Segurança cibernética para trabalho remoto
Por questões de economia e logística, o home office é uma tendência que foi se expandindo ao longo dos anos. No exterior, algumas empresas aderiram à prática, se não inteiramente, pelo menos dando a oportunidade aos colaboradores de revezarem entre ambiente de trabalho e suas casas. Em nosso país, a cultura do trabalho remoto ganhou mais força com as startups e nos grandes centros.
Apesar do aparente crescimento do home office, muitas companhias ainda tinham (e têm) suas ressalvas quanto a adotar esse regime de trabalho. Questões como diminuição da produtividade, perda de foco e falta de controle dos líderes quanto aos seus liderados (especialmente para os fãs de microgerenciamento) estavam em pauta. No entanto, a realidade com a qual nos deparamos com a pandemia acabou trazendo um trabalho à distância forçado.
Nesse cenário, a maioria das empresas – e isso não apenas no Brasil – viram que não estavam preparadas. Vários problemas começaram a surgir, dentre eles, aqueles envolvendo a segurança cibernética. Organizações perceberam os riscos que correriam caso um ataque de hackers roubasse ou expusesse seus dados.
Como dita a gestão de riscos, é preciso prever situações como essa e agir para impedi-las ao invés de apenas apagar incêndios. Em outros termos, ser proativo. Pensando nisso, neste artigo compartilhamos algumas dicas de como sua empresa pode garantir mais segurança para o trabalho remoto.
Segurança cibernética: tipos de ameaças
Antes, é importante entender que para quem trabalha com TI o trabalho remoto é um prato cheio para a falha da segurança corporativa. Pelo fato de muitas vezes os computadores não estarem protegidos, os cibercriminosos veem um espaço aberto para invadir os aparelhos e entrar no sistema de TI da empresa.
Algumas das técnicas que utilizam são:
- Phishing: ataques deste tipo têm o objetivo de roubar informações confidenciais enganando a vítima. Para isso, o hacker manipula as pessoas para obter informações confidenciais. O ataque pode ser por e-mail, SMS, redes sociais, entre outros, mas a maneira é a mesma: o golpista assume uma identidade de alguém ou alguma empresa confiável e envia um link.
- Ransomware: é o tipo de ataque que cada vez mais rouba dados e destrói backups. Os criminosos criptografam ou impedem o acesso a dados corporativos e normalmente exigem um resgate para liberá-los.
- Malware: um malware pode ser um vírus, por exemplo. O objetivo de ataques deste tipo é de tornar o computador vulnerável para outros ataques ou prejudicá-lo.
No roubo de dados, geralmente o golpista utiliza-os para chantagem, ameaçando de revendê-los ou até de torná-los públicos. Os hackers podem também roubar senhas e ter acesso aos serviços de mensagens privadas ou profissionais e às senhas para serviços online, como da mesma maneira podem roubar dados técnicos, acessar contas bancárias etc.
Todos os casos são graves, e existem ainda situações em que a empresa vê suas operações interrompidas devido a violações. Como no home office a vulnerabilidade dos aparelhos tende a ser maior, como proteger sua empresa?
Dicas para garantir a segurança cibernética
Existem várias ações para proteger os equipamentos dos colaboradores em home office. Anote nossas dicas:
1. Crie uma política de segurança da informação
Este é o primeiro passo para quem busca segurança da rede corporativa (e é importante mesmo se a organização não possui funcionários trabalhando remotamente). A política de segurança da informação é um documento que define regras, padrões, normas, procedimentos e diretrizes para quem utiliza a infraestrutura de TI da empresa.
Conhecida como PSI, ela busca garantir a confidencialidade dos dados, a integridade (ou seja, a veracidade das informações) e a disponibilidade. Deve ser elaborada em uma linguagem fácil de ser compreendida (sem termos técnicos) e ser facilmente acessada por todos. Além disso, é importante que a prática da política seja incentivada pelos líderes.
