O surto de coronavírus (Covid-19) foi oficialmente classificado como uma pandemia pela Organização Mundial da Saúde (OMS), o que significa que a infecção está se acelerando em vários países ao mesmo tempo. Muitos governos estaduais no Brasil decretaram o fechamento do comércio, escolas, universidades, restaurantes e shoppings, mantendo apenas os serviços essenciais em funcionamento.

Grandes empresas, como Google e Microsoft, estão incentivando seus funcionários a trabalhar remotamente em casa. Para empresas de tecnologia moderna, a infraestrutura e as políticas necessárias para o trabalho remoto já estão em vigor e provavelmente a maioria dos trabalhadores sejam usuários de laptops. No entanto, para muitas empresas e organizações, principalmente em pequenas e médias empresas (PME), é provável que a situação seja muito diferente.

Trabalhar em casa é uma opção limitada a alguns, e principalmente para aqueles que usam apenas e-mail e outros sistemas não operacionais. O setor educacional é um bom exemplo: as universidades oferecem educação a distância como opção há algum tempo, enquanto as escolas de nível fundamental e médio dependem mais da presença de professores e alunos para realizar as tarefas de aprendizagem. Este cenário também deve considerar a equipe administrativa e operacional da escola, pois é provável que sejam trabalhadores com menos capacidade de mobilidade e que usem computadores de mesa em vez de laptops.

Dividir a organização em alguns grupos com requisitos diferentes e abordar as necessidades uns dos outros para alcançar o êxodo em massa pode parecer uma abordagem simplista, mas provavelmente é essencial, dada a urgência em alguns casos. Usando a educação como exemplo, existem alunos (clientes), professores, pessoal administrativo e de operações. A escola não pode funcionar sem a participação significativa dos alunos, os professores precisam de ferramentas para videoaulas e as equipes administrativas precisam de acesso à rede, e isso é apenas o mínimo.

Para ser produtivo, existem requisitos comuns de que todas as pessoas que trabalham de forma remota precisam. Como alguém que trabalhou remotamente durante a maior parte da vida profissional, posso atestar os dois últimos:

  • Um computador
  • Uma boa conexão com a internet
  • Aplicativos de chat e videoconferência
  • Um espaço de trabalho específico (de preferência)
  • Um telefone (opcional)
  • Disciplina
  • Uma rotina estrita

Por que o telefone é opcional? No ambiente atual, pode não ser necessário, principalmente porque a maioria dos aplicativos de chat permite chamadas diretas. A necessidade de um telefone pode ser mais um requisito comercial e não um dispositivo essencial.

É importante ressaltar que as empresas e organizações devem preparar a si mesmas e também aos seus funcionários para enfrentar os riscos de segurança cibernética que podem surgir com o trabalho remoto. Quais são alguns dos desafios que precisam ser enfrentados?

Segurança física dos dispositivos da empresa

Os funcionários estarão expondo os dispositivos da empresa a um risco maior, na medida em que não se preocupam com a segurança do local de trabalho. Como funcionário remoto, frequentemente vou à biblioteca pública como uma forma de socialização - já que existem áreas de trabalho compartilhadas e individuais. Os dispositivos devem ser protegidos contra perda e roubo com opções como:

  • A criptografia completa do disco garante que, mesmo que o dispositivo caia nas mãos erradas, os dados da empresa não possam ser acessados.
  • Realizar logout quando não estiver usando o computador, tanto em casa quanto em locais públicos. Que uma criança envie acidentalmente um e-mail para o chefe é algo que pode ser facilmente evitado, pois o logout limita a oportunidade de alguém acessar a máquina nos momentos em que você precise estar ausente.
  • Política de senha forte: aplique senhas na inicialização, defina horários para suspensão do computador com base no tempo de inatividade e não use notas adesivas para lembrar as senhas no computador - as pessoas ainda fazem isso.
  • Nunca perca de vista o seu dispositivo nem o deixe à vista do público. Se estiver no carro, mantenha-o no porta-malas.

E o ambiente tecnológico da casa?

