E quando o Home Office acabar?
A pandemia da COVID-19 está nos forçando a ficar em casa por mais tempo do que tínhamos imaginado. A cada semana que nos aproximamos de um suposto fim da quarentena, recebemos novas orientações de que esta será prorrogada. Obviamente que, em respeito à nossa própria saúde e à coletiva, devemos continuar acatando a instrução do distanciamento social e seguir trabalhando no modelo home office. Enquanto gestores da cultura de cibersegurança de uma empresa, entretanto, não devemos nos esquecer de nos preparar para a futura volta dos funcionários para a empresa.
O retorno dos funcionários às dependências da empresa pode ser tão catastrófico, para a segurança de dados, quanto a saída dos mesmos. Devemos ter em mente que estes, mesmo os que são conscientizados quanto à cibersegurança, passarão por um período relativamente longo (e ainda não sabemos quão longo) tendo que se adaptar a um modelo de exercício do trabalho que talvez nunca tenham experimentado antes. Apesar das orientações que tenhamos passado quanto a como agir no home office, não se pode assegurar que todos tenham conseguido seguir cada uma das precauções necessárias. Assim, precisamos analisar e entender alguns pontos que necessitam de atenção quanto à manutenção da segurança dos dados de sua companhia, durante esse período tão delicado.
1. Revogue os acessos às VPNs.
Assim que for determinada a volta dos colaboradores, revogue os acessos às VPNs. Se você está usando um sistema de senhas rotativo, isso não é exatamente necessário, é só não passar a nova senha para os usuários. Caso esteja usando uma senha única, troque a senha ou revogue as credenciais dos usuários que não necessitarão mais de determinada VPN. Fazer isso assegura que nenhum usuário não autorizado tenha meios de acessar os sistemas da empresa remotamente.
2. Caso não tenha usado uma VPN: oriente os usuários para excluírem definitivamente arquivos corporativos.
Infelizmente, nem todas as empresas conseguiram arcar com os custos de ter uma VPN ou, até mesmo, não souberam dessa possibilidade a tempo. Se esse é o seu caso e seus usuários tiveram que usar seus computadores pessoais, faça uma campanha para que seus usuários deletem definitivamente todos os arquivos, softwares internos e documentos corporativos. Contudo, tenha em mente que esse método não é 100% eficaz, é apenas uma forma de tentar reduzir possíveis danos causados pela existência de documentos corporativos em dispositivos externos.
3. Altere as senhas de todas as contas corporativas.
Esse é um passo importante. Apesar das orientações para que os usuários tenham um lugar reservado para fazer seu home office, sem acesso de familiares e com conexão à uma rede de internet privada, modificar as senhas garante que nenhuma pessoa externa tenha acesso às contas corporativas.
4. Escaneie os dispositivos corporativos.
Se os usuários puderam levar os computadores da empresa para suas respectivas casas, é essencial que estes computadores sejam escaneados a fim de descobrir qualquer tipo de arquivo malicioso que possa ter sido baixado. Mesmo com as instruções para que os funcionários não acessem sites ou contas não relacionadas à empresa, é difícil saber se essa orientação foi seguida à risca ou não. Fazer uma varredura preventiva é uma boa forma de assegurar a proteção desses dispositivos.
5. Controle o retorno de documentos físicos.
Apesar da recente tendência à digitalização em massa de documentos corporativos, muitas funções administrativas, por exemplo, lidam com documentos impressos. Por isso, é importante que seja feito um controle da devolução desses documentos para a empresa. Você pode fazer isso por meio de alguma relação de documentos pré-existe ou, caso esta não esteja disponível, liste quais documentos são necessários em cada área e verifique se foi retornado à companhia. Atente-se ao fato de que, infelizmente, essa não é uma medida 100% eficaz, uma vez que podem ter sido feitas cópias desses documentos, mas é uma forma de minimizar os danos quanto ao vazamento de dados corporativos.
6. Treine e conscientize seus usuários.
A medida preventiva mais eficiente sempre será o treinamento e conscientização dos usuários. Se sua empresa já contava com um programa de conscientização previamente ao início da quarentena, dê continuidade e reforce-o. Se não, implemente um programa, já! Dê preferência para programas que busquem o engajamento dos usuários de forma positiva e divertida. Caso queira conhecer um desses programas, visite https://hackerrangers.com/ para saber mais!
Produção: Equipe de Conteúdo Perallis Security