O impacto mundial da pandemia do coronavírus demandou uma série de adaptações das empresas para garantir a saúde e a segurança de seus colaboradores, clientes e parceiros. Neste cenário de incertezas, o trabalho remoto tornou-se uma medida essencial para combater a rápida disseminação do vírus.
De acordo com recente pesquisa realizada pela consultoria Betania Tanure Associados (BTA), que ouviu 359 empresas brasileiras, quase metade das companhias adotaram o home office como medida preventiva à evolução do COVID- 19 no país.
No entanto, o trabalho remoto requer profunda atenção no que diz respeito à segurança de dados. Como podemos garanti-la efetivamente?
O home office, pontualmente para momentos de crise, pode criar circunstâncias de riscos diferentes das enfrentadas no cotidiano das empresas. Companhias que não possuem essa cultura tendem a se preocupar com uma segurança mais perimetral, pois mesmo que haja o consumo de serviços em nuvem ou em provedores externos, o ponto de partida dessas conexões costuma ser mais restrito.
Neste cenário, a proteção dos dispositivos (notebooks, smartphones) é essencial, já que esta é a primeira barreira de proteção. O fornecimento de acessos seguros aos sistemas da empresa, por exemplo, também é fundamental, pois impõe criptografia nas camadas de transporte e realiza o controle de acesso aos dados e sistemas.
Se considerarmos que um usuário preparado é capaz de se proteger de situações de risco onde os softwares de controle não conseguem atuar, nenhuma companhia deveria deixar de implementar programas de capacitação e conscientizar os colaboradores sobre os riscos de se conectarem a partir de qualquer rede, ou ainda sobre os cuidados com o uso destes dispositivos em espaços públicos.
Atualmente, existem várias atividades que demandam o deslocamento de informações em meio físico (papel) para que esses colaboradores possam trabalhar remotamente. Para esses casos, é necessária uma política clara com relação às regras de transporte do acervo, ou seja: quem pode retirar esses documentos da empresa e quais podem ser tramitados, além de um rigoroso controle quanto à estas movimentações.
Com relação às soluções em nuvem, as companhias que já adotaram este recurso no passado, têm sofrido menos com gargalos em função do número de conexões remotas. Uma das principais características da nuvem é prover uma infraestrutura elástica, capaz de se adaptar aos diferentes volumes de demanda.
Outro aspecto importante é que os principais provedores já implementam camadas de segurança em suas estruturas, auxiliando as empresas na proteção de dados. Desta forma, a mobilidade dos usuários, a simplificação do processo de gestão e a segurança das informações são os principais pontos positivos da adoção de soluções em cloud.
Segurança de dados no home office
Existem algumas medidas que as empresas podem tomar para garantir a segurança de dados no home office. A capacitação dos colaboradores para exercer as tarefas remotamente é o primeiro passo para minimizar os riscos de um episódio de segurança. Usuários com conhecimento dos perigos das redes públicas, das redes Wi-Fi fora das organizações e de boas práticas no uso dos e-mails, serão capazes de reconhecer e impedir situações de ameaça antes mesmo que elas ocorram.
Outro ponto crítico que deve ser levado em consideração é a segurança dos dispositivos. Mantê-los atualizados e com as soluções de segurança é essencial para impedir que softwares maliciosos tenham sucesso em um eventual episódio de ataque. Além disso, é importante que a empresa fique atenta a segurança dos meios de conexão, ou seja, no momento de fornecer aos colaboradores acessos seguros de conexão.
Existem diversas opções, como soluções de acesso privado, VPN’s, VDI’s, entre outros. Por isso, é essencial que as liberações de acesso sejam criteriosas, garantindo que cada colaborador tenha acesso apenas aos dados relevantes à execução de suas funções.
A restrita política de acesso, ou seja, o mapeamento de permissões aos sistemas e dados é uma atividade que deve ser constantemente revisada pelos departamentos dentro de cada companhia. Garantir que as informações estejam restritas apenas a quem deveria ter esse acesso, minimiza a quantidade de dados vazados em caso de incidente.
Por fim, é necessário estabelecer uma conexão direta com o cliente, já que em diversas atividades, os usuários conectam-se à infraestruturas e sistemas para o desenvolvimento de suas atividades. Nesses casos específicos, é recomendável que o cliente forneça esse acesso diretamente ao colaborador, reduzindo a quantidade de conexões desnecessárias e utilizando a infraestrutura de segurança do próprio cliente.
Segurança de dados: desafios do trabalho remoto
A falta de visibilidade do departamento de Tecnologia da Informação (TI) é o maior risco do trabalho remoto, em casos onde existe uma escassez de soluções de segurança. Dependendo das ferramentas disponíveis, a área de TI pode não ser capaz de identificar essa violação e o invasor ainda poderia utilizar a conexão deste equipamento com a empresa e, de forma indetectável, usar este canal seguro para estender essa invasão para a infraestrutura interna da companhia.
O maior desafio é que não existe uma receita pronta para a adoção do home office. Dentro da mesma instituição, departamentos diferentes respondem de maneira distinta a este modelo de trabalho, o que vai muito além de apenas desafios tecnológicos. O modelo de comunicação entre os membros do time, o uso de cada aplicação e a forma como cada departamento interage com os clientes impõe desafios específicos para esta modalidade de trabalho.
Em relação à LGPD, nada muda. A instituição continua sendo a responsável pela proteção das informações, e havendo um episódio que comprometa essas informações, seja ele decorrente ou não do trabalho remoto, será responsabilizada nos termos da lei.
Mas, cabe ressaltar que existem situações atenuantes e a implementação de um bom Programa de Proteção de Dados, que busque minimizar os riscos do teletrabalho no que tange à capacitação dos usuários, o controle dos processos e a implementação de sistemas de segurança poderá abrandar as possíveis sanções aplicadas, além de certamente reduzir os riscos de um episódio de vazamento ou comprometimento de dados sigilosos.
Fonte: Crypto ID