Com a difusão do home office, novos paradigmas de privacidade e segurança da informação vieram à tona, como por exemplo, segurança da informação no trabalho remoto.
Questões de gestão de acesso e identidade, criptografia na comunicação (VPN), proteção de endpoints (antivírus e DLP), e utilização de computadores pessoais são os pontos de destaque nesta nova forma de trabalho do período pandêmico.
No decorrer deste post vamos explicar um pouco mais sobre o impacto de cada ponto destacado e o porquê de serem tão críticos no ponto de vista da privacidade e segurança da informação. Preparado?
Imagine que toda sua empresa esteja em regime de trabalho remoto e que cada setor precisa acessar ferramentas, documentos, arquivos e equipamentos diferentes. Como você faz isso?
Por meio do gerenciamento de identidade e acesso. Esse processo pode ser feito com uma ferramenta centralizada (IAM – Identity and Access Management) ou por meio de controle de acesso manual em cada sistema.
Sistemas de controladores de domínio (xxxx@nomedasuaempresa.com.br), por exemplo AD (Active Directory) da Microsoft, exercem muito bem esse papel de gerenciamento de identidade e acesso.
Desde sistemas de comunicação instantânea até servidores de arquivos (locais ou em nuvem) deve haver registro dos acessos e das permissões baseadas na identidade.
Mas espera, como assim permissão baseada na identidade? Imagine que no servidor de arquivos da sua empresa exista uma pasta do setor financeiro, com dados de empresas e pessoas físicas, contudo, há uma pessoa no time de marketing acessando esses documentos.
Pra você faz sentido essa pessoa ter esse acesso? Não! Então é justamente isso que a gestão de identidade evita que aconteça.
Outro ponto importante é que, ao ser realizado o gerenciamento de acesso e identidade, o risco de existir um vazamento de dados é reduzido, pois os acessos serão limitados e mapeados.
Imagine que você tenha um servidor de arquivos local no seu escritório e todos os colaboradores precisam de acesso a esse equipamento. Como seria feita essa conexão de forma segura? Como você poderia manter a segurança da informação no trabalho remoto? Por meio de uma VPN (Virtual Private Network)!
A VPN nada mais é do que uma rede criptografada que liga dois computadores que estão em redes diferentes por meio de um servidor.
O uso de VPN também possibilita a configuração de sistemas de detecção e prevenção de intrusão (IDS e IPS).
Vale ressaltar que quando existe a conexão via VPN, os computadores passam a compartilhar a mesma rede.
Em casos de armazenamento em nuvem, a VPN pode ser utilizada da mesma forma, contudo algumas configurações na nuvem devem ser realizadas no sentido de permitir o tráfego oriundo apenas da rede do escritório.
Como você protege os computadores que estão distantes da sua infraestrutura do escritório? Por meio de solução de antivírus e DLP (Data Loss Prevention).
A solução de antivírus pode ser configurada com ou sem a necessidade de um administrador de segurança. Tudo depende do tamanho da empresa e da criticidade dos dados tratados.
Contudo, deixar a responsabilidade de execução de varreduras e atualizações nas mãos de colaboradores não é a melhor decisão a ser tomada.
Já o DLP (Data Loss Prevention) é um programa que não permite que dados sejam extraídos para dispositivos móveis (pendrive e HD externo). No entanto, uma solução de DLP vai encontrar barreiras jurídicas em casos de computadores pessoais.
Nesse caso, a dica é conversar com o jurídico do seu negócio sobre a aplicabilidade desse sistema.
O uso de computadores pessoais é um capítulo à parte para a segurança da informação.
Além das questões de instalação de programas (vide DLP), o uso pessoal do equipamento fora do período de trabalho, com acesso a programas e sites que normalmente não seriam aceitos por uma política de segurança dificulta a efetividade do plano de privacidade e segurança da informação.
Como o colaborador é proprietário do equipamento, a empresa fica limitada juridicamente em atuar no computador.
Mesmo que o seu negócio ofereça soluções de proteção cibernética e rede protegida (VPN), o risco de vazamento de dados continua considerável.
Para contornar essa situação, se a sua empresa atua em regime de trabalho remoto, é importante:
Apesar de identificarmos inúmeros pontos que comprometem a segurança da informação no trabalho remoto, podemos sim, manter uma segurança adequada para a empresa em tempos de pandemia e home office.
Se algum dos pontos citados anteriormente não está de acordo em seu negócio é importante adequar a sua realidade. Somente assim, é possível reduzir drasticamente o risco de perdas tanto financeiras quanto de confiabilidade de mercado.
Vale ressaltar que antes de qualquer ação envolvendo privacidade e segurança da informação, as empresas devem mapear suas vulnerabilidades e aí então estruturar um plano de ação consistente.
A Risk ajuda o seu negócio a identificar vulnerabilidades de privacidade, segurança da informação e jurídica para assim o negócio mantenha um ecossistema seguro, especialmente em regime de trabalho remoto.
Lembre-se, antes de resolver qualquer problema ou vulnerabilidade, você precisa de identificação e mapeamento.
Compartilhe esse artigo!