Segurança da Informação para Home Office
Com a pandemia de coronavírus muitas empresas foram obrigadas adotar o trabalho remoto de um dia para o outro. Por conta da emergência, tudo foi feito às pressas, sem planejamentos, metodologia ou mesmo treinamento para orientar as equipes. Por isso, preparamos algumas dicas de Segurança da Informação para Home Office.
A pandemia é um evento de proporções globais. Portanto, os cibercriminosos estão mais atentos e ativos do que nunca para invadir computadores vulneráveis e fisgar usuários desprotegidos. É preciso entender que, devido às circunstâncias excepcionais do momento, a possibilidade de sofrer sérios prejuízos com a ação de hackers e ladrões de dados é bastante real.
O que é Segurança da Informação?
Você deve ter reparado que nos últimos tempos surgem cada vez mais notícias sobre empresas vítimas de invasão de sistemas, vazamentos ou até mesmo sequestro de dados? As mídias vêm cumprindo um importante papel de conscientização para que as pessoas atentem para a importância de uma boa gestão da segurança de senhas, arquivos, logins e dados sensíveis, tanto pessoais quanto empresariais.
A Segurança da Informação trata de tudo o que envolve a proteção dos sistemas e dados de indivíduos ou empresas. Os níveis de segurança variam de acordo com a importância dos dados para a empresa ou pessoa. Esta valoração é feita de acordo com os prejuízos que estes dados poderiam causar caso fossem acessados, disponibilizados indevidamente ou até mesmo perdidos.
Empresas que têm dados roubados, vazados ou expostos sofrem graves dano à sua imagem. Além do prejuízo real causado pelo roubo dos dados em si, as empresas perdem a confiança de seus clientes e da opinião pública. Pode levar meses ou até mesmo anos para as empresas atingidas recuperarem-se do abalo sofrido.
E é justamente por isso que a Segurança da Informação é tão importante.
Os seis princípios básicos da Segurança da Informação
- Confidencialidade – garante que apenas pessoal autorizado tenha acesso aos dados e informações;
- Autenticidade – garante que os dados gerados em determinada fonte não sofram alterações nem mutações durante ou após um processo;
- Integridade – garante as características originais e inalteradas dos dados e informações armazenados;
- Conformidade – garante que o sistema siga os regulamentos, leis e normas para este tipo de processo;
- Disponibilidade – garante que usuários permitidos pelo proprietário dos dados e informações possam acessá-los sempre que necessário;
- Irretratabilidade – impossibilita a negação de autoria de transações realizadas anteriormente.
Os 3 níveis ou ambientes de Segurança da Informação
Além dos princípios básicos, a Segurança da Informação pode ainda ser subdividida em três níveis ou ambientes:
Nível ou Ambiente Físico
Refere-se ao local onde os computadores, servidores e demais equipamentos encontram-se fisicamente. Requer um planejamento de segurança e recuperação de desastres que envolve o Plano de Continuidade do Negócio, pois inclui previsão de cenários e proteção contra a ação de enchentes, incêndios, descargas elétricas, desabamentos, pandemias e outras catástrofes que podem afetar a estrutura física e o acesso aos equipamentos que contém os dados.
Nível ou Ambiente Lógico
Tem relação com os softwares responsáveis pelo armazenamento, emissão, recepção e criptografia de dados, além de senhas e mensagens. Mantendo os sistemas sempre atualizados e com a realização de backups periódicos, a empresa garante a segurança das informações. Além disso, evita ataques cibernéticos e até mesmo falhas humanas ou erros intencionais.
Nível ou Ambiente Humano
É talvez o principal foco da Segurança da Informação, e compreende todos os colaboradores que têm acesso aos dados e à infraestrutura da empresa. O fator humano é o que torna esta camada de segurança a mais complexa de todas. Afinal, engloba a forma como os usuários acessam e lidam com os dados. Aborda especialmente as brechas de segurança que atingem os colaboradores, como:
- Sites e E-mails Falsos para ludibriar usuários
- Ataques e Invasões de Hackers
- Engenharia Social e Coação Psicológica a fim de corromper usuários a fornecerem senhas ou permitirem acesso a equipamentos ou dados sensíveis.
