CORONAVIRUS E O TELETRABALHO
- As empresas estão preparadas para o Teletrabalho?
Se lidar com a segurança
interna de uma organização já é bastante difícil como será com uma força de
trabalho remota. As demandas de segurança podem tornar-se mais difíceis obrigado
as equipas a adaptarem-se de noite para dia em casos destes.
E nestes casos de
trabalho a partir de casa surgem os desafios de segurança envolvendo os
colaboradores remotos, a garantia que a sua empresa permaneça forte e protegida
contra as ameaças cibernéticas levando em consideração o período ainda não conhecido
de prevalência da pandemia.
Grandes empresas
já possuem praticas de trabalho remoto, possuem infra-estruturas apropriadas e
sistemas de apoio para o efeito com vista a diminuição do time-to-market de seus serviços e produtos manter a resiliência e enfrentar
a concorrência. Mas por outro lado, empresas emergentes, pequenas e médias não tiveram
o tempo necessário para a prática desta modalidade nem a criação de politicas
adequadas a situação actual imposta pelo COVID-19. Possuem sim, aplicações de
negócio com fracos mecanismos de autenticação e meios de comunicação e ou
transporte de dados ou informação não encriptados.
Estes aspectos
facilitam as equipas de TI na produção de lacunas de segurança nas redes e aplicações
da corporação até mesmo nas politicas de segurança na tentativa imediata de
proporcionar um ambiente remoto de trabalho expondo a organização a
determinados riscos dos quais se sumariza a seguir.
As pessoas são pouco
cuidadosas e não acatam na integra as precauções de segurança, habituadas a
trabalhar num ambiente protegido em seus escritórios com a presença de técnicos
de suporte em redor que per si só já é um risco.
Por outro lado, o trabalho remoto aumenta a superfícies
de ataque, portanto, as vulnerabilidades que possam ser usadas para proferir um
acesso indevido.
O uso de dispositivos
móveis, laptops para executar o trabalho a partir de casa pode facilitar
ataques do género do ransomware e
outros, devido a lacuna de segurança que pode estar na origem do dispositivo
usado para o acesso remoto que provavelmente não foi supervisionado pela equipa
de segurança de TI.
Ainda que para
tal, se tenha introduzido mais um layer de segurança através de VPN, esta pode
levar a falhas de segurança ainda assim, através do uso de outros dispositivos
de forma inadvertida com acesso a plataforma de TI da Empresa.
Por outro lado, os
hackers podem vêr esta situação actual
como uma oportunidade para efectuarem ataques e testar as fraquezas das
empresas. No entanto, as equipas de TI e os responsáveis pela segurança devem
se precaver também dos ataques internos, insiders.
Do ponto de
vista de negocio, o incremento de restrições para acomodar o trabalho a partir
de casa colocando regras para a eliminação de determinadas actividades, responsabilidades
e ou acessos indevidos pode tornar menos produtivo a organização.
Com a
circunstancia actual induzida pelo vírus COVID-19, algumas organizações apercebem-se
das falhas de segurança, tais como desconhecimento do conceito Trabalho Remoto, falta de políticas de segurança
para o trabalho remoto, a inexistência de Role-Based
Access (RBAC) em toda a organização, de soluções de monitoria e registo de logs e até de protecção de terminais de
acesso e de gestão de dispositivos móveis.
Outro risco é não
forçar o uso de 2FA para a validação
dos privilégios de acesso induzindo a uma fraca segurança, permitindo o uso de
dispositivos sem conformidade e de acesso a dados não autorizados.
Dadas as
circunstancias as empresas devem se precaver através de uso de dispositivos
seguros, adoptar mecanismos de trabalho remoto seguros, uso de criptográfica e autenticação
através de credências corporativas e de múltiplos factores de autenticação.
Esta realidade apanha de surpresa varias instituições emergentes.
No caso em que
esteja a fazer uso de maquinas pessoais (laptops,
tablets, etc) o acesso devera ser
limitado as informações específicas e a determinadas aplicações. Por outro lado, isto pode ser resolvido adquirindo laptops de baixo custo e desempenho razoavel, apenas para os funcionários imprescindíveis que devem aceder
remotamente ao escritório.
Implementar uma
plataforma de gestão de identidade que permita tomar decisões sobre o acesso a
dados confidenciais, avaliar o contexto da solicitação e o nível de garantia de
que o acesso esta a ser efectuado através de um dispositivo em compliance e devidamente autorizado.
Esta medida pode incrementar a segurança no trabalho remoto.
Desenvolver um
plano ou política de segurança que inclui o trabalho remoto e comunicar continuamente
em toda a organização, levando em consideração aspectos relacionados com:
- Padrões de software usados nos dispositivos para execução do trabalho remoto;
- Políticas e procedimentos para manter os dados seguros;
- Processos de encaminhamento e ou escalonamento de problemas quando estes surgem;
- Actualizar e consciencializar a necessidade de segurança cibernética e participar em treinamentos.
Verificar se os
dispositivos estão actualizados com o software mais recentes e este autorizado e que
os mesmos sejam geridos centralmente. Incluir o recurso anti-fishing.
Todo o acesso
remoto para o teletrabalho deve ser efectuado através de VPN, que garante mais
um layer de segurança no caso de
fazer uso da rede publica Internet.
Ainda nesta
tentativa de sumarização de questões de segurança no teletrabalho, ficam ainda
algumas outras por responder:
- Sabe como trabalhar a partir de casa?
- Como irá lidar com as distracções e obrigações de casa?
- Tem o dispositivo adequado para o teletrabalho?
- Que ferramentas de colaboração são adequadas com vista a garantir seus entregáveis com qualidade? Quais sao os indicadores chaves?
- A organização possui alguma política relacionada com Trabalho a partir de casa?
- Qual o seu papel na organização? O Seu trabalho é baseado em entregáveis?
- A organização tem como controlar a produtividade? Que métricas usa?
- Quanto irá custar o teletrabalho para ambas as partes?
- Quais os recursos imprescindíveis para trabalhar de casa?
Mais seguro ainda seria migrar para uma plataforma de Cloud.