Por: Marco Passos
Segundo uma pesquisa do site Valor Econômico (1), com o atual momento causado pela pandemia, 43% das empresas já adotaram o trabalho em home office. Isso indica uma necessidade imediata de se planejar a segurança da informação para este novo cenário. O novo padrão de comportamento, o "novo normal", evidencia também uma crescente exponencial nas variáveis de riscos para a segurança da informação nas organizações.
Por outro lado, o modelo de trabalho em home office oferece vantagens tanto para o profissional quanto para a organização. Quando em um ambiente propício, proporciona ao profissional inúmeras vantagens, dentre elas maior flexibilidade para organizar o tempo, maior produtividade considerando fatores como tempo de deslocamento, conforto, menos interrupções e maior concentração. O compromisso do profissional passa a ser focado no resultado, não no cumprimento da carga horária.
Do lado da organização, além da redução dos custos com postos de trabalho, custos fixos como as contas de consumo, estrutura, transporte, alimentação, lanches e cafezinho, cria-se uma cultura de mais liberdade ao proporcionar ao colaborador desenvolver melhor suas habilidades e capacidade de autonomia, o que o tornará mais produtivo e eficiente.
Apesar desse modelo de trabalho trazer ganhos e mais comodidade, também traz riscos para a segurança da informação. Hoje os endpoints (3) (por definição, um endpoint é um dispositivo final conectado a uma rede, pode ser um smartphone, um computador ou uma câmera de vigilância) não estão mais exclusivamente dentro da organização, estão também no ambiente familiar do colaborador que quase sempre é menos seguro do que o ambiente corporativo.
Diante deste cenário, pergunta-se: como monitorar o comportamento do colaborador quando este, em um ambiente externo, está conectado a uma rede da empresa, sem a invasão da privacidade?
A cultura da proteção de dados tem um papel importante neste momento, pois todos têm que contribuir para que o ecossistema esteja em equilíbrio. Time técnico das organizações provendo o serviço, automação em segurança e a conscientização necessária; colaboradores conscientes e garantindo que os endpoints estejam de acordo com o compliance da organização; e por fim, a alta direção comprometida com o suporte necessário para a propagação dessa cultura e cumprimento da LGPD.
A seguir, destaco algumas iniciativas que podem ajudar a organizar a segurança para esse novo momento.
Estabeleça políticas
A velha e boa política neste momento tem um papel crucial para o entendimento sobre as novas perspectivas de segurança nas organizações. Criar políticas de acesso, por exemplo, pode evitar que tenham um acesso indesejado na rede interna da organização. Facilitar a gestão do time técnico e diminuir o risco de, por exemplo, tornar a organização em um vetor de transmissão de vírus para clientes.
Treine as pessoas
Os seus colegas de trabalho precisam saber das possíveis mudanças nas políticas de segurança para que possam seguir. Portanto, informação neste momento se torna crucial para atingir os objetivos estipulados na política.
Crie formas para conscientizar os colaboradores
Diferentemente do treinamento (onde se indica como deve ser feito), a conscientização deve ser adotada para incluir o colaborador no contexto de segurança da informação e dar veracidade as medidas aplicadas. Informar por que as medidas estão sendo tomadas e seus impactos é indispensável para tornar o ambiente mais seguro, pois com os colaboradores conscientes dos riscos e a promoção mais efetiva das medidas de segurança, ocorrerá naturalmente uma diminuição dos riscos associados a segurança da informação na organização.
Associado ao programa de conscientização, devemos mostrar evidências dos riscos (como notícias, gráficos com números relativos a pesquisas de segurança ou ainda informações dos sistemas internos de monitoramento ou de gestão de incidentes), pois servem para exemplificar e mostrar os riscos na perspectiva do usuário.
Até aqui, foi relatado algumas medidas organizacionais de como proceder com medidas de segurança para o home office, porém como resguardar a privacidade dos colaboradores?
Permitir o acesso a rede interna apenas por uma rede criptografada (VPN).
O acesso a rede da empresa por uma VPN, permite um nível de segurança maior para a rede interna pois esse acesso ocorreria por uma rede criptografada.
Bloquear a tela do computador antes de sair.
O tempo daquela parada para fazer um lanche pode ser o suficiente para o vazamento de dados pessoais. Isso pode ocorrer sem querer (um filho pequeno pode digitar no teclado e enviar uma informação importante para uma pessoa não autorizada por exemplo) e provocar um grande prejuízo.
Mantenha o sistema operacional atualizado.
Normalmente as organizações têm um time de TI capaz de fornecer atualizações de forma automatizada. Caso não seja possível, fique atento a essas atualizações e faça o processo de forma manual periodicamente.
Tenha um antivírus licenciado e atualizado.
Em tempos de privacidade de dados, o antivírus se tornou indispensável. Hoje a maioria dos antivírus protegem contra alguns tipos de ransomware (4) (é um software malicioso que infecta seu computador e exibe mensagem exigindo o pagamento de uma taxa para fazer o sistema voltar a funcionar) o que permite uma camada adicional de segurança da informação e proteção de dados. Além do antivírus instalados nos endpoints, ter uma solução centralizada de gestão de antivírus facilita a distribuição das atualizações de vacinas nos equipamentos o que diminui o tempo de resposta do time técnico.
Se possível, implemente um NAC.
O Network Access Control (NAC) permite o acesso a rede da organização apenas se obedecer a alguns critérios como por exemplo, acesso permitido apenas para máquinas como sistema operacional X. Esse controle se faz necessário frente a necessidade de padronização e controle que os times de segurança tem que ter nesse momento. Para os casos em que os colaboradores trabalhem com equipamentos próprios, esse controle pode ajudar a manter o compliance da organização e reduzir o risco de ataques.
Não acessem sites suspeitos.
No ano de 2020, o phishing se tornou um dos principais vetores de ataque. Segundo o site Security Report (2) o volume de ataque aumentou 308% no primeiro trimestre comparado ao mesmo período do ano passado. Isso mostra que cuidados com as medidas de segurança e atenção nos acessos a sites e e-mails são fundamentais.
A ANPPD vem ajudar no projeto de difundir a cultura de proteção de dados e estamos prontos para colaborar da melhor forma com o mercado para que o tema proteção de dados esteja na pauta de todas as organizações. Onde tem proteção de dados, tem ANPPD!
Marco Passos e membro
Colaborador da ANPPD.
Texto revisado por Renato Rodrigues,
membro Colaborador da ANPPD.
Comments