Idealmente, os funcionários devem ser orientados a auditar vulnerabilidades em seu próprio ambiente doméstico antes de conectar os dispositivos de trabalho. Há revelações contínuas sobre dispositivos vulneráveis ​​da Internet das Coisas (IoT), e este é um ótimo momento para os funcionários tomarem medidas com o intuito de protegê-los com senhas fortes e atualizar o firmware e o software para as versões mais recentes disponíveis.

Considere promover ou mesmo exigir o uso de um aplicativo de monitoramento antes de permitir que os dispositivos de trabalho se conectem às redes domésticas. A verificação ou o monitoramento destacará dispositivos com vulnerabilidades conhecidas, a existência de software ou firmware desatualizado ou senhas padrões que devem ser alteradas.

Acesso à rede e sistemas da empresa

Estabeleça se o funcionário precisa acessar a rede interna da organização ou simplesmente acessar e-mails e serviços baseados em nuvem. E considere se o mesmo nível de acesso deve ser concedido aos dados confidenciais disponíveis no site quando o funcionário estiver trabalhando remotamente.

Se o acesso à rede interna da organização for algo realmente necessário:

  • Recomendo que isso seja permitido apenas a partir de um dispositivo pertencente à organização, para que o controle total do dispositivo de conexão esteja sob o controle da equipe de segurança e do departamento de tecnologia.
  • Sempre use uma VPN para conectar trabalhadores remotos à rede interna da organização. Isso evita ataques Man-in-the-Middle a partir de locais remotos - lembre-se de que, agora que você está trabalhando em casa, o tráfego flui através de redes públicas.
  • Controle o uso de dispositivos externos, como os de armazenamento USB, bem como dispositivos periféricos.

Caso seja necessário permitir o acesso a serviços de e-mails e a nuvem a partir do dispositivo de um funcionário:

  • Aplica para antimalware, firewalls etc., a mesma política de segurança que se aplica a um computador gerenciado pela organização. Se necessário, forneça ao funcionário uma licença para as mesmas soluções usadas em dispositivos de propriedade da organização. Se você precisar de licenças adicionais, entre em contato com o provedor. Eles podem oferecer soluções para cobrir você em um evento sem precedentes como esse.
  • Limite a capacidade de armazenar, baixar ou copiar dados. Um vazamento de dados pode ocorrer em qualquer dispositivo que contenha dados confidenciais da empresa.
  • Use máquinas virtuais para fornecer acesso - isso mantém o funcionário em um ambiente controlado e limita a exposição da rede da empresa ao ambiente doméstico. Isso pode ser mais complexo de configurar, mas pode ser uma solução bastante eficaz a longo prazo.

A autenticação multifator (MFA) garante acesso, seja aos serviços baseados na nuvem ou o acesso total à rede, apenas para usuários autorizados.

  • Sempre que possível, use um sistema baseado em aplicativos ou em um token de hardware para gerar códigos exclusivos que concedem acesso autenticado. Como pode haver pressão em relação ao tempo para implementar uma solução, uma solução baseada em aplicativos elimina a necessidade de comprar e distribuir hardware. Os sistemas baseados em aplicativos oferecem maior segurança que as mensagens SMS, especialmente se o dispositivo usado para receber os códigos não for um dispositivo gerenciado pela organização e puder estar sujeito a um ataque SIM Swap.

Ferramentas colaborativas e processos de autorização

Pode parecer estranho colocar esses dois elementos sob o mesmo título, mas um pode ajudar a evitar problemas com o outro.

Forneça acesso aos sistemas de chat, vídeo e conferências para que os funcionários possam se comunicar. Isso fornece as ferramentas de produtividade necessárias e ajuda os funcionários a manter contato com seus colegas.

Use ferramentas colaborativas para se proteger contra instruções ou transações não autorizadas. É provável que os cibercriminosos aproveitem a oportunidade de muitas organizações implementarem o trabalho a distância para lançar ataques Business Email Compromise (BEC). Nestes casos, um atacante envia uma mensagem falsa, classificada como urgente, solicitando a transferência imediata de fundos, sem a possibilidade de validar a solicitação pessoalmente. Certifique-se de usar os sistemas de videoconferência/chat como parte formal do sistema de aprovação, para que a validação seja feita pessoalmente, mesmo quando de forma remota.

Capacitação

Como já mencionamos em outra publicação, existem vários golpes que estão circulando pela Internet e que usam a impacto da pandemia da COVID-19 de diversas maneiras. Quando os funcionários estão fora do local de trabalho, em locais mais informais, eles podem clicar nos links que recebem, pois não há colegas que possam observá-los assistindo aquele vídeo engraçado ou visitando um site.

As capacitações de conscientização sobre segurança digital geralmente são uma exigência anual para funcionários de muitas empresas. Seria sensato fazer uma revisão para ajudar a evitar erros humanos que os cibercriminosos estão tentando explorar. Verifique a possibilidade de realizar uma campanha e um requisito de capacitação antes que o funcionário comece a trabalhar de forma remota... ou o mais rápido possível.

Suporte e gerenciamento de crises

Na pressa de fornecer acesso remoto, não sacrifique a segurança cibernética ou a capacidade de gerenciar sistemas e dispositivos. A capacidade de oferecer suporte a usuários que trabalham remotamente será essencial para garantir uma operação sem problemas, principalmente se os usuários estiverem em quarentena devido a problemas de saúde. Os funcionários remotos devem ter protocolos de comunicação claros para o suporte de TI e o gerenciamento de crises para o caso de problemas incomuns ou vazamentos de dados.

Claro que existem algumas dicas desde uma perspectiva tecnológica - por exemplo, eliminar ou limitar o uso do RDP, conforme foi detalhado em uma publicação de Aryeh Goretsky.

Além da tecnologia e dos processos funcionais, existem outros fatores-chave para o trabalho remoto eficaz:

  • Comunicação: considere fazer ligações em grupo uma vez ao dia, informando as pessoas sobre a situação e dando a todos a oportunidade de compartilhar experiências e problemas.
  • Capacidade de resposta: o trabalho remoto não é o mesmo que trabalhar em um ambiente de escritório. Defina diretrizes claras para a rapidez com que um trabalhador remoto deve responder a uma solicitação, dependendo do tipo de comunicação, seja um e-mail, um convite de calendário, etc.
  • Relatórios: os gerentes devem implementar procedimentos que permitam determinar se os funcionários estão realizando o trabalho: reuniões obrigatórias em grupo, colaboração em equipe, relatórios diários/semanais/mensais.
  • Horário de trabalho: defina um método de iniciar e encerrar a jornada de trabalho - isso pode ser tão simples quanto pedir aos membros de um chat em grupo que digam "bom dia" quando o dia de trabalho começar.
  • Saúde e segurança: os teclados ergonômicos do escritório devem ser levados para casa para proporcionar o mesmo conforto com que os funcionários estão acostumados. Trabalhar em casa não elimina a responsabilidade de proporcionar um bom ambiente de trabalho.
  • Responsabilidade: garantir a cobertura dos ativos da empresa enquanto estiverem nas mãos do funcionário.
  • Suporte técnico: envie uma lista com contatos úteis. Desta forma, os funcionários remotos saberão com quem entrar em contato quando necessário.
  • Socialização: reúna os funcionários de forma virtual. A interação social é uma parte importante da motivação e aumenta a produtividade. Considere um esquema de amigo ou mentor para que cada funcionário seja emparelhado e possa resolver problemas, desabafar, compartilhar ou socializar virtualmente.
  • Acessibilidade: estabeleça uma política de gerenciamento de portas abertas virtuais, exatamente como existe no escritório. Verifique se as pessoas estão acessíveis e podem se envolver facilmente.

Não presuma que todos os funcionários podem mudar para a dinâmica de trabalho remoto de maneira eficaz e com pouca necessidade de assistência ou orientação. A casa não é o escritório e eles podem precisar de ajuda para se adaptar.

Fisicamente, o mundo pode nunca mais ser o mesmo novamente, pois esse mandato massivo de trabalho remoto pode se tornar um experimento social/profissional que poucas empresas teriam realizado se não fosse por essa situação em particular. Voltaremos ao nosso escritório da mesma maneira?

Pense na sua segurança e, claro, na sua saúde! 😊

Leia também:

Guia de Trabalho a distância para empresas.

Guia de Trabalho a distância para colaboradores.