Desde de 2020, o mundo luta contra um inimigo invisível: o Covid-19. Com o distanciamento social sendo uma das principais formas de evitar a contaminação do vírus, a casa de muitos trabalhadores se tornou seus escritórios. Porém, como ficou a segurança das informações corporativas durante o home office? 

Neste conteúdo, apresentaremos o cenário atual do home office no Brasil. Quais são os principais desafios, que as empresas enfrentam, para manter a segurança de dados e como solucioná-los. Confira! 

O trabalho em home office foi a estratégia adotada por 46% das empresas brasileiras durante a pandemia, segundo o estudo elaborado pela Fundação Instituto de Administração (FIA), que coletou, em abril de 2020, dados de 139 pequenas, médias e grandes empresas que atuam no Brasil.

Em paralelo a isso, tivemos um aumento de 47% no número de empresas vítimas de vazamentos de credenciais e informações confidenciais, desde março de 2020, mostrou um estudo da PSafe. 

Além disso, um levantamento da Kaspersky revela que os ataques de força bruta (Brute Force Attacks) direcionados ao “Remote Desktop Protocol (RDP)” – uma das ferramentas de acesso remoto mais populares para postos de trabalho ou servidores – passaram de uma média diária de 402 mil em fevereiro de 2020 para mais de 1,7 milhões em abril de 2020, um crescimento de 333% em dois meses.

Um dos principais motivos desses ataques é que muitas empresas não estavam preparadas para atender às demandas de segurança que o home office exige. No Brasil não tínhamos a cultura do home office antes da pandemia. Por isso, pouquíssimas empresas pensaram em estratégias para combater os ataques cibernéticos. 

Quais são esses erros de segurança que ocorrem durante o home office e como solucioná-los? Veja abaixo alguns desses pontos.  

1 – Utilizar apenas senhas para proteger as informações da empresa

Quando falamos de senhas, pensamos que quanto mais difícil ela for, mais seguro o sistema está, porém, isso é um erro! Para ajudar na memorização, as pessoas tendem a incluir senhas fáceis ou dados pessoais. Dados que já não são mais pessoais, pois temos uma enorme quantidade de dados vazados nestes últimos tempos.

Em paralelo a isso, apenas com um cofre de senha, que realiza a geração e armazenamento automático, não é suficiente para proteger as informações.

Somente senhas já não é considerado um mecanismo seguro, mesmo que sejam criadas de forma aleatória, ainda mais com o home office, onde a empresa já não tem total controle sobre alguns aspectos de segurança como, por exemplo, o hábito dos colaboradores em anotar senhas em post-it, comportamentos como este pode colocar tudo a perder.

Sendo assim, o ideal é sempre utilizar um segundo fator de autenticação aos colaboradores, como o Google Authenticator, por exemplo, que inclui uma segunda barreira de segurança, mas é importante não perder a usabilidade do usuário. Como assim? 

O sistema precisa ser inteligente para identificar quando é necessário o segundo fator de autenticação. Assim, os colaboradores que vão utilizar o recurso, não serão afetados de forma negativa, causando o abandono da prática de segurança.

Além do multi-fator, é extremamente importante ter uma estratégia de avaliação de risco contínua e de biometria para verificar se o indivíduo é o colaborador legítimo da empresa e não um fraudador.

2 – Adotar sistemas de segurança muito complexos 

Conveniência versus controle: eterno dilema! Excesso de controles gera inconveniência, resultando em abandono.

Com isso, esse é um fator crítico para pensarmos, pois, geralmente, a segurança é complexa e afeta os colaboradores de forma negativa. Sistemas e ferramentas que são difíceis de manusear, acabam fazendo com que o colaborador busque meios mais fáceis para realizar as tarefas do seu dia a dia, ou seja, formas de fugir e até burlar barreiras impostas pela área de segurança da empresa. 

Algumas práticas comuns são anotar senhas em bloco de notas pela dificuldade de armazenamento em um cofre de senhas e/ou salvar arquivos na máquina, pois o sistema de arquivos escolhido pela empresa é muito complexo. Porém, ao contornar as políticas de segurança definidas pela empresa, o colaborador corre o risco de vazar informações confidenciais sem perceber.  

Por isso, é importante que a empresa, ao adotar sistemas e ferramentas, pense na usabilidade e experiência do seu colaborador. Além disso, é fundamental ter políticas de segurança bem estabelecidas, incluindo o incentivo e a educação  dos colaboradores sobre a importância de seguir os métodos de segurança. 

3 – Utilizar sistemas de backup e recuperação inadequados

A rotina dos colaboradores, durante o home office, mudou muito. Não há mais um local fixo para se trabalhar e nem um dispositivo fixo. Dependendo da profissão da pessoa, é possível acessar sistemas da empresa, até mesmo pelo smartphone. Isso dificulta a implementação de opções de backup e recuperação adequadas. Então, o que fazer se, de maneira acidental, o colaborador perder os dados? 

Existem muitas maneiras de resolver esse problema, e garantir o backup e a recuperação completa dos dados de forma segura e eficiente. Os colaboradores podem ter um backup local em seus dispositivos ou a empresa pode adotar um programa centralizado de backup e recuperação de dados para todos os dispositivos remotos que transportam dados da empresa. Outra opção é o backup em nuvem, que é o mais utilizado no momento. 

