A pandemia acelerou exponencialmente a adoção do trabalho remoto, por forma a permitir que as organizações se mantivessem “vivas” embora tendo de adaptar-se rapidamente a novos métodos de trabalho e de comunicação.
O trabalho remoto veio demonstrar a agilidade e a capacidade de adaptação tanto dos colaboradores como das organizações.
No entanto, foi também visível que a “superfície de ataque” foi bastante aumentada e traduziu-se num substancial incremento do número de ciberataques de variados tipos.
Embora “100% seguro” em cibersegurança seja um conceito inexistente, há medidas tanto do lado da organização como do lado do colaborador que podem e devem ser tomadas de forma a minimizar o risco.
O teletrabalho consubstanciou-se em grande parte dos casos, na utilização de equipamentos, fornecidos pela organização ou propriedade do colaborador, para acesso aos sistemas de informação da organização de forma a manter o acesso às ferramentas que permitem o adequado desempenho das funções do colaborador.
De uma forma simplista poder-se-ia dizer que estendemos a infraestrutura de Tecnologias de Informação até à casa dos colaboradores. E se este é o nosso entendimento, é fácil admitirmos que estes equipamentos, embora fora das instalações da organização, devem ter o mesmo nível de proteção que está disponível dentro dessas mesmas instalações. Tão importante como os “equipamentos remotos” estarem seguros é que a comunicação destes equipamentos com os recursos de TI/SI da organização se faça de forma segura e controlada.
Poderíamos agora falar da importância da defesa de perímetro, e de como pode ser estendida ao equipamento do colaborador que está em casa; do estabelecimento de um canal de comunicação seguro entre o equipamento e a infraestrutura da organização; da importância de aplicar de forma automatizada as políticas de defesa de endpoint dentro e fora da organização; do diferenciador que é poder saber se determinado equipamento se pode ou não ligar à rede de dados da organização e automaticamente impedir a ligação ou isolar o equipamento se necessário; do relevante que é utilizar camadas de autenticação de duplo fator; do crucial que é garantir a correta gestão de identidades e acessos ou de como pode ser crucial ter a capacidade de realização de backups a estes equipamentos e da sua consequente inclusão nas politicas de backup da organização.
Claramente, com o aumento do número de ataques de phishing e spam, poderíamos falar do real interesse de mecanismos de URL Filtering, Anti-SPAM e outros.
Podemos, também, falar do benefício da encriptação da informação nos equipamentos remotos, para inviabilizar a utilização da informação em caso de roubo ou extravio dos equipamentos, ou do conforto adicional dado por uma ferramenta que permita a formatação do disco dos equipamentos extraviados caso seja conseguido um acesso à internet por esses equipamentos.
Depois, podemos pensar em mecanismos que possam conduzir a tramitação de documentos digitais dentro da organização, ou de dentro para fora, baseados em critérios de classificação dos documentos e eventualmente até com a possibilidade de encriptar os documentos de forma a que os respetivos conteúdos possam ser acedidos só por quem realmente deva ter acesso à informação. Desta forma poderemos evitar que inadvertidamente um colaborador possa tornar disponível um conteúdo a quem não lhe deveria ter acesso.
Provavelmente pensámos em reforçar da nossa equipa de helpdesk, seja para resolver pequenas “tecnicalidades” resultantes da mudança tecnológica, seja para dar resposta atempada aos colaboradores de forma a sentirem-se devidamente acompanhados nesta nova forma de exercer as suas funções.
É claro que uma boa parte de tudo o que foi anteriormente dito cai no âmbito da organização.
E do lado do colaborador?
Para se ligar à empresa, provavelmente, o colaborador utilizará a rede doméstica. Deverá ser preocupação do colaborador, até pela utilização pessoal que dela faz, que a rede doméstica, quase sempre wireless, esteja adequadamente protegida através de um protocolo WPA, WPA-2, WPA-PSK ou outro. Dependendo do tipo de equipamento utilizado pelo colaborador e deste ser ou não propriedade da organização, medidas deverão ser tomadas para que a utilização desse equipamento ser feita de forma tão segura quanto possível.
Até aqui falámos de aspetos fortemente ligados à tecnologia. Há um fator essencial na criação da cultura de segurança da organização que é o fator HUMANO. Este fator é tão válido para trabalho remoto como para trabalho on-site e mesmo para a postura que os colaboradores venham a adotar como ciber-cidadãos.
Será que, enquanto organização, formamos e informamos os colaboradores que têm acesso aos Sistemas de Informação da organização?
É cada vez mais importante que estejam disponíveis os mecanismos necessários à correta securização dos ativos das organizações, mecanismos pró-ativos de prevenção e gestão de risco e mecanismos de resposta a incidentes de segurança.
Não podemos nem nos devemos esquecer que a formação dos utilizadores e a criação de uma adequada cultura de segurança na organização, pois são a primeira linha de defesa contra muitos dos ataques a que as organizações possam estar sujeitas.