Notícias

glenn-carstens-peters-npxxwgq33zq-unsplash.jpg

Cibersegurança em contexto de trabalho remoto

A pandemia acelerou exponencialmente a adoção do trabalho remoto, por forma a permitir que as organizações se mantivessem “vivas” embora tendo de adaptar-se rapidamente a novos métodos de trabalho e de comunicação. O trabalho remoto veio demonstrar a agilidade e a capacidade de adaptação tanto dos colaboradores como das organizações.

No entanto, foi também visível que a “superfície de ataque” foi bastante aumentada e traduziu-se num substancial incremento do número de ciberataques de variados tipos.

Embora “100% seguro” em cibersegurança seja um conceito inexistente, há medidas tanto do lado da organização como do lado do colaborador que podem e devem ser tomadas de forma a minimizar o risco. 

 O teletrabalho consubstanciou-se em grande parte dos casos, na utilização de equipamentos, fornecidos pela organização ou propriedade do colaborador, para acesso aos sistemas de informação da organização de forma a manter o acesso às ferramentas que permitem o adequado desempenho das funções do colaborador.

De uma forma simplista poder-se-ia dizer que estendemos a infraestrutura de Tecnologias de Informação até à casa dos colaboradores. E se este é o nosso entendimento, é fácil admitirmos que estes equipamentos, embora fora das instalações da organização, devem ter o mesmo nível de proteção que está disponível dentro dessas mesmas instalações. Tão importante como os “equipamentos remotos” estarem seguros é que a comunicação destes equipamentos com os recursos de TI/SI da organização se faça de forma segura e controlada.   

Poderíamos agora falar da importância da defesa de perímetro, e de como pode ser estendida ao equipamento do colaborador que está em casa; do estabelecimento de um  canal de comunicação seguro entre o equipamento e a infraestrutura da organização; da importância de aplicar de forma automatizada as políticas de defesa de endpoint dentro e fora da organização; do diferenciador que é poder saber se determinado equipamento se pode ou não ligar à rede de dados da organização e automaticamente impedir a ligação ou isolar o equipamento se necessário; do relevante que é utilizar camadas de autenticação de duplo fator; do crucial que é garantir a correta gestão de identidades e acessos  ou de como pode ser crucial ter a capacidade de realização de backups a estes equipamentos e da sua consequente inclusão nas politicas de backup da organização.

Claramente, com o aumento do número de ataques de phishing e spam, poderíamos falar do real interesse de mecanismos de URL Filtering, Anti-SPAM e outros. 

Podemos, também, falar do benefício da encriptação da informação nos equipamentos remotos, para inviabilizar a utilização da informação em caso de roubo ou extravio dos equipamentos, ou do conforto adicional dado por uma ferramenta que permita a formatação do disco dos equipamentos extraviados caso seja conseguido um acesso à internet por esses equipamentos.

Depois, podemos pensar em mecanismos que possam conduzir a tramitação de documentos digitais dentro da organização, ou de dentro para fora, baseados em critérios de classificação dos documentos e eventualmente até com a possibilidade de encriptar os documentos de forma a que os respetivos conteúdos possam ser acedidos só por quem realmente deva ter acesso à informação. Desta forma poderemos evitar que inadvertidamente um colaborador possa tornar disponível um conteúdo a quem não lhe deveria ter acesso.

Provavelmente pensámos em reforçar da nossa equipa de helpdesk, seja para resolver pequenas “tecnicalidades” resultantes da mudança tecnológica, seja para dar resposta atempada aos colaboradores de forma a sentirem-se devidamente acompanhados nesta nova forma de exercer as suas funções.

É claro que uma boa parte de tudo o que foi anteriormente dito cai no âmbito da organização.

E do lado do colaborador?

Para se ligar à empresa, provavelmente, o colaborador utilizará a rede doméstica. Deverá ser preocupação do colaborador, até pela utilização pessoal que dela faz, que a rede doméstica, quase sempre wireless, esteja adequadamente protegida através de um protocolo WPA, WPA-2, WPA-PSK ou outro. Dependendo do tipo de equipamento utilizado pelo colaborador e deste ser ou não propriedade da organização, medidas deverão ser tomadas para que a utilização desse equipamento ser feita de forma tão segura quanto possível.

Até aqui falámos de aspetos fortemente ligados à tecnologia. Há um fator essencial na criação da cultura de segurança da organização que é o fator HUMANO. Este fator é tão válido para trabalho remoto como para trabalho on-site e mesmo para a postura que os colaboradores venham a adotar como ciber-cidadãos.

Será que, enquanto organização, formamos e informamos os colaboradores que têm acesso aos Sistemas de Informação da organização?

  • Temos um plano de formação que preveja ações de refrescamento de conhecimentos e refrescamento dos conteúdos e canais para sua divulgação?
  • Estão os colaboradores aptos a fazer uso adequado dos sistemas e das permissões que lhes foram atribuídas?
  • Será que estão suficientemente informados dos riscos associados à utilização incorreta dos dados e sistemas a que têm acesso?
  • Têm já um grau de maturidade que lhes permita manterem uma postura adequada no que respeita aos critérios de segurança que devem adotar no exercício das suas funções?
  • Foram divulgadas as políticas de “utilização aceitável” dos recursos da organização e, tendo sido, contemplam a utilização em trabalho remoto?
  • Informamos os utilizadores dos comportamentos de risco a evitar e dos cuidados a ter quando trabalham em modo remoto?
  • Quando são utilizadas infraestruturas dos colaboradores (ex: acesso internet, laptop pessoal, …) informamos como tornar o uso desses meios mais seguros?

É cada vez mais importante que estejam disponíveis os mecanismos necessários à correta securização dos ativos das organizações, mecanismos pró-ativos de prevenção e gestão de risco e mecanismos de resposta a incidentes de segurança.

Não podemos nem nos devemos esquecer que a formação dos utilizadores e a criação de uma adequada cultura de segurança na organização, pois são a primeira linha de defesa contra muitos dos ataques a que as organizações possam estar sujeitas.

Partilhar: