A segurança nos dispositivos e o trabalho remoto

A segurança do lado da organização

Os dispositivos e suas conexões devem estar sob medidas e ferramentas englobadas em uma estratégia global e orientada a proteger os dados tanto nos servidores quanto em sua viagem através da rede e nos terminais. Do lado da organização, os principais elementos dessa estratégia seriam os seguintes:

• Definição e aplicação da política corporativa de cibersegurança. A organização deverá exigir que todos os funcionários aceitem e assinem a política de cibersegurança, independentemente de trabalharem remotamente ou não. Esta política deverá cobrir todos os protocolos de segurança que se espera que os funcionários cumpram, e como a empresa os ajudará a cumpri-los.
• Atribuição de dispositivos. Desde o início, a infraestrutura deve ser capaz de adicionar novos dispositivos e atribuí-los ao usuário correspondente de maneira rápida e eficaz. Normalmente, são baseados em um procedimento de solicitação e atribuição dos dispositivos móveis.
• Registro. O sistema de atribuição deve ser complementado com um sistema de registro e inventário ativo que permita não apenas registrar os dispositivos móveis atribuídos (qual dispositivo é atribuído e a quem é atribuído), mas também responder melhor às necessidades do pessoal. Esses sistemas também permitem registrar o uso que é dado ao dispositivo.
• Manutenção. A manutenção dos dispositivos deve ser restrita ao departamento responsável. Portanto, deve ser proibido aos usuários fazer alterações no hardware, instalar software ou modificar a configuração do equipamento sem autorização do departamento técnico.
• Armazenamento de dados. A política de cibersegurança corporativa deve incluir mecanismos de controle e prevenção sobre o armazenamento de dados nos terminais. As informações corporativas que não sejam estritamente necessárias para o desenvolvimento das tarefas do usuário não devem ser armazenadas no dispositivo. E, se for acessar as informações de vários dispositivos, estas devem estar sincronizadas para evitar duplicidades e erros nas versões.
• Tratamento da informação confidencial. Em tempos passados, isso teria sido uma mera recomendação; nos dias de hoje, trata-se de uma obrigação por parte de todas as empresas que devem operar em conformidade com legislações como a LGPD. Todas as informações confidenciais devem ser armazenadas criptografadas. Também é uma boa prática utilizar um sistema padronizado de término, de forma que a informação seja eliminada de forma segura uma vez concluído seu ciclo de vida.
• Formação dos funcionários. Não se trata apenas de erros involuntários. No contexto atual da cibersegurança no trabalho remoto, a engenharia social envolve a execução de ataques por meio de engano. Phishing, vishing, “golpe do CEO”, ... Ter um programa de formação eficaz é fundamental para manter a segurança dos dispositivos. É recomendável implementar programas de formação eficazes, que garantam que os funcionários aplicarão as melhores práticas, complementando essa formação com um trabalho de conscientização que deve ser constante.

A segurança do lado do usuário

O trabalho remoto não precisa comprometer a segurança dos dados. Uma vez que os trabalhadores remotos são educados e esses procedimentos de segurança cibernética são implementados para evitar riscos de privacidade e segurança no teletrabalho.

1. Responsabilidades. O usuário é responsável pelo equipamento portátil ou móvel que lhe foi fornecido, devendo garantir a segurança tanto do equipamento quanto das informações que ele contém. O usuário aplicará as normas estabelecidas na Política de uso do posto de trabalho.
2. Transporte e custódia. O equipamento não deve ficar exposto a altas temperaturas que possam danificar seus componentes, e o usuário deve impedir que se possa acessar as informações armazenadas no mesmo. Em caso de roubo ou perda do equipamento, deve-se notificar imediatamente o pessoal técnico responsável.
3. Segurança nas conexões. O uso de redes Wi-Fi não seguras é a forma mais comum de expor uma empresa a uma violação de segurança de dados. A solução mais fácil é habilitar uma rede privada virtual (VPN). O uso de VPN antes de fazer login nas redes Wi-Fi públicas criptografará o tráfego de Internet do trabalhador remoto e monitorará qualquer sinal de infecção.
4. Senhas. Educar os trabalhadores remotos sobre a proteção com senha é essencial para proteger os dados da empresa. Outra forma de mitigar esse risco é utilizar um gerenciador de senhas que gere senhas e armazene todas as senhas de maneira segura.
5. Aplicativos de proteção. Firewalls, antivírus, IDS/IPS… A organização deve exigir que os teletrabalhadores possuam aplicativos de proteção como firewalls, software antivírus e antimalware, sempre atualizados em todos os seus dispositivos, incluindo celulares, tablets e laptops.
6. Notificação em caso de infecção. Vemos em todos os pontos anteriores que a colaboração do usuário é um elemento chave para a segurança do trabalho remoto. Se houver suspeita de infecção por vírus ou outro software malicioso, deve-se notificar o mais breve possível o pessoal técnico responsável.