4 – O colaborador realizar práticas inadequadas

O maior risco do trabalho remoto é o próprio colaborador. As pessoas tendem a ter práticas inadequadas, mesmo que sem perceber, como anotar senhas, oque fora do escritório é ainda mais difícil de ter controle. Assim como, compartilhar os dispositivos de trabalho (notebook e celular) com outros membros da família, apenas para acessar alguma rede social e baixar algum material. E, também tende a usar os dispositivos pessoais para trabalhar ou acessar uma rede pública no dispositivo corporativo. 

Por isso as organizações que adotarem o home office e visualizarem os cenários acima,  precisam ter a ciência que tais situações podem ocorrer , por isso, o ideal é trabalhar em práticas de segurança digital, que minimizem esses riscos de maneira transparente para os colaboradores como:

  • Monitoramento abrangente, contínuo e em tempo real de ameaças e atividades suspeitas nos dispositivos;
  • Avaliação de conformidade e riscos dos dispositivos; 
  • Cofre de senhas e segundo fator de autenticação, que permite aos colaboradores um acesso rápido, simples e seguro;
  • Soluções de monitoração e prevenção de vazamento de dados.

5 – Ignorar sinais de ameaças e ataques

Com o trabalho remoto, o perímetro que antes ficava restrito, por exemplo, ao escritório central e suas filiais, sofreu modificações, já parou para pensar que cada home office do colaborador virou uma filial?  

Essa pulverização trouxe ainda mais complexidade de gestão para os times de TI e segurança, por isso, dada a essas dificuldades, algumas ameaças podem passar despercebidas.

É importante que as organizações monitorem e identifiquem ameaças, sempre atuando  nas remediações, adotando estratégias automatizadas como o SECOPS.

6 – Não ter controle de identidades e acessos

Um jargão famoso nos últimos anos é: “a identidade é o novo perímetro”. Logo, como garantir que as informações não serão acessadas por alguém que não deveria? Esse é um dos grandes desafios das empresas, antes mesmo da pandemia.

O gerenciamento de identidades e acesso é ainda mais importante agora do que nunca. Assim, além de garantir que os funcionários terão os acessos corretos, a empresa garante que nenhum terceiro terá acesso a informações sensíveis.

A seguir alguns desafios que uma plataforma de Gestão de Identidades e Acesso (IAM/IAG), se propõe a resolver:

  • Gestão do Ciclo de Vida das Identidades: Durante todo o ciclo de vida de um colaborador, ele passa por alguns processos, bastantes conhecidos, como: Admissão, Mudança de Vínculo (mudança de estagiário para funcionário por exemplo). Um ponto importante é garantir que os colaboradores tenham todos os seus devidos acesso durante o processo de admissão, assim como, tenham os seus acessos excluídos e a respectiva identidade bloqueada, no processo de desligamento, evitando assim, acessos indevidos, evitando assim, riscos de acessos indevidos e vazamentos de dados;
  • Mudanças regulares de funções: É normal no ciclo de vida de um colaborador, ser promovido, mudar de de área, neste contexto as suas permissões de acesso a determinadas aplicações devem acompanhar essa mudança com o objectivo de garantir o princípio que um colaborador apenas deve ter acesso à informação necessária para o exercício da sua função e não acumular informações desnecessárias;
  • Inteligência Artificial: A inteligência artificial é um excelente mecanismo para identificar possíveis ameaças, escalar e proteger automaticamente os controles de acesso.

7 – Não possuir acesso seguro para os colaboradores 

Um dos mecanismos mais comuns para acesso remoto é a VPN (Virtual Private Network) ou Rede Privada Virtual, tratando-se de uma conexão que permite o acesso remoto aos sistemas internos de uma organização.

Com o trabalho home office, muitas empresas precisam adotar sistemas de VPN para garantir a segurança dos dados, mas se a empresa já tinha um sistema de VPN é possível que o mesmo não esteja preparado para que toda a empresa trabalhe remotamente. 

Costuma-se dizer que a VPN é um tapete vermelho, não só para o colaborador, mas para uma pessoa mal intencionada também, por isso, alguns cuidados precisam  ser considerados nessa estruturação da VPN, como: 

  • Utilizar controles que avaliam o risco de ameaças do dispositivo que está tentando se adentrar na VPN, e que bloqueiem dispositivos comprometidos;
  • Multifator deve ser um ítem obrigatório;
  • Garantir que os colaboradores não tenham acesso direto a segmentos de redes produtivas.

8 – Se esquecer da privacidade de dados 

Ao avaliar as opções de sistemas para a atuação em regime home office, muitas empresas não consideram a privacidade dos dados. O que isso significa? Que ao pensar em privacidade, o provedor utilizado não irá monetizar ou vender seus dados e que a empresa sabe quais dados tem e onde estão

Quando falamos dos dados, estamos mencionando os de colaboradores, clientes, parceiros e etc. Sendo assim, cada organização precisa saber se as partes interessadas se sentem confortáveis ​​em saber que seus dados podem ser compartilhados ou analisados ​​por terceiros. 

Mesmo com todos os novos desafios de segurança, o regime home office está sendo adotado por muitas empresas e está tendo resultados positivos. O Gartner relatou que 82% das companhias planejam permitir pelo menos o trabalho remoto, em meio período, mesmo após o fim da pandemia de COVID-19. 

Os desafios da segurança no home office são grandes, mas com a utilização das ferramentas certas e políticas de segurança bem estabelecidas será mais simples manter a empresa funcionando em regime remoto, afinal, essa é uma das melhores formas de evitar a contaminação no Covid-19 e zelar pela saúde dos colaboradores.