Conheça os principais riscos e controles de Segurança da Informação para o home-office.

Devido ao cenário de pandemia (COVID-19), a ameaça de indisponibilidade de acesso físico concretizou-se para muitas empresas. Mesmo as indústrias que mantém suas operações, tiveram que direcionar a área administrativa, em muitos casos, para o home-office, por medida de proteção à segurança e à saúde de seus colaboradores.

As organizações com um certo nível de maturidade em relação à Segurança da Informação já possuem Política de Segurança da Informação (PSI), processos e procedimentos estruturados para tratar os diversos controles e cenários envolvidos no amplo contexto de Segurança da Informação, sendo necessários alguns ajustes ou adendo em sua PSI e normas complementares.

Infelizmente, diversas pesquisas indicam que poucas empresas investem em Segurança da Informação como um todo. A maioria possui somente a estrutura tecnológica (antivírus, firewall, backup e outros), deixando, para um segundo momento, a estruturação dos processos e boas práticas que visam regulamentar o uso dos ativos tecnológicos (informações, computadores, sistemas, arquivos físicos, digitais e outros).

Neste segundo cenário de baixa maturidade, muitas empresas estão improvisando, com o que é possível e alcançável, para manter a operação via home-office, muitas vezes sem os critérios mínimos de segurança da informação ou infraestrutura necessárias para suportar a atividade remota.

Após uma breve explanação do cenário atual, foram elaborados, de forma prática e objetiva, cenários e critérios que as empresas podem observar do ponto de vista das boas práticas, mitigando assim, riscos de segurança da informação e/ou jurídicos/trabalhistas.

Desde 2017, consta na Consolidação das Leis do Trabalho (CLT), em seu artigo 75 (DO TELETRABALHO), os critérios (regras) para a regulamentação desta modalidade de trabalho remoto. A seguir os pontos mais relevantes:

• “… 75-C. A prestação de serviços na modalidade de teletrabalho deverá constar expressamente do contrato individual de trabalho, que especificará as atividades que serão realizadas pelo empregado.”
• 75-D. As disposições relativas à responsabilidade pela aquisição, manutenção ou fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado, serão previstas em contrato escrito.
  • Parágrafo único. As utilidades mencionadas no caput deste artigo não integram a remuneração do empregado”.

Como estamos vivendo um cenário atípico (pandemia), em 22/03/2020, foi sancionada a MP MEDIDA PROVISÓRIA Nº 927 que “Dispõe sobre as medidas trabalhistas para enfrentamento do estado de calamidade pública reconhecido pelo Decreto Legislativo nº 6, de 20 de março de 2020, e da emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19), e dá outras providências.” A seguir os pontos mais relevantes:

• “… Art. 4º Durante o estado de calamidade pública a que se refere o art. 1º, o empregador poderá, a seu critério, alterar o regime de trabalho presencial para o teletrabalho, o trabalho remoto ou outro tipo de trabalho a distância e determinar o retorno ao regime de trabalho presencial, independentemente da existência de acordos individuais ou coletivos, dispensado o registro prévio da alteração no contrato individual de trabalho.
• 3º As disposições relativas à responsabilidade pela aquisição, pela manutenção ou pelo fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do teletrabalho, trabalho remoto ou trabalho a distância e ao reembolso de despesas arcadas pelo empregado serão previstas em contrato escrito, firmado previamente ou no prazo de trinta dias, contado da data da mudança do regime de trabalho.
• 4º Na hipótese de o empregado não possuir os equipamentos tecnológicos e a infraestrutura necessária e adequada à prestação do teletrabalho, do trabalho remoto ou do trabalho a distância:
  • I – o empregador poderá fornecer os equipamentos em regime de comodato e pagar por serviços de infraestrutura, que não caracterizarão verba de natureza salarial; ou
  • II – na impossibilidade do oferecimento do regime de comodato de que trata o inciso I, o período da jornada normal de trabalho será computado como tempo de trabalho à disposição do empregador.

A principal mudança que a MP Nº 927 realiza, em comparação com o Art. 75 CLT, é que a empresa poderá regulamentar o teletrabalho em até 30 dias com o colaborador. Este critério foi necessário para segurança jurídica das empresas, visto que a maioria não contempla a regulamentação e regras para home-office em contrato de trabalho.