A instrução sobre os principais riscos e o posterior treinamento dos colaboradores para o cumprimento das boas práticas de Segurança da Informação são decisivos. É necessário que haja um protocolo claro a ser seguido, e uma resposta imediata a ser dada assim que uma ameaça é detectada.
Afinal, casos como invasões cibernéticas, tentativas de roubo de dados ou até mesmo manipulação emocional ou coação psicológica para a obtenção de dados sensíveis da empresa são cada vez mais comuns.
Algumas práticas adotadas pelas empresas apresentam alto risco
Poucas dentre as Pequenas e Médias Empresas estavam preparadas para um evento da magnitude da pandemia do coronavírus CoViD-19. Trata-se de um segmento em que um Plano de Continuidade do Negócio não é um documento comum de ser encontrado. Logo, as previsões de cenários e práticas de resposta imediata não estão entre as práticas corriqueiras aplicadas ao negócio.
Por isso, algumas das ações emergenciais adotadas durante as quarentenas podem apresentar riscos à segurança, tanto dos dados quanto à integridade dos sistemas da empresa. No afã de manter a empresa operando, algumas das práticas muito adotadas apresentam alto risco. Aqui estão algumas delas:
Transporte de dados em pendrives, HDs externos ou notebooks
O transporte físico de dados sempre apresenta o risco de perda, roubo ou até mesmo avaria dos equipamentos. No caso específico dos pendrives, existem uma infinidade de softwares maliciosos projetados especialmente para invadir este tipo de dispositivo, contaminando todos os computadores aos quais o pendrive for conectado.
Os principais riscos são a invasão de servidores, além de roubo e vazamento de dados. Porém, há casos mais graves como sequestro remoto de sistemas inteiros via ransomware, com cobrança de resgate.
Além disso, os computadores e notebooks pessoais dos colaboradores correm o risco de já estarem infectados com softwares ou scripts maliciosos previamente instalados. Estes dispositivos podem ainda contar com sistemas operacionais desatualizados ou, pior ainda, irregulares ou piratas. Há ainda a possibilidade de que não haja nenhum antivírus confiável à disposição. E por fimos softwares padrão adotados pela empresa nos computadores do escritório da empresa provavelmente não estarão disponíveis.
Há também a questão de que dados armazenados fisicamente não contam com compartilhamento, nem gestão de acesso ou criptografia. Ou seja: qualquer pessoa pode pegar o pendrive, HD ou computador e acessar arquivos sensíveis da empresa, indiscriminadamente.
Além disso, as pessoas não poderão trabalhar em equipe utilizando os dados transportados fisicamente. Afinal, cada um terá a sua própria cópia local dos arquivos, mas eles haverá a possibilidade de colaborar online em tempo real. Isso pode gerar um grande descompasso na execução das atividades, ou até mesmo retrabalho.
Solução
Portanto, em casos como este, é sempre recomendável o uso de notebooks ou laptops da própria empresa. Estes equipamentos devem estar devidamente padronizados, com atualizações e criptografia em dia, e devidamente autorizados setor de TI para uso externo. A TI deve, ainda, providenciar as respectivas instruções e práticas internas de bom uso do equipamento, informando sobre o armazenamento e compartilhamento de arquivos na nuvem da empresa.
Adoção de Google Drive ou Microsoft OneDrive pessoal
A prática de armazenar arquivos da empresa junto aos dados pessoais dos colaboradores nunca é uma boa ideia. Pode ser uma solução emergencial de curtíssimo prazo mas deve, quando possível, deve ser evitada.
Quanto maior for a descentralização dos dados da empresa, maiores são os riscos de vazamento, roubo de dados ou até mesmo de mau uso ou alteração por má fé. Em um único momento de distração, o colaborador pode clicar em um link suspeito, e acabar inserindo suas informações de login em um site ou e-mail de phishing. E está feito o estrago: o colaborador perde o acesso à conta e a todos os dados que lá estavam armazenados. Estes dados podem ficar irrecuperáveis para sempre, inclusive.