A PSI deve estar de acordo com a norma ABNT NBR ISO/IEC 27001:2005. De modo geral, contém:
- Diretrizes para definições de senhas;
- Normas sobre a utilização da internet (quais sites podem ser acessados e quais são proibidos);
- Boas práticas do uso do e-mail corporativo;
- Normas de backup;
- Rotinas de auditoria;
- Normas sobre a utilização geral do aparelho, incluindo os programas que podem ser instalados;
- Ferramentas que podem ser utilizadas para compartilhamento de documentos;
- Normas adotadas, como ISO 27001 e ISO 27002.
A política de segurança da informação é importante também para o cumprimento da LGPD (Lei Geral de Proteção de Dados).
2. Verifique a atualização dos programas instalados
Existem dois casos que podem ocorrer com os trabalhadores remotos. O primeiro é quando a empresa fornece o aparelho. Em termos de segurança cibernética, essa é a melhor opção, pois espera-se que os computadores já estejam seguros com os antivírus certos e com os programas autorizados instalados.
O segundo caso é quando o funcionário utiliza seu computador pessoal. A atenção deve ser redobrada aqui, pois é de responsabilidade da empresa garantir que os dados corporativos não sejam roubados/danificados e, para isso, a rede doméstica não deve ser acessada por hackers.
Para evitar quaisquer danos, tenha a certeza de que o colaborador tem acesso às últimas atualizações dos programas que precisa e que o antivírus está atualizado.
3. Instale uma VPN
Uma VPN é uma rede virtual privada, utilizada para impedir acesso não autorizado às informações por meio da criptografia do tráfego de dados em uma rede. É considerada como uma excelente ferramenta de proteção aos dados e aos equipamentos conectados à rede da empresa.
Lembre-se que ao trabalhar de casa as informações corporativas passam por redes domésticas. Com uma VPN as conexões que forem feitas remotamente terão que passar por ela, logo trarão mais segurança à rede da organização.
4. Use controles de acesso autorizados
O acesso autorizado acontece em duas etapas. A primeira é a adoção de senhas fortes e complexas, como as que obrigam a utilização de letras maiúsculas e minúsculas, números e símbolos (lembrando que a política de senhas deve estar estabelecida na PSI).
O segundo passo é através da autenticação de dois fatores, que pode ser outra senha, um código enviado por SMS etc. Pode parecer trabalhoso, mas ao fazê-lo sua empresa consegue limitar ataques de usuários mal-intencionados.
5. Ofereça treinamentos
Para que os colaboradores entendam da relevância de práticas para garantir a segurança cibernética da empresa, eles precisam compreender os problemas que podem resultar de um ataque. Além disso, é importante que sejam treinados sobre as boas práticas, as quais devem ser adotadas por todos e seguidas rigorosamente.
Alerte os funcionários para avisarem sobre qualquer problema que identificarem nos aparelhos que estiverem utilizando. Para que eles não descuidem da segurança da informação, uma boa ideia é realizar palestras ou treinamentos de tempos em tempos, mostrando as melhorias já realizadas na área, os ataques que foram impedidos e como aprimorar ainda mais a segurança cibernética.
Concluindo
Lembre-se que quaisquer violações que venham a acontecer podem ser devastadoras para a organização. Como o controle deve ser constante para garantir a segurança cibernética da sua empresa, estabeleça uma rotina de verificação dos aparelhos e programas utilizados pelos colaboradores remotos.
Aprendemos que tudo pode mudar de uma hora para outra. Não sabemos o que o futuro reserva, mas para não ser pego de surpresa, prepare sua gestão de riscos para lidar com os problemas que possam surgir com o home office.
Para obter informações mais completas, leia o e-book: Adote a Gestão de Riscos na sua empresa – Fundamentos e Boas Práticas. Sobre o home office, leia também: Dicas para atenuar riscos legais no home office.
E se este artigo foi útil, compartilhe-o com seus colegas. Para mais conteúdo como este, e para ficar por dentro de boas práticas da gestão de negócios, visite o Glicando, o blog da Glic Fàs.
Créditos imagem principal: Unsplash por Mikey Harris.
Créditos imagem texto: Pixabay por Tumisu.