Entrando agora na esfera da Segurança da Informação, temos que analisar o contexto geral com as suas devidas variáveis, sendo elas:

1. O cenário ideal, do ponto de vista de Segurança da Informação, seria o empregador (empresa) disponibilizar os recursos tecnológicos necessários para o colaborador desempenhar suas atividades, principalmente o computador/notebook, pelos seguintes fatores:
   1. No equipamento corporativo, a empresa pode garantir que os critérios mínimos de Segurança da Informação sejam alcançados, entre eles, antivírus corporativo da empresa, sistema operacional atualizado, configurações de bloqueio (pendrive), blindagem do equipamento (hardening), entre outras questões, que não seriam recomendáveis no equipamento particular.
      1. Resumindo: não é recomendável, a empresa realizar o monitoramento do equipamento particular, exigir que o colaborador tenha o S.O atualizado, ou que a configuração X do computador seja desabilitada, etc.
   2. Como já exposto neste artigo, as ‘regras do jogo’, o que é permitido ou não e como o colaborador deve utilizar os ativos de TIC, devem ser formalizados por meio da Política de Segurança da Informação e seus demais processos, sempre respeitando as leis e regulamentos vigentes.

2. Qual a principal diferença em utilizar o ‘equipamento particular’ vs ‘equipamento corporativo’ do ponto de vista de segurança da informação?
   1. Entendo que, no equipamento corporativo, a empresa pode estabelecer e implementar os critérios de segurança que achar necessários, e no ‘equipamento particular’ a empresa poderá recomendar tais critérios e boas práticas. Como toda recomendação, a adoção ou não é facultativa, o que poderá gerar riscos para a organização.

3. Qual seria o modo mais ‘seguro’ para o trabalho remoto?
   1. Utilizar o equipamento corporativo com os critérios de segurança implementados.
   2. Utilizar VPN (Virtual Private Network) – Rede Privada Virtual ou recursos de VDI, Remote Desktop e outros, que sem entrar em detalhes técnicos, é um dos meios mais seguros para realizar o acesso ao ambiente tecnológico corporativo. Por meio da VPN e/ou estas outras tecnologias, será possível acessar a rede local, seus arquivos, seus sistemas, ERP, entre outros.
   3. Utilizar os meios de comunicação corporativos: e-mail corporativo, conferência via recurso disponibilizado e/ou homologado pela área de TIC, compartilhamento de arquivos pelos recursos fornecidos ou autorizados pela empresa, etc.
   4. Garantir que as informações corporativas estejam centralizadas e armazenadas somente nos servidores corporativos.
   5. Garantir que a estrutura de Backup atenda aos critérios de segurança da informação: Integridade (backup sendo realizado corretamente), Disponibilidade (garantir que o backup seja restaurado o mais breve possível) e Confidencialidade (garantir que as informações do backup não sejam acessadas por pessoas não autorizadas).
   6. Criptografia. É recomendável criptografar todas as informações críticas da empresa e garantir que o armazenamento, uso e tráfego destas informações também estejam criptografas.
   7. A pré-existência da PSI e normas complementares ou o desenvolvimento inicial das principais regras que norteiam o cenário em questão.
   8. Campanhas de conscientização e treinamento para os colaboradores que utilizam os recursos tecnológicos ou informações corporativas.
      1. Nos últimos meses, aumentou, de forma alarmante, os casos de Phishing no Brasil.
   9. Monitorar, em tempo real, as principais ameaças externas, tentativas de acesso e desempenho dos sistemas e servidores pela equipe de TIC.
      1. Os ataques virtuais estão em crescente evolução no Brasil e precisam ser monitorados para evitar Incidentes de Segurança da Informação.
   10. Revisão dos Planos de Continuidade de Negócio para garantir a continuidade em caso de incidente grave.

4. O que não é recomendável realizar neste cenário de trabalho remoto?
   1. Monitorar equipamento particular do colaborador (cenário voltado à risco legal).
   2. Exigir bloqueios, remoção, alterações e/ou instalações no equipamento particular do colaborador (cenário voltado à risco legal).
   3. Realizar acesso remoto no equipamento particular, sem solicitar a autorização do usuário-colaborador (cenário voltado à risco legal).
   4. Criar regras e controles que possam gerar conflitos e/ou divergências com leis e regulamentos vigentes.
   5. Utilizar credencial de acesso (login – usuário e senha) genérica ou compartilhada para os acessos remotos.
   6. Liberar servidores (ERP, Banco de Dados, Sistemas) para a Internet, por meio da porta de RDP (Remote Desktop Protocol).
      1. Esta ação poderá levar a empresa a sofrer milhares de tentativas de acesso em seu ambiente, em poucas horas.
   7. Utilizar aplicativos, sistemas e recursos novos não homologados pela área de TIC, do ponto de vista de segurança, integrações e funcionalidades.
   8. Utilizar celular (smartphone) particular para tratar assuntos restritos ou confidenciais da empresa.

O principal foco deste artigo foi tratar do trabalho remoto (teletrabalho), do ponto de vista de Segurança da Informação, porém, também é recomendável analisar o contexto legal/jurídico.

A PDCA TI poderá ajudar sua empresa, neste momento, por meio dos serviços ofertados. Clique aqui para conhecê-los

Fonte da CLT: http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm

Fonte da MP Nº 927: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv927.htm

Photo by Thought Catalog on Unsplash