24 de agosto de 2023
A segurança nos dispositivos e o trabalho remoto
O teletrabalho tornou-se atualmente uma prática confortável, eficiente e até mesmo necessária para muitas empresas. Mas há regras de cibersegurança que devem ser implementadas para evitar colocar em risco informações sensíveis, próprias ou dos clientes.
Não se trata apenas de estabelecer uma estratégia e uma infraestrutura de segurança. Trata-se também de seguir as melhores práticas em matéria de cibersegurança para garantir não só a proteção das informações, mas também o cumprimento normativo.
A seguir, são apresentados os aspectos mais importantes a serem considerados, tanto do ponto de vista da organização quanto no que se refere aos usuários.
A segurança do lado da organização
Os dispositivos e suas conexões devem estar sob medidas e ferramentas englobadas em uma estratégia global e orientada a proteger os dados tanto nos servidores quanto em sua viagem através da rede e nos terminais. Do lado da organização, os principais elementos dessa estratégia seriam os seguintes:
- Definição e aplicação da política corporativa de cibersegurança. A organização deverá exigir que todos os funcionários aceitem e assinem a política de cibersegurança, independentemente de trabalharem remotamente ou não. Esta política deverá cobrir todos os protocolos de segurança que se espera que os funcionários cumpram, e como a empresa os ajudará a cumpri-los.
- Atribuição de dispositivos. Desde o início, a infraestrutura deve ser capaz de adicionar novos dispositivos e atribuí-los ao usuário correspondente de maneira rápida e eficaz. Normalmente, são baseados em um procedimento de solicitação e atribuição dos dispositivos móveis.
- Registro. O sistema de atribuição deve ser complementado com um sistema de registro e inventário ativo que permita não apenas registrar os dispositivos móveis atribuídos (qual dispositivo é atribuído e a quem é atribuído), mas também responder melhor às necessidades do pessoal. Esses sistemas também permitem registrar o uso que é dado ao dispositivo.
- Manutenção. A manutenção dos dispositivos deve ser restrita ao departamento responsável. Portanto, deve ser proibido aos usuários fazer alterações no hardware, instalar software ou modificar a configuração do equipamento sem autorização do departamento técnico.
- Armazenamento de dados. A política de cibersegurança corporativa deve incluir mecanismos de controle e prevenção sobre o armazenamento de dados nos terminais. As informações corporativas que não sejam estritamente necessárias para o desenvolvimento das tarefas do usuário não devem ser armazenadas no dispositivo. E, se for acessar as informações de vários dispositivos, estas devem estar sincronizadas para evitar duplicidades e erros nas versões.
- Tratamento da informação confidencial. Em tempos passados, isso teria sido uma mera recomendação; nos dias de hoje, trata-se de uma obrigação por parte de todas as empresas que devem operar em conformidade com legislações como a LGPD. Todas as informações confidenciais devem ser armazenadas criptografadas. Também é uma boa prática utilizar um sistema padronizado de término, de forma que a informação seja eliminada de forma segura uma vez concluído seu ciclo de vida.
- Formação dos funcionários. Não se trata apenas de erros involuntários. No contexto atual da cibersegurança no trabalho remoto, a engenharia social envolve a execução de ataques por meio de engano. Phishing, vishing, “golpe do CEO”, ... Ter um programa de formação eficaz é fundamental para manter a segurança dos dispositivos. É recomendável implementar programas de formação eficazes, que garantam que os funcionários aplicarão as melhores práticas, complementando essa formação com um trabalho de conscientização que deve ser constante.
Local inteligente
Ajudamos as empresas a impulsionar uma cultura de trabalho baseada na colaboração, flexibilidade e segurança, capacitando os profissionais e melhorando sua produtividade em um contexto digital.
A segurança do lado do usuário
O trabalho remoto não precisa comprometer a segurança dos dados. Uma vez que os trabalhadores remotos são educados e esses procedimentos de segurança cibernética são implementados para evitar riscos de privacidade e segurança no teletrabalho.
- Responsabilidades. O usuário é responsável pelo equipamento portátil ou móvel que lhe foi fornecido, devendo garantir a segurança tanto do equipamento quanto das informações que ele contém. O usuário aplicará as normas estabelecidas na Política de uso do posto de trabalho.
- Transporte e custódia. O equipamento não deve ficar exposto a altas temperaturas que possam danificar seus componentes, e o usuário deve impedir que se possa acessar as informações armazenadas no mesmo. Em caso de roubo ou perda do equipamento, deve-se notificar imediatamente o pessoal técnico responsável.
- Segurança nas conexões. O uso de redes Wi-Fi não seguras é a forma mais comum de expor uma empresa a uma violação de segurança de dados. A solução mais fácil é habilitar uma rede privada virtual (VPN). O uso de VPN antes de fazer login nas redes Wi-Fi públicas criptografará o tráfego de Internet do trabalhador remoto e monitorará qualquer sinal de infecção.
- Senhas. Educar os trabalhadores remotos sobre a proteção com senha é essencial para proteger os dados da empresa. Outra forma de mitigar esse risco é utilizar um gerenciador de senhas que gere senhas e armazene todas as senhas de maneira segura.
