A adoção do home office pelas empresas como forma de garantir a continuidade de seus negócios em meio à pandemia foi um modelo eficiente e se revelou um caminho sem volta. Porém, a mudança ocorreu rapidamente e muitas organizações não tiveram tempo hábil de avaliar, de forma criteriosa, os riscos de segurança da informação envolvidos no trabalho fora das dependências corporativas.
O resultado desta equação foi o aumento de 330% no número de ataques cibernéticos via acessos remotos no País entre fevereiro e abril deste ano, segundo o levantamento feito pela empresa de segurança Kaspersky. Grandes empresas como Honda, Avon, Raízen, Rumo Logística e Energisa sofreram ataques, uns mais comprometedores, outros menos, mas isso mostrou a vulnerabilidade existente no acesso aos sistemas das empresas sem preparar a segurança da infraestrutura para o trabalho remoto.
Sabendo do problema e entendendo que a consolidação do home office exigirá a identificação desses riscos e medidas para mitigá-los, adotar melhores práticas de segurança da informação se tornou uma condição essencial para manter as operações blindadas.
Um dos primeiros passos é garantir a definição da infraestrutura de forma cuidadosa disponibilizando equipamentos corporativos, tais como filtros de tela, sistemas operacionais atualizados e programas antivírus, para os colaboradores que permanecerão remotos. Além disso, a empresa deve aplicar processos de mapeamento de ameaças e realizar testes de invasão na Rede Virtual Privada (VPN), permitindo o acesso aos sistemas internos da empresa somente via VPN ou Cloud (nuvem).
Outra dica é utilizar apenas dispositivos corporativos, evitando os equipamentos de uso pessoal, salvo em casos emergenciais ou necessários. Para ambas situações, devem ser providenciadas medidas como a criptografia dos discos de acordo com o padrão homologado pela área de segurança da informação e cada colaborador deve receber um identificador, com login e senha, exclusivo para acessar os sistemas de TI, sem contar as permissões para a execução das tarefas.
O terceiro ponto de atenção é a preocupação com o uso de redes Wi-Fi residenciais. Deve-se evitar o acesso a redes públicas e orientar aos colaboradores que, quando a conectividade não for necessária para a execução do trabalho, o ideal é desligar o Wi-Fi, Bluetooth ou qualquer outra conexão. Além disso, é preciso assegurar que o roteador não esteja mais configurado com a senha padrão do fabricante. E, no quesito acesso, é sempre importante reforçar a importância de possuir senhas complexas, além de redefini-las com frequência.
Por fim, é importante ter a consciência de que, com a previsão de continuidade do modelo de home office, seja ele flexível ou permanente, caso o colaborador não tenha condições técnicas mínimas de segurança da informação, a empresa deve fornecer a infraestrutura. Não sendo possível fornecer todas as condições, é importante orientar o colaborador no sentido de garantir as medidas de proteção.
Assegurar que as regras do trabalho remoto estejam definidas de forma clara na política de segurança da informação é uma condição exigida neste momento. Da mesma forma, elas devem ser previamente divulgadas para todos os colaboradores da empresa, mantendo o processo claro e transparente a todos, o que resultará em mais proteção para a organização.
Matheus Jacyntho, gerente sênior de Cyber Security e de privacidade de dados na ICTS Protiviti.