Com a ampliação do modelo de home office no Brasil, também aumentaram o número de ameaças virtuais. Durante o mês de março de 2020, o número de ciberataques dobrou – segundo dados da Interpol. Também houve um aumento significativo de casos de invasão virtual em hospitais, além dos já conhecidos ransomwares, que subiram +148% no período. Isso porque muitas empresas se viram forçadas a implementar o trabalho remoto de maneira emergencial para continuar operando. O instinto de sobrevivência das pessoas refletiu nos negócios e isso abriu brechas de segurança.
Por isso, a Binario Cloud participou recentemente do webinar Segurança da Informação: como proteger os dados da sua empresa em tempos de Home Office, em parceria com a Midiaria.com e condução de Kleber Pinto. Mas se você não conseguiu acompanhar, preparamos um resumo com tudo o que você precisa saber sobre esse tema.
Fatores que possibilitaram o aumento dos ciberataques
Quando trabalhamos em um escritório, utilizamos uma estação de trabalho que trafega informações dentro de uma rede privada, evitando que os dados sensíveis da empresa saiam do controle do ambiente. No momento de migração para o home office há abertura da rede da empresa para todos os usuários da Internet – o que significa riscos.
O que estamos observando agora, que estamos mais estáveis, é um movimento de maior atenção para a análise das vulnerabilidades do ambiente que surgiram após este período de adaptação.
Como conciliar práticas de segurança com as políticas de cada estado
Em um contexto em que cada estado está seguindo uma política própria em relação ao isolamento e retomada de atividades, observamos um problema mais complexo: as operações regionalizadas. Pensando nisso, o papel do TI é compreender as individualidades de pessoas, áreas e regiões para que seja possível operar, minimizando impactos.
O TI precisa estar muito ligado à liderança – principalmente ao responsável pelos negócios – para discutir políticas regionais, entender como as coisas precisam ser tratadas e enxergar oportunidades de melhoria, atuando também como uma espécie de conselheiro quanto às possíveis brechas de segurança. Assim, o mindset do TI precisa ser: como entregar as ferramentas que a equipe precisa sem abrir vulnerabilidades?
O feijão com arroz para manter a segurança da equipe
Boa parte das vulnerabilidades vêm do próprio usuário e geralmente de maneira inconsciente. Conectar-se em uma rede menos segura, clicar em links suspeitos, baixar um software – tudo isso pode comprometer a privacidade da empresa. Por isso, um dos pontos mais reforçados foi a necessidade de desenvolver uma Política de Segurança da Informação.
Quando ouvimos falar em “política”, imaginamos algo complexo. Mas não precisa ser o caso: basta criar pilares para orientar o usuário, o que consequentemente cria uma cultura para a segurança. As pessoas que consomem informações da empresa precisam ter discernimento sobre o que é certo e o que é errado quando se trata de segurança on-line.
Uma Política de Segurança da Informação se desenvolve através de diretrizes que podem ser comunicadas através de slides, textos, ações de endomarketing, e-mails, webinars. O objetivo é que as pessoas entendam como as coisas funcionam em segurança informação – a lógica como um todo, sem focar em transformar ninguém em técnico.
Os colaboradores precisam saber o que é uma VPN, porquê devem sempre acessar a rede da empresa através da VPN e não de uma rede pública, a importância de contar com um antivírus, de estar conectados com o TI para resolver um alerta que tenha surgido. Isso são boas práticas, que devem ser comunicadas para todos os times, de forma direta e clara, criando uma cultura de segurança da informação na empresa.
A LGPD – Lei Geral de Proteção de Dados nesse contexto
A grande questão apresentada é que o paradigma de estar no escritório da empresa para trabalhar está sendo desconstruído. Antes o número de colaboradores que atuavam em home office nas empresas era baixo, enquanto hoje observamos que a maior parte deles trabalha de casa. Isso dificilmente mudará daqui para frente.