- Aplicativos de proteção. Firewalls, antivírus, IDS/IPS… A organização deve exigir que os teletrabalhadores possuam aplicativos de proteção como firewalls, software antivírus e antimalware, sempre atualizados em todos os seus dispositivos, incluindo celulares, tablets e laptops.
- Notificação em caso de infecção. Vemos em todos os pontos anteriores que a colaboração do usuário é um elemento chave para a segurança do trabalho remoto. Se houver suspeita de infecção por vírus ou outro software malicioso, deve-se notificar o mais breve possível o pessoal técnico responsável.
Quais tecnologias usar para proteger os dispositivos
Nos últimos anos, e especialmente devido à pandemia da COVID-19, o desenvolvimento de tecnologias para proteger a informação dos teletrabalhadores. Contribuíram para isso não apenas os fabricantes de dispositivos e as empresas de cibersegurança, mas também os criadores dos sistemas operacionais. Aqui estão algumas delas.
- Proteção da BIOS. Os laptops corporativos terão o acesso à BIOS protegido por senha para evitar modificações na configuração por parte do usuário.
- Criptografia. Programas de chat, e-mail, aplicativos… tudo deve utilizar criptografia de ponta a ponta. O mais recomendável é utilizar autenticação multifatorial (MFA), que verifica a identidade de um usuário ao solicitar primeiro um nome de usuário e senha, assim como outros dados como «resposta a uma pergunta secreta» ou um código enviado para um celular.
- Aplicativos virtualizados. Com a opção de virtualização de aplicativos, o usuário pode executar em seu dispositivo um aplicativo que não está instalado no equipamento. O aplicativo é executado graças a um pacote que contém as configurações necessárias.
- Backup de dados na nuvem. Da mesma forma, devem ser tomadas medidas para que as informações armazenadas permaneçam seguras. Também é possível ativar um sistema de verificação, de forma que cada vez que o usuário queira acessar a nuvem seja enviado uma mensagem de texto com um código que deverá ser inserido para poder entrar.
- Software de localização. No caso de se considerar necessário instalar ou ativar algum software de localização, será comunicado ao usuário do dispositivo antes da entrega do mesmo. O usuário que será geolocalizado deve assinar um documento aceitando esta condição.
- Exclusão de dados. Também pode ser considerada a possibilidade de excluir dispositivos remotamente em caso de perda ou roubo. As plataformas de gerenciamento de dispositivos móveis (MDM) podem realizar esses serviços.
Colaboração e produtividade
Disponha de um posto de trabalho inteligente preparado para as necessidades de hoje e os desafios de amanhã.
Considerações éticas e legais
A mobilidade no âmbito empresarial trouxe consigo a necessidade de propor novos modelos de gestão. As ferramentas MDM (Mobile Device Management) permitem, por exemplo, instalar e atualizar sistemas operacionais e aplicativos, até mesmo encapsular sua utilização em redes isoladas, assim como rastrear dispositivos por GPS, ou detectar e notificar quando um dispositivo está em risco, ou bloquear ou eliminar seu conteúdo remotamente. Também permitem incorporar mecanismos de gestão de identidades e acessos (IAM) forçando, por exemplo, a aplicação de políticas específicas de gestão de senhas. É possível até ativar antivírus, controle de acesso NAC ou serviços de segurança na nuvem.
E aqui surge o dilema: dispor de mecanismos que permitam acessar os dispositivos móveis corporativos é de vital importância, mas... é lícito acessar o conteúdo do dispositivo? É legal monitorar sua geolocalização? É possível supervisionar as atividades dos usuários? Sim, em princípio, se previamente os funcionários forem notificados sobre o uso e controle que a empresa pode exercer quando lhes cede equipamentos que são de sua propriedade e sobre o tipo de tratamento de dados que será realizado. E, claro, deve haver total cumprimento da legislação vigente em matéria de privacidade de dados.
Não é, definitivamente, um tema simples. E menos agora que também é possível implementar sistemas Out of Band, que permitem controlar os dispositivos mesmo quando estão desligados. Um aspecto a considerar, além disso, porque afeta o fabricante e implica praticamente um controle absoluto sobre o equipamento. Por exemplo, a Intel fornece sua solução Intel vPro; a Apple, por sua vez, oferece serviços LOM (Lights Out Management) para ligar e desligar seus equipamentos utilizando certificados digitais.
Em qualquer caso, ninguém duvida que o teletrabalho é uma opção essencial para qualquer organização, e que a segurança é um aspecto chave não só para evitar perdas de informação e reputação, mas também para garantir o cumprimento normativo.
Share
Talvez te interesse
Singularidade tecnológica e transumanismo
Descubra como a singularidade tecnológica e o transumanismo estão moldando o futuro da inteligência artificial e a evolução humana. Prepare-se para uma mudança global sem precedentes e explore as possibilidades da humanidade aumentada em um mundo de superinteligências.
O desafio tecnológico da transição para as energias renováveis
Explore como a tecnologia está impulsionando a transição para as energias renováveis e a sustentabilidade ambiental. Descubra projetos inovadores na Espanha que utilizam IoT, inteligência artificial e Big Data para criar um futuro mais limpo e eficiente.