Cibersecurity: Os perigos do trabalho em HOME OFFICE

Nilson R S Vieira
5 min readJul 14, 2020

Nos dias atuais estamos passando por uma pandemia mundial por conta de um vírus da família corona denominado COVID-19. Como este se prolífera com muita facilidade os governantes começaram a exigir medidas de contenção para a população, que conhecemos como “Isolamento Social”.

Algumas empresas resolveram aderir ao chamado do governo e liberar seus colaboradores para trabalharem em HOME OFFICE, ou seja, produzir em casa. Entretanto algumas questões ficam em aberto quando tratamos segurança da Informação. Abordarei algumas destas neste artigo.

Sabe-se que os avanços tecnológicos nos permitem trabalhar remotamente e existem algumas formas de realizar tamanha atividade, dentre elas com o Uso de VPN (Virtual Private Network).

Como o próprio nome já diz a VPN é uma rede privada que cria um túnel entre a empresa e o computador do colaborador, sendo assim, ao se conectar a mesma o usuário tem o ambiente de sua empresa em seu equipamento pessoal ou corporativo.

A empresa deve-se manter atenta aos seguintes detalhes: A criptografia do meu servidor de VPN é segura? O Meu firewall está atualizado e suporta tamanha demanda? O aplicativo que meus colaboradores utilizam para conexão são homologados/licenciados? As rotas criadas pela minha equipe de TI estão adequadas às minhas necessidades, não deixando brechas para acessar outros sistemas além do necessário? As máquinas dos meus colaboradores estão preparadas e seguras o suficiente para a conexão remota?

A criptografia do meu servidor de VPN é segura?

Sabe-se que alguns protocolos não mais considerados tão seguros, como o SSL por exemplo, que por tanto tempo foi usado e atualmente dá lugar ao TLS 1.2 ou superior. Isso é algo que tem que ser analisado pelas equipes de TI e de Segurança da Informação, pois dados importantes da empresa circulam nesse túnel, tão logo, o mesmo tem que estar seguro.

O Meu firewall está atualizado e suporta tamanha demanda?

Independente do tipo de Firewall que é utilizado pela empresa, deve-se atentar se o mesmo está com suas ultimas atualizações de segurança aplicadas, afinal este equipamento/sistema que é o front na proteção durante um cyber ataque. Outro ponto a ser observado é se este suporta a quantidade de tráfego durante situações de calamidade como a atual. Interessante manter os monitoramentos e habilitar os alertas para uma situação reativa, mas nada supera uma análise do ambiente antes de liberar VPN para todo mundo. Deve-se analisar seu atual cenário para elaborar estratégias de disponibilidade.

O aplicativo que meus colaboradores utilizam para conexão VPN são homologados/licenciados?

Existem equipamentos proprietários que liberam apenas versões para Sistemas Operacionais Windows ou Mac, quando o colaborador — principalmente de TI — possui um Linux em seu computador pessoal, deste modo torna-se necessário as vezes buscar soluções alternativas, tais como aplicativos de terceiros ou scripts que não foram homologados pelo fabricante. Esse aplicativo/solução alternativa deve passar pelo crivo da equipe de Segurança da empresa, pois pode conter malwares embarcados e acabar comprometendo a confidencialidade dos dados da empresa, e isso em tempos de LGPD é inaceitável.

As rotas criadas pela minha equipe de TI estão adequadas às minhas necessidades, não deixando brechas para acessar outros sistemas além do necessário?

Rotas de VPN é um assunto um tanto quanto complexo, pois dependendo da criticidade e urgência da demanda a equipe de TI não tem tempo de realizar todos os testes e definir de forma segura as rotas necessárias à determinada equipe/colaborador. Com isso acabam-se criando rotas genéricas, com acesso total à todos os sistemas e isso pode causar impactos negativos, pois facilita um vazamento de dados. A forma correta é dar espaço e tempo para a TI testar e homologar tudo antes da tomada de decisão, para que sejam feitas rotas específicas e cada colaborador acessar apenas o que é pertinente à ele.

As máquinas dos meus colaboradores estão preparadas e seguras o suficiente para a conexão remota?

Se a empresa não possui uma Política de BYOD (Bring Your Own Device) definida, cuidados maiores devem ser tomados com o uso de máquinas pessoais pelos seus colaboradores, pois a segurança do dispositivo é por conta do mesmo, e ele quem define anti-malwares, firewalls locais, sistema operacional, aplicativos licenciados ou não e etc.

A forma correta é a empresa disponibilizar recurso para o mesmo trabalhar remoto, entretanto se isso não é possível ou a empresa não possui recursos suficientes, deve-se adotar cautela nas liberações e sempre que possível o colaborador levar seu dispositivo para a TI atualizar os antivírus e executar procedimentos para deixar a máquina mais segura a fim de não comprometer informações da empresa.

NOTA: Para que o colaborador possa levar o seu equipamento para a TI da empresa aplicar procedimentos, seria adequado existir um acordo entre as partes, permitindo a ação. Aconselho adicionar o Jurídico para elaboração do termo.

Minha empresa não usa VPN, apenas RDP publicado na WEB estou seguro?

Esse cenário é um dos mais críticos, pois ainda existem conexões RDP publicadas, o que representa um risco real, pois existe uma vulnerabilidade que foi divulgada pela Microsoft que foi denominada BLUEKEEP que o invasor pode se apoderar e controlar servidores RDP. No dia 07 de junho de 2019, se descobriu a existência de uma botnet, chamada GoldBrute, que vem realizando ataques de força bruta ao RDP de mais de um milhão e meio de servidores em todo o mundo. Com certeza essa não é a melhor alternativa para seu negócio.

Estou “seguro” quais as recomendações para meus colaboradores que irão trabalhar de casa?

Canais de Comunicação

Aconselha-se a utilizar canais de comunicação seguros, como aplicativos corporativos de empresas conhecidas e que possuem um contrato de confidencialidade e privacidade assegurando a empresa. Como exemplos podemos citar o Microsoft Teams, Slack e E-mails com criptografia TLS 1.2 ou superior.

Regras do Trabalho em Casa

O Funcionário por estar em Home Office, acaba deixando a segurança de lado e desobedecendo à regras básicas da Politica de Segurança da Empresa, tais como o simples ato de bloquear a tela ou sair do aplicativo da empresa após o seu uso. Esses pequenos detalhes devem ser notificados aos colaboradores para que eles estejam cientes de que segurança da informação deve ser aplicada dentro e fora do escritório da empresa.

Equipamentos

Muito já se falou de equipamentos, como politicas de BYOD, e segurança dos mesmos, entretanto vale ressaltar que não são apenas sistemas, mas também comportamentos do colaborador em relação aos seus equipamentos, tão logo, deve-se ter muito cuidado com quem está vendo determinada informação na sua tela, links que são clicados, programas que são instalados e sites que são acessados. Ele deve ser conscientizado que mesmo sendo em sua casa com a sua internet, deve ter os mesmos cuidados de dentro da empresa, onde a rede e os acessos são controlados por medida de segurança.

Espero que esse artigo o ajude a entender esses perigos e auxilie na busca por soluções.

Gostou do artigo? Existe algo mais a ser colocado? Comente aqui e vamos abrir espaço para mais discussões e soluções.

Originally published at https://www.linkedin.com.

--

--

Nilson R S Vieira

DevOps | DevSecOps | SRE | Plataform Engineer | Cloud Engineer