Home Office e a segurança dos dados da empresa

Firewall: Conceitos e importância
maio 16, 2020
Auditoria de Licenças Microsoft
janeiro 23, 2021
Ver tudo

Home Office e a segurança dos dados da empresa

 

 

O que é Home Office?

 

Home Office é tornar um pequeno espaço de casa em escritório para que o funcionário possa continuar executando suas atividades que faz na empresa.

Para executar a maior parte das atividades basicamente é necessário um computador (PC ou Notebook) internet, programas necessários e acessos (e-mail da empresa, sistema ou arquivos).

O surgimento da pandemia do COVID-19 tendo como consequência o isolamento social, alavancou o trabalho em home office para que os funcionários continuassem suas atividades do trabalho e mantivessem isolados em segurança.

Partindo deste princípio, as empresas que não tinham esse hábito de trabalho, precisaram se reinventar a curto prazo para manter a continuidade do negócio. Muitas tiveram que adaptar sua infraestrutura de tecnologia da informação (T.I.) para garantir os acessos primordiais para seus funcionários.

Visando essa disponibilidade rápida dos acessos, é comum ver algumas empresas não levando em consideração o fator Segurança, onde isto pode acarretar na exposição de vulnerabilidades e colocar própria empresa em risco.

 

Medidas de segurança a serem adotadas

 

Apontaremos aqui algumas dicas de segurança que todas as empresas devem levar em consideração, mas devido à variedade dos cenários de TI, é possível que algumas dicas não se apliquem ou que todos os aspectos sejam aqui mencionados, devendo sempre que a empresa conte com um profissional de TI capacitado ou uma empresa de consultoria de TI.

Um dos principais acessos necessários é o e-mail corporativo, para isso, geralmente existem dois cenários:

  1. O serviço de e-mail estar hospedado internamente na estrutura da empresa. Neste cenário, alguns cuidados a serem tomados são:
  • Garantir o acesso seguro na comunicação do cliente de e-mail (por exemplo: Outlook, Thunderbird, outros) utilizando portas seguras 587 ou 463;
  • Empregar o uso de criptografia na comunicação de envio e recebimento de e-mails;
  • Orientar os funcionários a utilizarem senhas fortes em suas contas de e-mail;
  • Configurações de segurança adicionais no DNS, utilizando SPF, DMARC e DKIM;
  • Uso de ferramentas de anti-spam para tratamento de spam, phishing e outras ameaças;

 

  1. O serviço de e-mail estar hospedado em um provedor, deve-se então levar em consideração:
  • Consultar ou solicitar o seu provedor de hospedagem o uso do e-mail seguro SSL, TLS, portas seguras;
  • Uso de criptografia na comunicação de envio e recebimento de e-mails;
  • Também é válida a orientação aos funcionários quanto a utilização de senhas fortes das contas de e-mail;
  • Uso de ferramentas de anti-spam (geralmente cedidas e configuradas pelo provedor no plano de hospedagem contratado) para tratamento de spam, phishing e outras ameaças;
  • Conscientização dos funcionários quanto a não acreditarem em e-mails falsos, phishing ou clicarem em links de e-mails suspeitos.

 

Outro ponto importante é o acesso aos sistemas da empresa, em alguns casos o sistema é interno ou em nuvem, de uma forma geral, os cuidados a serem considerados são:

  • Garantir o acesso seguro ao sistema, se o mesmo permitir o uso de autenticação de dois fatores é uma boa opção;
  • Orientar os funcionários a utilizarem senhas fortes em seus usuários do sistema;
  • A empresa pode optar por permitir o acesso externo ao sistema somente por meio de Virtual Private Network (VPN), garantindo assim realmente o acesso somente ao pessoal autorizado;
  • Manter a versão do sistema sempre atualizada junto ao fornecedor para que as vulnerabilidades de segurança descobertas sejam tratadas.

 

Por último, mas não menos importante e conforme o tipo de negócio da empresa é o acesso aos arquivos da empresa, geralmente disponibilizados em um servidor de arquivos no ambiente interno. Para este, recomendamos que acessos remotos do tipo Remote Desktop Protocol (RDP) não sejam disponibilizados de forma insegura, ou seja, acesso externo através de redirecionamento de portas, pois este traz uma sequência de vulnerabilidades e coloca em risco os dados da empresa.

Para resolver a questão sugerimos que seja criado o acesso de VPN e após estabelecer esta conexão entre o computador em home office e a empresa seja feito o acesso direto aos arquivos ou fazer o RDP usando o acesso interno passando o tráfego por dentro da VPN que, na maioria das vezes, possui a segurança necessária.

 

Quais as responsabilidades da empresa?

 

O papel da empresa no home office são vários, mas destacamos:

  • Prover um computador que esteja devidamente atualizado, que possua os mecanismos de segurança configurados (antivírus, firewall) e que tenha as políticas de restrições para o usuário final impostas;
  • Caso permita que o usuário utilize seu computador pessoal, esta deve garantir que o equipamento tenha o mínimo de segurança possível garantido;
  • Prover todo o suporte e orientação aos seus funcionários, não só tirando dúvidas, mas através de treinamentos, manuais ou procedimentos para que o mesmo exerça suas atividades respeitando as políticas e normas da empresa, tanto no operacional quanto assuntos relacionados à segurança da informação;
  • Monitorar os acessos externos, para que ao identificar alguma irregularidade tome as devidas providências;
  • Comunicar imediatamente ao seu setor de TI interno ou a empresa terceirizada que presta suporte, caso um funcionário que esteja trabalhando em home office seja desligado da empresa;
  • Certificar que os servidores acessados tenham suas devidas restrições e mecanismos de segurança (antivírus, firewall).

 

Quais as responsabilidades do funcionário?

 

Assim como no ambiente da empresa, mesmo não estando presente, os funcionários possuem responsabilidades, podemos citar:

  • Caso tenha recebido o computador (PC ou notebook) da empresa, deve zelar pela boa e correta utilização, evitando usar para fins pessoais como por exemplo ver e-mails pessoais, instalar programas de uso pessoal, entretenimento etc;
  • Participar de treinamentos e seguir manuais e protocolos entregues pela empresa para proceder com as ações e adversidades previstas nos mesmos;
  • Se utiliza o computador pessoal, deve-se comprometer com as questões de segurança passadas pela empresa, que por mais que o equipamento seja pessoal, o ideal é que reduza sua utilização pessoal ou limite-a para garantir a integridade do mesmo uma vez que se realiza acesso direto ao ambiente tecnológico corporativo;
  • Evitar navegar em sites considerados suspeitos ou inseguros, exemplo: sites de pornografia, downloads, cracks e ativadores, filmes e séries.

 

Concluímos que, para se ter um acesso seguro do trabalhador em home office à empresa é preciso que haja uma interação maior entre empresa, a TI e o funcionário.

Medidas de segurança precisam sim ser adotadas, talvez não seja possível todas aqui citadas, mas o ideal é que a sua maioria sim, principalmente o acesso por meio de VPN devidamente configurada com segurança reforçada.

Há também a necessidade de bom senso por parte do funcionário, que deve-se atentar ao uso restrito do equipamento e acesso que lhe foi concedido.

Contar com uma boa assessoria de um profissional de TI influencia no bom desempenho dos trabalhos em home office e garante a segurança da informação para a empresa.

 

 

Anderson Santos
COO InforSense
MBA em Gestão da Seg. da Informação

Inforsense
Inforsense

Posts relacionados

janeiro 23, 2021

Auditoria de Licenças Microsoft

Leia mais

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *