Muitas dessas companhias começam a perceber que, apesar de inesperada, essa adaptação não foi tão ruim assim
A pandemia do novo coronavírus impactou fortemente a vida das pessoas e a rotina das organizações. Praticamente 100% dos funcionários com rotina de idas a escritórios passaram a trabalhar remotamente e empresas que antes nem pensavam em enviar funcionários para casa, foram obrigadas a fazê-lo para manter a continuidade de suas atividades.
Muitas dessas companhias começam a perceber que, apesar de inesperada, essa adaptação não foi tão ruim assim. Em vários casos essa mudança resultou até mesmo em uma oportunidade de redução de custos de espaços físicos e melhoria da satisfação e qualidade de vida por parte dos colaboradores, que não precisarão dispensar horas de deslocamento da residência até o escritório, principalmente nas grandes capitais.
Entretanto, é importante salientar que há muitos fatores envolvidos nesse processo e há muitos desafios que impactam as empresas e entidades nesse sentido. Se por um lado ganha-se em qualidade e satisfação, algumas questões, como produtividade, proteção de dados e o comportamento dos funcionários, representam pontos de atenção. Nesse contexto, uma pergunta deve ser feita: como fica o trabalho de áreas como Recursos Humanos, Jurídico e Compliance?
Do ponto de vista da legislação, a lei da CLT, de acordo com definição recente, se mantém também para funcionários trabalhando de casa, desde que sigam as 44 horas semanais. Este controle, em um ambiente de escritório é feito de diferentes formas, por exemplo, por meio de catracas que estão ligadas a sistemas de pontos. Mas como fica quando o funcionário está em casa?
Se um funcionário bate ponto às 18 horas e às 22 horas responde a um e-mail, que tipo de complicação trabalhista pode ser gerada? E como fazer para ter visibilidade disto e poder tomar uma ação? Se pensarmos nos desafios das empresas, veremos uma variedade imensidade riscos e preocupações, como vazamentos internos, comportamento fora dos códigos de ética e compliance, além de muitos outros.
Para ajudar a mitigar os riscos, prevenir ameaças nesse gerenciamento, a área de segurança das informações ganha um papel-chave. A área tem visibilidade do tráfego que circula na rede e nos dispositivos remotos dos usuários e consegue gerar uma inteligência que ajudará os times de RH e o de Compliance nesses desafios.
A segurança da informação não está só preocupada com ataques externos e hackers, como estamos acostumados a ver em filmes, afinal, lá é ficção e os ambientes de monitoramento de um SOC (Security Operation Center) lida com a realidade. Proponho uma reflexão: se esta área, como descrevi acima, pode garantir segurança e tem o poder de avaliar todo o tráfego que circula na rede, você consegue imaginar as possibilidades de ganho para sua empresa implementando as ferramentas corretas?
Com o objetivo de ajudar, tanto os profissionais de segurança como as demais áreas a garantirem uma proteção maior e um controle mais acurado para seus funcionários, desenhei uma lista de itens e ações que podem ser adotados.
Os antivírus existem há mais de 20 anos, e eles evoluíram para plataformas muito mais robustas, que contemplam uma série de funcionalidades, ajudando na proteção de dispositivos, sejam eles ativos da empresa ou dos próprios funcionários. Além das funcionalidades de antivírus, que avaliam possíveis malwares que podem infectar uma máquina, essas soluções conseguem executar funções de URL filtering e se integrar com diversas outras plataformas de segurança, agilizando a resposta.
Imagine que uma solução de EPP instalado em um notebook descobre um vírus proveniente de determinado site. Uma integração com o Proxy local ou na nuvem poderá já impedir que outros usuários cometam o erro de contaminação do mesmo vírus por outras máquinas, bloqueando o download do arquivo contaminado.
Já que citei acima, podemos tratar dele agora. O Proxy não é apenas uma ferramenta de filtro web. Aliás, se você compra um Proxy para isso, poupe seu dinheiro. Uma boa solução de endpoint protection já faz isso, e UTMs já contemplam estes serviços. O Proxy se tornou um verdadeiro gateway e quando se opta pela versão em nuvem é possível integrar a soluções de muito mais capacidade de proteção, sendo ideal para a transformação que as empresas estão passando. Esta ferramenta avalia reputação de endereços e sites, respeitando as políticas das empresas e políticas de segurança de mercado.
Há nele funções de antivírus que permitem a análise de malwares associados e um sandbox em nuvem, possibilitando o teste de qualquer arquivo a ser acessado, antes que seja baixado ao dispositivo. Além disso, essas soluções contemplam um CASB para controle de acesso de usuários aos seus serviços de nuvem e um DLP para controle do tráfego de arquivos.
O DLP (data loss prevention), por sua vez, é um sistema que permite visibilidade de toda a informação que circula pela sua rede e nuvem. Sendo assim, você tem duas versões de DLP com o mesmo conceito e funcionalidades. Esta solução avalia a informação pertencente ao arquivo, avaliando políticas internas e quais dados a empresa quer e pode rastrear, entre elas: informações vinculadas à LGPD; dados de negócio sensíveis; localização onde estes dados estão circulando; identificação de quem envia informações como essas por e-mail ou mesmo salva em pen drives ou na nuvem; além de quem faz download de informações sigilosas e classifica o motivo. Essa é a ferramenta ideal para o time de Compliance, pois qualquer vazamento interno é rapidamente avaliado e uma análise forense é muito mais precisa.
CASB é uma solução que controla o acesso de usuários a serviços em nuvem. De forma bastante simples, é o vigia que avalia por onde estão indo, o destino, os usuários e o que estão fazendo. Se pensarmos no contexto de home-office, o uso de serviços em nuvem só aumenta. Já não estamos mais falando só de Microsoft 365 ou G Suite, mas ERPs, CRMs, e um infinidade de letrinhas para diferentes sistemas.
Mas, como garantir que os usuários se conectem às plataformas corretas? Como garantir que os usuários evitem usar plataformas não homologadas para repositório de arquivos, reuniões online ou aplicações inseguras? O CASB é a ferramenta que vai ajudá-lo a controlar essas atividades. E a maioria das ferramentas já vem com funcionalidades de DLP incluídas. Ou seja, dois pelo preço de um.
A conexão remota segura mais comum é a VPN, mas nem sempre ela é a mais adequada. Atualmente, as empresas podem contar com uma solução mais robusta, capaz de garantir a criptografia do tráfego de rede fim a fim, ou seja, do dispositivo do usuário até o micro serviço que esse funcionário tem acesso e nada mais, passando pela borda e chegando diretamente apenas ao serviço que o usuário tem direito de acesso. Essa visão, que segue premissas de zero trust, é tão robusta que é o sistema usado pelas Forças Armadas Americanas para controle de acesso. E hoje é possível usar a mesma solução para garantir esse controle para dispositivos locais ou em nuvem, pois já está disponível para ambientes AWS, Google, Azure e containers (dockers, kubernetes).
Costumamos dizer que para garantir a integridade total de dispositivos e sistemas é essencial dispor de soluções que se integram e trabalham juntas para somarem camadas de segurança e garantir melhor visibilidade e controle para toda a empresa.
Por isso, se você é um profissional da área de recursos humanos ou compliance, ou se identificou que os problemas que apontei aqui podem estar acontecendo em sua empresa e quer uma ajuda para validar a performance dos seus funcionários, controle dos dados e informações da sua organização. Chame o profissional de segurança para conversar, crie um comitê de responsabilidade junto dele. Acredite ele poderá te surpreender com a quantidade de informações que pode te trazer.
*André Maffessoni é gerente de produtos na área de cyber segurança da NEC no Brasil
