Segurança da informação no trabalho remoto – A nova realidade
O século XXI é o palco escolhido para a exibição de um enredo futurista. Antes mesmo da pandemia de Covid-19, que tem desafiado governos, autoridades de saúde e empresas, uma comparação com o século passado nos colocaria diante do dilema de estarmos vivendo num mundo completamente diferente. Pois essa mudança radical está no cerne dos desafios da Segurança da Informação (SI) no trabalho remoto.
De uma hora para outra, quem ainda relutava teve que sair da zona de conforto e encarar o desafio, ainda que de forma tardia.
As políticas de isolamento social deixaram como única alternativa para algumas empresas o trabalho remoto. Não que este já não fosse uma realidade num ambiente de negócios em que muitas empresas já são 100% digitais.
Há, ainda, outras empresas que já possuíam infraestrutura para habilitar acesso remoto em massa. Foi só uma questão de acionar a equipe de service desk para fazer ajustes nos acessos.
Em alguns casos, empresas que já adotavam o acesso remoto de algumas pessoas por meio de VPN precisaram realizar o upgrade do firewall para viabilizar a massificação dos acessos.
O grande porém é que não basta ter o manancial tecnológico, mas é preciso lidar com o choque cultural que impõe pesados processos de adaptação dos mecanismos de gestão, comunicação e controle.
O “Novo Normal” para a Segurança da Informação no Trabalho Remoto
A segurança da informação no trabalho remoto é mais um desafio imposto pela nova realidade. Empresas com políticas bem definidas e naturalizadas de SI terão maior facilidade de adaptá-las à nova condição. Ao mesmo tempo em que o rigor dessas políticas deve refletir a necessidade da maior ou menor confidencialidade dos dados.
Estarão melhor capacitadas para lidar com essa nova realidade as empresas cuja cultura esteja impregnada pelas metodologias ágeis de gestão de projetos. São capazes de estabelecer prioridades em desenvolvimento e prover mais rapidamente os pontos críticos dos processos existentes.
Quais são os Riscos do Trabalho Remoto para Segurança da Informação?
Os riscos existentes no trabalho remoto para a segurança da informação não diferem muito do modelo tradicional, em que os colaboradores compartilham o mesmo ambiente físico de trabalho.
A proteção dos dados estratégicos e dos dados de clientes está no centro dessas políticas. O que está em questão é a adoção dos procedimentos de segurança pelos colaboradores à distância.
Procedimentos esses que consistem na criação de barreiras de proteção, a começar pelos próprios dispositivos, e se estendem ao desenho dos acessos aos sistemas da empresa, passando pela criptografia nas camadas de transporte e no controle de acesso.
O monitoramento à distância do cumprimento desses procedimentos é mais difícil. Sendo assim, as empresas precisam encarar o desafio de educar esses colaboradores. O maior deles é, sem dúvida alguma, disseminar a conscientização de que é preciso separar o equipamento usado para o trabalho daquele utilizado para outras interações.
Proteção do Ambiente de Trabalho e Ambiente Pessoal
Infelizmente, ainda não está disseminado no Brasil o uso de soluções de MDM (Mobile Device Management), aplicadas a dispositivos móveis, que são capazes de separar o ambiente de trabalho do ambiente pessoal, protegendo as informações, monitorando e gerenciando esses dispositivos.
O que impõe, vale repetir, um trabalho de conscientização, sendo que uma das soluções, adotada por muitas empresas, é a migração do equipamento corporativo para o ambiente do home office.
São medidas que ajudariam a evitar o ataque de hackers às informações confidenciais e a prática de phishing, com roubo de identidade online e chaves de acesso. Risco que se torna mais grave na medida em que esses profissionais remotos lidem com dados confidenciais de clientes, como número de cartões de crédito, dados financeiros, bancários e até pessoais.
São, enfim, riscos que estão presentes mesmo no modelo tradicional de trabalho. Uma vez que os procedimentos de segurança estejam enraizados, não só nas ferramentas, mas no comportamento dos colaboradores, a transição para o home office, no quesito Segurança da Informação, também se tornaria menos dramática.
Qual o Caminho a Seguir?
Novas condições exigem novas práticas. O problema é que as empresas estão precisando se adaptar rapidamente. Quais delas tinham um plano para fazer a gestão de uma crise como essas?
É o que nos leva de volta à variável da cultura empresarial.
Muitos vão perguntar quais seriam as melhores soluções tecnológicas para o momento. No entanto, a resposta correta é que não há a melhor solução tecnológica, pois cada negócio tem suas peculiaridades.
Talvez seja esse o momento, apesar da crise, de fazermos o dever de casa, que consiste em mapear quais são nossas necessidades de segurança da informação. Quais são os dados mais sensíveis? Como fazer o controle de acesso aos módulos do sistema de TI de forma segura?
Se nós não temos um mapa claro de nossas necessidades, se não temos uma visão clara do problema, qualquer solução tende a ser precária, com o risco até mesmo de incorrermos em custos desnecessários e obtermos benefícios questionáveis.
Essa é uma questão que não está relacionada ao momento atual, mas à lógica gerencial em qualquer tempo e lugar. É preciso dimensionar o problema para então encontrarmos as soluções adequadas.
Mesmo assim, podemos relacionar algumas soluções simples que vêm sendo adotadas pelas empresas. Como, por exemplo, tornar obrigatório o uso de um antivírus.
Outra medida preventiva importante é a configuração do firewall para responder somente a determinados endereços IP, que possam ser acessados pela equipe de TI.
Outra forma de prevenir ciberataques é a utilização do duplo fator de autenticação aplicado a todos os dispositivos, garantindo mais uma camada de proteção aos dados.
O Problema da Comunicação
A comunicação empresarial é outro problema que habita os escritórios. Os protocolos e recomendações de segurança precisam ser comunicados de forma simples e ágil. Pessoas leigas não leem protocolos de segurança crivados de termos técnicos.
Elas entenderiam facilmente se fossem instruídas a não acessar sites de jogos e outros sites indevidos com o mesmo equipamento com que acessam os canais da empresa, porque isso colocaria em risco dados privados e até estratégicos.
Ao mesmo tempo, é preciso que essas instruções cheguem aos colaboradores que estão trabalhando em suas casas. O que nos leva de volta à questão do planejamento. Quem tem a cultura de fazer a comunicação interna com eficiência terá maior facilidade para adaptar as rotinas para o trabalho remoto.
Por outro lado, empresas com comunicação interna desestruturada precisarão aproveitar a oportunidade para mapear suas necessidades de comunicação dentro dessa nova realidade e criar mecanismos realmente eficazes para que as orientações sejam acessíveis e legíveis para os colaboradores leigos no assunto.
Aliás, uma ótima medida seria fazer um treinamento online com todos os colaboradores para capacitá-los em termos de SI, levantando temas como o risco de uso de dispositivos em espaços públicos e de se conectarem para trabalhar a partir de qualquer rede.
Um dos principais aspectos do home office é que passamos a ter colaboradores autogeridos. Para tal, é preciso que estejam também capacitados para lidar de forma responsável e consciente com as questões de segurança e produtividade.