A adoção do home office pelas empresas como forma de garantir a continuidade de seus negócios em meio à pandemia foi um modelo eficiente e se revelou um caminho sem volta. Porém, a mudança ocorreu rapidamente e muitas organizações não tiveram tempo hábil de avaliar, de forma criteriosa, os riscos de segurança da informação envolvidos no trabalho fora das dependências corporativas.
Um dos primeiros passos é garantir a definição da infraestrutura de forma cuidadosa disponibilizando equipamentos corporativos, tais como filtros de tela, sistemas operacionais atualizados e programas antivírus, para os colaboradores que permanecerão remotos. Além disso, a empresa deve aplicar processos de mapeamento de ameaças e realizar testes de invasão na Rede Virtual Privada (VPN), permitindo o acesso aos sistemas internos da empresa somente via VPN ou Cloud (nuvem).
Outra dica é utilizar apenas dispositivos corporativos, evitando os equipamentos de uso pessoal, salvo em casos emergenciais ou necessários. Para ambas situações, devem ser providenciadas medidas como a criptografia dos discos de acordo com o padrão homologado pela área de segurança da informação e cada colaborador deve receber um identificador, com login e senha, exclusivo para acessar os sistemas de TI, sem contar as permissões para a execução das tarefas.
O terceiro ponto de atenção é a preocupação com o uso de redes Wi-Fi residenciais. Deve-se evitar o acesso a redes públicas e orientar aos colaboradores que, quando a conectividade não for necessária para a execução do trabalho, o ideal é desligar o Wi-Fi, Bluetooth ou qualquer outra conexão. Além disso, é preciso assegurar que o roteador não esteja mais configurado com a senha padrão do fabricante. E, no quesito acesso, é sempre importante reforçar a importância de possuir senhas complexas, além de redefini-las com frequência.
Por fim, é importante ter a consciência de que, com a previsão de continuidade do modelo de home office, seja ele flexível ou permanente, caso o colaborador não tenha condições técnicas mínimas de segurança da informação, a empresa deve fornecer a infraestrutura. Não sendo possível fornecer todas as condições, é importante orientar o colaborador no sentido de garantir as medidas de proteção.
Assegurar que as regras do trabalho remoto estejam definidas de forma clara na política de segurança da informação é uma condição exigida neste momento. Da mesma forma, elas devem ser previamente divulgadas para todos os colaboradores da empresa, mantendo o processo claro e transparente a todos, o que resultará em mais proteção para a organização.
Matheus Jacyntho é gerente sênior de Cyber Security e de privacidade de dados na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.