Quais tecnologias usar para proteger os dispositivos

Nos últimos anos, e especialmente devido à pandemia da COVID-19, o desenvolvimento de tecnologias para proteger a informação dos teletrabalhadores. Contribuíram para isso não apenas os fabricantes de dispositivos e as empresas de cibersegurança, mas também os criadores dos sistemas operacionais. Aqui estão algumas delas.

• Proteção da BIOS. Os laptops corporativos terão o acesso à BIOS protegido por senha para evitar modificações na configuração por parte do usuário.
• Criptografia. Programas de chat, e-mail, aplicativos… tudo deve utilizar criptografia de ponta a ponta. O mais recomendável é utilizar autenticação multifatorial (MFA), que verifica a identidade de um usuário ao solicitar primeiro um nome de usuário e senha, assim como outros dados como «resposta a uma pergunta secreta» ou um código enviado para um celular.
• Aplicativos virtualizados. Com a opção de virtualização de aplicativos, o usuário pode executar em seu dispositivo um aplicativo que não está instalado no equipamento. O aplicativo é executado graças a um pacote que contém as configurações necessárias.
• Backup de dados na nuvem. Da mesma forma, devem ser tomadas medidas para que as informações armazenadas permaneçam seguras. Também é possível ativar um sistema de verificação, de forma que cada vez que o usuário queira acessar a nuvem seja enviado uma mensagem de texto com um código que deverá ser inserido para poder entrar.
• Software de localização. No caso de se considerar necessário instalar ou ativar algum software de localização, será comunicado ao usuário do dispositivo antes da entrega do mesmo. O usuário que será geolocalizado deve assinar um documento aceitando esta condição.
• Exclusão de dados. Também pode ser considerada a possibilidade de excluir dispositivos remotamente em caso de perda ou roubo. As plataformas de gerenciamento de dispositivos móveis (MDM) podem realizar esses serviços.

Considerações éticas e legais

A mobilidade no âmbito empresarial trouxe consigo a necessidade de propor novos modelos de gestão. As ferramentas MDM (Mobile Device Management) permitem, por exemplo, instalar e atualizar sistemas operacionais e aplicativos, até mesmo encapsular sua utilização em redes isoladas, assim como rastrear dispositivos por GPS, ou detectar e notificar quando um dispositivo está em risco, ou bloquear ou eliminar seu conteúdo remotamente. Também permitem incorporar mecanismos de gestão de identidades e acessos (IAM) forçando, por exemplo, a aplicação de políticas específicas de gestão de senhas. É possível até ativar antivírus, controle de acesso NAC ou serviços de segurança na nuvem.

E aqui surge o dilema: dispor de mecanismos que permitam acessar os dispositivos móveis corporativos é de vital importância, mas... é lícito acessar o conteúdo do dispositivo? É legal monitorar sua geolocalização? É possível supervisionar as atividades dos usuários? Sim, em princípio, se previamente os funcionários forem notificados sobre o uso e controle que a empresa pode exercer quando lhes cede equipamentos que são de sua propriedade e sobre o tipo de tratamento de dados que será realizado. E, claro, deve haver total cumprimento da legislação vigente em matéria de privacidade de dados.

Não é, definitivamente, um tema simples. E menos agora que também é possível implementar sistemas Out of Band, que permitem controlar os dispositivos mesmo quando estão desligados. Um aspecto a considerar, além disso, porque afeta o fabricante e implica praticamente um controle absoluto sobre o equipamento. Por exemplo, a Intel fornece sua solução Intel vPro; a Apple, por sua vez, oferece serviços LOM (Lights Out Management) para ligar e desligar seus equipamentos utilizando certificados digitais.

Em qualquer caso, ninguém duvida que o teletrabalho é uma opção essencial para qualquer organização, e que a segurança é um aspecto chave não só para evitar perdas de informação e reputação, mas também para garantir o cumprimento normativo.