Solução
Os dados sensíveis da empresa devem ser centralizados dentro de um servidor ou nuvem da própria organização. Este sistema deve contar com gestão segura de acessos, criptografia de dados e autenticação em dois fatores para garantir controle total. Assim, ficam registradas informações sobre quem acessa, quando acessa, em que dispositivo. Além disso, é mantido um registro nominal das alterações, adições ou supressões que foram feitas nos arquivos durante o acesso, indicando data, hora e histórico das alterações realizadas.
Uso do WhatsApp como ferramenta de comunicação empresarial
Logo após o decreto das quarentenas o WhatsApp tornou-se a principal ferramenta de comunicação entre líderes e equipes. Porém, apesar de ter revolucionado a comunicação entre pessoas, o WhatsApp não foi projetado para a comunicação corporativa.
O aplicativo do Facebook não oferece ferramentas cruciais como históricos centralizados de comunicação. Além disso, não conta com ambiente para reuniões de videoconferência para mais do que quatro pessoas, e não permite a gravação das reuniões para acessos posteriores.
Solução
Existem ferramentas específicas para a comunicação interna de empresas e equipes. O Microsoft Teams, liberado gratuitamente pela empresa de Redmond durante a pandemia, oferece históricos e salas de videoconferência para até 250 pessoas, é um ótimo exemplo. Como alternativa, o Slack é uma ferramenta bastante semelhante e também é gratuita.
12 Dicas de Segurança da Informação para Home Office
Agora, temos bem claro o que é a Segurança da Informação. Vimos também de forma básica alguns dos principais riscos encontrados durante o trabalho em Home Office. Então, chegou a hora das dicas! Estas boas práticas adaptam-se a qualquer negócio, e podem ser implementadas em empresas de qualquer tamanho.
1) Conscientização, Educação e Treinamento
O Ambiente Humano é o elo mais fraco da corrente da Segurança da Informação. Portanto, a Conscientização, Educação e Treinamento dos colaboradores quanto ao cumprimento das políticas de segurança da empresa são a mais importante ação de Segurança da Informação para Home Office.
2) Adote Políticas de Segurança da Informação na cultura organizacional
Para conscientizar, educar e treinar seus colaboradores, são necessárias políticas de segurança claras, bem documentadas e estabelecidas como norma geral para todos. Muitas das dicas aqui contidas podem integrar a sua Política de Segurança da Informação.
3) Nunca ignore as atualizações de segurança
Como o próprio nome já diz, as atualizações de segurança visam instalar as mais modernas ferramentas de proteção disponíveis. Sua instalação é obrigatória para todos os sistemas operacionais devidamente legalizados da empresa. Caso sua empresa conte com computadores utilizando sistemas operacionais irregulares ou sem o devido registro, consulte este post.
4) Mantenha softwares e drives sempre atualizados:
As brechas de segurança contidas em programas e drives de componentes desatualizados são a porta de entrada mais comum para hackers. Por isso, é necessário manter em dia a manutenção preventiva dos computadores que estão sendo utilizados em home office.
5) Adote autenticação de dois fatores sempre que possível
A autenticação em dois fatores exige, além do login e senha tradicionais, um código extra, geralmente enviado por e-mail ou SMS. Apesar de não ser um sistema infalível, a autenticação de dois fatores adiciona uma camada extra de segurança, exigindo que o potencial invasor tenha acesso ao telefone ou e-mail do colaborador. Esta prática simples é, muitas vezes, suficiente para inviabilizar invasões de contas ou de sistemas.
6) Proteja todos os dispositivos contra malwares
A Política de Segurança da Informação deve incluir a obrigatoriedade de manutenção preventiva e corretiva para todos os computadores utilizados, seja na empresa ou em home office. A utilização de softwares de proteção e remoção de malwares e outros softwares previnem a infecção por programas que podem danificar o sistema, além de roubar senhas e dados.
7) Todos precisam aprender a reconhecer ataques de phishing
Sites e e-mails de phishing são geralmente compartilhados por uma pessoa que conhecemos. A conta deste contato já foi infectada, e está disparando e-mails para todos com links maliciosos, sem saber. Por isso, sempre desconfie de promoções, descontos e benefícios que pareçam “bons demais para serem verdade”.
Além do cuidado com os e-mails, sempre confira o endereço do site na barra de endereços do navegador antes de inserir os dados de login e senha. É pelo endereço que a maioria dos sites de phishing são identificados, já que os layouts das páginas costumam ser cópias idênticas dos serviços que os criminosos querem que você acredite que está acessando.
8) Configure a segurança da rede utilizada nos Home Offices
As redes e modems da casa dos colaboradores foram configuradas somente na instalação na maioria das vezes. Por isso, podem contar com brechas de segurança, senhas padrão ou vulnerabilidades de acesso.
Contate o responsável pela TI da sua empresa e solicite ao Suporte Remoto que verifique as configurações das redes domésticas dos colaboradores a fim de ampliar a segurança das mesmas.
9) Faça backups regularmente
O backup de dados é uma das ações de segurança mais importantes que uma empresa pode realizar. Caso haja qualquer evento catastrófico, como roubo de dados ou até mesmo danos físicos a um servidor ou equipamento de armazenamento, os backups garantem a recuperação integral dos dados perdidos.
Além disso, em casos de sequestro de dados por ataques de ransomware, você recupera todos os seus arquivos sem precisar pagar resgate aos criminosos.
10) Faça uma boa gestão das senhas pessoais e empresariais
Existem diversas boas práticas a serem seguidas em relação às senhas. Uma boa dica é padronizar um software de gestão de senhas em nuvem em sua empresa. Estes softwares são altamente confiáveis por conta da robustez de seus sistemas de criptografia. Temos um post específico sobre gestão de senhas pessoais e empresariais, e os principais softwares do mercado. Clique aqui para acessá-lo.
11) Conte com um parceiro sólido para a Gestão de TI da sua empresa:
Muitos dos desafios que surgem durante a adoção da operação em home office sem uma metodologia de implementação podem ser facilmente resolvidos. Basta uma consultoria e planejamento de TI realizado por empresas especializadas em Transformação Digital e Gestão de TI, como a Rastek Soluções.
12) Acompanhe as notícias e novidades sobre crimes cibernéticos
Hackers são engenhosos, e costumam pegar especialistas em Segurança da Informação de supresa. Estes criminosos são especialistas em encontrar vulnerabilidades e brechas inesperadas. Portanto, outra dica valiosa é manter-se atento às notícias da área, para poder solicitar as mais modernas ferramentas de segurança junto ao seu setor ou empresa responsável pela TI da sua empresa.
E-book gratuito “Guia Prático de Proteção de Dados e Segurança da Informação”
A fim de facilitar a disseminação das informações sobre Segurança da Informação para Home Office, desenvolvemos também um e-book que pode ser compartilhado com os colaboradores da sua empresa. Assim, você pode inserir as melhores práticas de segurança da informação à cultura organizacional, capacitando suas equipes e reduzindo os riscos de prejuízos. Para fazer o download do e-book, basta clicar na imagem abaixo e seguir as instruções da página.
Faça uma Avaliação Gratuita da TI da sua Empresa
Caso você esteja em dúvida quanto às práticas adotadas pela sua empresa até o momento, podemos fazer uma análise da sua estrutura de TI totalmente sem compromisso. Nos comprometemos a fornecer insights valiosos para ajudar o seu negócio a alcançar os mais altos padrões de produtividade e segurança, seja na sede da empresa quanto operando em Home Office ou Escritório em Nuvem.
Preencha o formulário abaixo para iniciar a sua Avaliação Gratuita da TI da sua Empresa agora mesmo:
Deixe um comentário