O modelo de trabalho home office teve repercussão nos últimos meses em decorrência da pandemia do coronavírus. Desse modo, muitas organizações já enxergam potencial na modalidade e pretendem manter esse ritmo de trabalho nesse novo normal - assim como diz o Relatório sobre o Impacto da COVID-19: Soluções Inteligentes para o Novo Normal publicado recentemente pela NEC Corporation, que demonstra que as soluções de acesso remoto são uma das maiores prioridades para as empresas no cenário atual, uma vez que o home office se tornou, de fato, o novo estilo de trabalho.
Como há uma grande quantidade de dados sensíveis sendo tratada fora do escritório, é fundamental assegurar que os trabalhadores remotos estejam em um ambiente seguro.
Neste artigo vamos explicar as razões pelas quais as empresas devem se atentar a esse fato e apresentar algumas medidas indispensáveis para garantir a segurança dos dados, mesmo com a equipe em home office.
Já não é novidade que os ataques cibernéticos aumentaram na pandemia, devido às vulnerabilidades suscetíveis do Home Office. Uma pesquisa recente realizada pela CyberArk diz que 77% dos funcionários remotos estão usando dispositivos “BYOD” (bring your own device) inseguros e não gerenciados para acessar sistemas corporativos. Ou seja, uma grande oportunidade para os cibercriminosos.
Com informações importantes sendo acessadas em ambiente externo, é de suma importância haver supervisão constante dos dispositivos pessoais dos colaboradores, mantendo sempre atualizados o controle de acesso e de proteção de dados e aplicações. Isso porque, sem a devida atenção, há um risco iminente, pois os colaboradores podem acessar páginas da Web inseguras a qualquer instante, o que favorece ataques de malware na rede corporativa, por exemplo.
As empresas precisam estar preparadas para possíveis ameaças com algumas táticas já conhecidas, como as seguintes:
As equipes de TI devem estabelecer um plano de resposta a incidentes visando as possíveis ameaças que as equipes enfrentam e as ações a serem tomadas caso aconteçam de fato.
O NIST aponta as melhores práticas de processos de segurança, e saber o que fazer nos momentos de crises é crucial para que sua resposta seja efetiva e os sistemas possam ser restabelecidos o mais rápido e com o menor impacto possível.
É recomendado fornecer acesso à VPN a todos colaboradores, sendo uma tecnologia bastante popular que proporciona maior segurança no acesso à internet.
O Conceito de ZERO TRUST não compete a uma ferramenta ou um conjunto de tecnologias, mas sim uma forma de observar e entender segurança. Em resumo, há 3 pontos que caracterizam essa filosofia: Reconhecer o usuário e o dispositivo sempre; Redirecionar todos os acessos; e Aplicar mínimo privilégio em tudo.
O acesso remoto abre espaço para ameaças, isso já está claro. Por isso, é essencial preparar a equipe para lidar com essas situações, oferecendo treinamentos de conscientização referentes aos riscos existentes e boas práticas de segurança.
Também existem plataformas que podem ajudar realizando diversos tipos de testes de forma recorrente aos usuários, onde seus resultados podem ser analisados pelo time de segurança, compliance e recursos humanos. Essa abordagem recorrente mantém o time sempre alerta e ajuda na manutenção de um ambiente mais seguro.
O backup realizado em nuvem trata-se de uma prática ideal para minimizar a ameaça de roubo dos dados, garantindo, também, que tais dados estejam assegurados em casos de oscilação de energia, problemas com o hardware, desastre natural, entre outros.
Quando falamos de LGPD vale a pena pensar em uma segunda camada de backup onde uma nuvem terceira pode se tornar uma opção para os dados considerados sensíveis a lei. Existem muitos fabricantes de soluções de backup que oferecem esses serviços com alta segurança. Temos visto que algumas empresas que sofreram ataques recentemente tiveram seus backups comprometidos.
Com a adoção de serviços na nuvem, há também o aumento de ameaças de ataques orquestrados e executados por meio de malwares, por exemplo. Sendo assim, é necessário aplicar controles que gerenciam esses riscos efetivamente. Como soluções baseadas na nuvem que protegem dados e impedem ameaças entre dispositivos, redes, nuvens (IaaS, PaaS e SaaS) e ambientes locais.
Esse tipo de proteção em nuvem fortalece o controle de acessos a usuários e cria políticas que permitem saber quando um usuário está usando efetivamente um dispositivo homologado ou BYOD, criando políticas e regras diferentes para uso dos dados.
Prevenir-se do Shadow IT (ferramentas não homologadas pelo time de TI) em ambiente físico controlado já é difícil, em home office se torna mais complexo e com BYOD se torna ainda mais difícil, porém há soluções em nuvem que podem ajudar a controlar a exposição e o erro humano de usar esses tipos de ferramentas que na prática são vetores de vazamentos de dados.
Na era da LGPD possuir uma forma automatizada de aplicar políticas sobre uso de dados tornou-se tema obrigatório, nesse sentido o DLP é o seu melhor amigo.
Como temos observado nas últimas notícias do mercado, para muitas empresas o home office chegou para ficar! Contudo, é primordial estar constantemente atento às ameaças e buscar por respostas efetivas que mantenham a segurança da informação, proporcionando assim maiores chances de manter a continuidade dos negócios, sem ser atingido pelos ataques maliciosos que rondam no mundo digital.