueça de revogar seu acesso depois de terminar seu trabalho.
Quando se trata de concessão de direitos, é melhor seguir o princípio do menor privilégio. Um freelancer só deve ter acesso aos recursos necessários para o projeto atual. O acesso ilimitado ao armazenamento de arquivos ou até mesmo ao histórico de conversas pode ser uma ameaça. Não subestime as informações armazenadas, mesmo em serviços auxiliares. De acordo com a mídia, a invasão ao Twitter em 2020 começou quando os criminosos tiveram acesso ao bate-papo interno da empresa. Lá, com métodos de engenharia social, eles foram capazes de convencer um funcionário a conceder acesso a dezenas de contas.
A revogação dos direitos após o término de um projeto também não é uma formalidade. Não estamos dizendo que uma vez que o trabalho é feito, o freelancer imediatamente começa a hackear seu sistema de gerenciamento de projetos. A própria existência de uma conta adicional com acesso a informações corporativas não é uma coisa boa. E se o freelancer configurar uma senha fraca ou reutilizar a senha de suas outras contas? Em caso de violação, haverá um ponto adicional de vulnerabilidade em sua rede corporativa.
Como se proteger
O mais importante é excluir ou desativar a conta dos freelancers assim que a relação de comercial terminar. Ou, pelo menos, alterar o e-mail e a senha associados; isso pode ser necessário em sistemas que excluem todos os dados relacionados à conta. Além disso, recomendamos:
- Mantenha um registro centralizado de quem tem acesso a quais serviços. Por um lado, isso vai ajudá-lo a revogar todos os direitos após o projeto ser concluído, e por outro, pode ser útil ao investigar um incidente.
- Peça aos contratantes que mantenham uma boa higiene digital e usem soluções de segurança (pelo menos gratuitamente) nos dispositivos que usam para se conectar aos recursos da empresa.
- Implementar autenticação em duas etapas em todos os sistemas de nuvem sempre que possível.
- Configure uma infraestrutura separada para projetos com freelancers ou subcontratados e seus arquivos, se possível.
- Digitalize todos os arquivos carregados no armazenamento em nuvem ou no servidor corporativo em busca de malware.