Para se adequar à LGPD, a empresa precisa entender informação como todo e qualquer dado que a empresa coleta de um indivíduo, seja ela digital ou física. Por isso, é necessário que os colaboradores estejam atentos a todas as possíveis brechas de segurança, evitando vazamentos.
Quem está mais exposto aos ciberataques: data center virtual ou físico?
A vantagem em relação à nuvem é a entrega de SaaS (Soluções como Serviço), por exemplo: firewire, licenças como serviço, entre outros. O acesso a estas soluções é muito mais rápido na nuvem e com menor custo, o que diminui a vulnerabilidade das empresas que optam por este padrão.
A nuvem permite acesso ágil e com menor custo de investimento a soluções de segurança que demorariam meses para chegar na empresa. Também, contando com um fornecedor de nuvem que tem uma equipe multidisciplinar e oferece suporte qualificado, a empresa encontra um facilitador para mitigar riscos.
Outro fator é a questão da segurança física dos hardwares de um data center: com os prédios vazios, a tendência é que ocorram deteriorações de diversos tipos quando o assunto é data center físico. Por outro lado, data centers virtuais geralmente possuem a certificação ISO 27001, que constrói 5 camadas físicas de segurança para que se chegue ao hardware.
Os 3 pilares da segurança da informação no home office
Para além das questões sobre data center, devemos pensar sobre as boas práticas. Isso retoma o primeiro pilar, que é a cultura: as pessoas precisam estar dispostas a aprender, seguir as boas práticas e usar os serviços de maneira segura.
O segundo pilar é a conectividade: boa parte dos softwares que as empresas usam é web (como o G Suite). Mas ferramentas como ERP geralmente rodam na rede da empresa, que nunca pode estar exposta – por isso a VPN é tão importante. Nos últimos tempos, também vemos uma mudança quanto o tipo de VPN “site to site” (de empresa para empresa) para o modelo “client to site”, ou seja, o dispositivo de VPN permite que apenas um usuário específico se conecte, restringindo o acesso.
E o terceiro pilar, mas não menos importante, é a estação de trabalho, que é o dispositivo usado para os acessos. No modelo conhecido como Estação Remota de Trabalho (ou TS), o usuário usa a estação física para acessar a VPN e, então, acessar a estação de trabalho que está na empresa. Isso não altera nada no trabalho do usuário, que visualiza sua estação de trabalho exatamente como ela é, mas para a empresa significa segurança total, uma vez que a estação de trabalho física continua lá sem mais problemas.
É importante ressaltar que, independente do tamanho da empresa, o custo destas soluções – VPN e Estação Remota de Trabalho – é calculado por usuário. Por isso, estas são tecnologias já democratizadas e que tendem a caber no bolso da maioria das empresas.
Como fica o cenário daqui para frente
Para fechar, a dica de ouro foi sobre como lidar com este tema em situações emergenciais. Nesse caso, as empresas podem contar com parceiros que já tenham um framework de serviço para encontrar soluções de segurança que melhor se adequem às suas necessidades.
Nesse processo de consolidação do home office como tendência, observamos avanços no processo de transformação digital: para não comprometer as rotinas operacionais, é necessário investir em automação do fluxo fabril, dos negócios e dos processos, reduzindo a carga de intervenção humana. Isso permitirá que o intelecto das pessoas seja alocado para lidar com adversidades, mais do que com processos mecânicos e repetitivos.
Por fim, entendemos que é necessário lidar com as situações com otimismo para que seja possível ter motivação e seguir com as operações. Para isso, é fundamental ter um mindset aberto para as novas soluções, promovendo o engajamento da equipe e mantendo-se atualizado sobre as principais ferramentas disponíveis. Sem esse elemento será mais difícil se adequar às transformações digitais.
E se você quer começar a estimular uma evolução mental na sua equipe agora mesmo, nosso time preparou um guia para a mudança de mindset para a transformação. São 7 passos para engajar sua equipe e promover o pensamento inovador.
