iTech
O COVID-19, mais conhecido como Coronavírus, acelerou a adoção de medidas de trabalho remoto. Deste modo, as organizações podem continuar a trabalhar ao mesmo tempo que mantêm os seus colaboradores seguros. No entanto, as empresas podem não estar seguras
Por Rui Damião . 18/03/2020
Um estudo de julho de 2019 da FlexJobs (focado nos Estados Unidos) apontava para um aumento de 159% entre 2005 e 2017 no número de colaboradores que trabalhava remotamente numa empresa. Em termos absolutos, tratava-se de 4,7 milhões de norte-americanos que, por uma razão ou por outra, não estavam presentes nos escritórios da empresa e trabalhavam remotamente. A Forbes afirma que a variedade de benefícios que os colaboradores remotos nos Estados Unidos desfrutam pode melhorar os resultados financeiros de uma empresa. Os colaboradores são mais eficientes, uma vez que encontram menos distrações do que num ambiente de escritório mais tradicional. Outro benefício apontado pela Forbes é o menor stress destes colaboradores, uma vez que não precisam de se deslocar no trânsito em horas de ponta. Como é sabido, menos stress traduz-se habitualmente em mais satisfação. Depois, também as organizações têm benefícios: incorrem em menos custos indiretos e operacionais para manter os negócios a funcionar sem problemas. No entanto, o trabalho remoto levanta problemas de cibersegurança. Por exemplo, a empresa não consegue garantir que a rede utilizada pelo colaborador na sua casa é tão segura quanto aquela que disponibiliza nas suas instalações, o que pode, em última análise, colocar a infraestrutura da organização em risco. O COVID-19, ou Coronavírus, voltou a trazer o tema do trabalho remoto para cima da mesa. Portugal, à semelhança de outros países, adotou regimes de trabalho remoto. Os colaboradores, que antes preenchiam os escritórios das empresas, trabalham por estes dias a partir de casa numa tentativa de diminuir o risco de contágio. Uma nova realidadeQuase de um dia para o outro, as organizações tiveram de se adaptar à força a este paradigma. Se antes as operações estavam preparadas para serem feitas no local de trabalho, com todas as regras de segurança que as empresas implementaram para proteger as suas infraestruturas, agora é rara a organização a operar em Portugal que não tem uma boa parte dos seus colaboradores em casa. Luís Martins, Cybersecurity Director da Multicert (na fotografia à esquerda), refere que, “de uma forma geral, a grande maioria das organizações não estava – nem está – preparada para funcionar em trabalho remoto na escala a que estamos a assistir”, nem, principalmente, “por um período de tempo tão prolongado”. As empresas mais tecnológicas, assim como as multinacionais – pela necessidade de comunicar com as sedes mundiais e/ou europeias – “já tinham um certo grau de preparação para o trabalho remoto ocasional”. Ainda assim, “muito poucas” estavam preparadas “para trabalho remoto seguro com duração contínua de vários meses”. Também algumas plataformas de colaboração e de comunicação não estavam preparadas para a procura que agora existe e Luís Martins refere que estas plataformas “já estão a ser reforçadas em termos de capacidade”. No entanto, alerta o Cybersecurity Director, “do ponto de vista da adoção de formas de comunicação segura haverá muito mais a fazer se queremos que a capacidade colocada à disposição seja usada de forma legítima e segura. A nota positiva vai para o facto de ter havido um conjunto vasto de iniciativas de transformação digital que será agora necessário ajustar a esta nova realidade, desde que se assegure a implementação dos mecanismos adequados de segurança”. É de esperar que, nesta fase de adaptação, exista “um aumento de ciberataques” motivados “por um conjunto de alterações que são feitas pelas organizações no sentido de se ajustarem ao modelo de trabalho remoto”. A prática de trabalho remoto é uma nova realidade para grande parte das organizações nacionais e, como tal, será necessário algum tempo para que as empresas se ajustem e respondam aos vários desafios. Riscos do trabalho remotoHá vários riscos de cibersegurança associados ao trabalho remoto. O Cybersecurity Director da Multicert refere que três riscos que devem ser o foco da atenção das empresas “para que não se comprometam nem a segurança, nem a continuidade das atividades de uma organização”. “Segurança nos acessos remotos às plataformas de trabalho”, “segurança dos acessos físicos aos equipamentos usados para acesso remoto” e a “formação e [a] consciencialização” serem “imprescindíveis para assegurar que as informações de negócio, e também os dados pessoais, não são comprometidos” são os três principais riscos apontados por Luís Martins. O Cybersecurity Director da Multicer apresenta, também, três soluções que permitem mitigar estes riscos, salientando, no entanto, que “quantas mais camadas / mecanismos de proteção devidamente implementadas e configuradas existirem, melhor será a proteção” das organizações. Deste modo, as empresas devem “estabelecer uma política de trabalho remoto que define claramente o que é permitido ou não fazer e implementar medidas para proteção das informações acedidas, processadas ou armazenadas em locais de trabalho remoto, nomeadamente procedimentos para cópias de segurança e continuidade de negócio”. Simultaneamente, as organizações devem “assegurar métodos seguros de acesso, nomeadamente, mas não limitados, Virtual Private Networks (VPN), utilização de mecanismos de autenticação e autorização fortes (recorrendo, por exemplo, a certificados digitais) e a mecanismos de duplo fator de autenticação para garantia de identidade e não repúdio”. Por fim, as empresas devem procurar “garantir a implementação de mecanismos de monitorização e deteção de incidentes (SOC), rastreabilidade e auditoria de segurança (análise de vulnerabilidades e testes de intrusão), de forma a poder atuar em tempo útil, no caso da eventual existência de vulnerabilidades e de incidentes” nas suas infraestruturas. A estratégia das organizações deve passar por “garantir que os sistemas colocados ao serviço dos colaboradores, que estão agora remotos, sejam devidamente configurados e que não existam vulnerabilidades que possam ser exploradas por cibercriminosos”, assim como “implementar mecanismos de acesso e autenticação seguros de forma a garantir que apenas quem está devidamente credenciado pode aceder à informação e sistemas de forma legítima”, conclui Luís Martins. |