Quando falamos de home office, termo que se popularizou no Brasil devido a pandemia do COVID-19, ou como muito usado lá fora, o working from home #wfh, está presente hoje na maioria das empresas, que tem a opção de ter suas operações de forma remota ou pelo menos parte delas.

O termo e tipo de trabalho estão em alta agora, mas já era uma realidade de muitas empresas que decidiram e puderam, flexibilizar essa modalidade de trabalho, seja no ponto de vista de economia, seja ele como um beneficio para o colaborador que não precisa se deslocar até o escritório. Alguns preferirão o trabalho no escritório, a rotina, o controle, etc, mas este é assunto pra outro post 🙂

O fato é que, uma modalidade que alguns escolheram, se tornou o único meio de trabalho para muitas empresas e que mesmo depois da pandemia passar, nem todas voltarão às suas operações exatamente como eram pré-pandemia.

A guide to safely working from home in period of Covid-19 uncertainty

Algumas empresas optam por fornecer VPN aos seus colaboradores, muitos dos sistemas não são publicados para a internet, sendo essa uma das melhores opções para o acesso remoto.

Outras, tem muitos dos seus principais sistemas como SaaS (software as a service). Exemplos: Microsoft 365, SalesForce, ZenDesk, Workday, etc. Essas, não necessariamente precisam de VPN.

Um é seguro e outro não? O acesso via VPN por si só, mantem o ambiente seguro? O “HTTPS” dos sites acima, mantém os dados seguros?

“Não”. Para todas as perguntas anteriores…


VPN

No caso de VPN (client-to-site onde o usuário acessa a rede da empresa a partir de seu dispositivo), temos dois modos de operação comuns:

1 – Todo o tráfego do usuário vai pela VPN. Isto é, tudo que o usuário for acessar, seja ele o sistema ERP, o CRM, o servidor de arquivos, o Netflix ou o site do UOL, tudo passa pelo túnel VPN e sai de forma centralizada pela empresa.

2 – Tráfego dividido. O que é pra recursos internos (ERP, servidor de arquivos, VoIP, etc), vai pela VPN. O que não é, sai pela internet do próprio usuário.

Os dois modos tem caraterísticas peculiares e que devem ser discutidas. No primeiro, pode sobrecarregar o concentrador de VPN, pode estar apenas consumindo recursos a mais, mas pode também tornar a conexão como um todo mais seguro, visto que está controlando tudo que passa pela rede do dispositivo do usuário. Mas esse dispositivo, só se conecta a internet através da VPN ou o usuário pode desativar para assistir seu Netflix ou clicar em algum link malicioso? Se ele se infectar, fora da VPN, quando conectar na VPN, vai levar todo o malware pra dentro da rede também? No segundo caso temos um problema parecido, o que o usuário clica na internet, pode espalhar a rede interna?


Sem VPN

Nas aplicações SaaS, temos alguns riscos inerentes, como:

  • Roubo de credenciais;
  • Ataques de força bruta;
  • Vazamento de informações sensíveis;
  • Falta de controle de segurança no dispositivo do usuário;
  • Entre outros tantos.

Como resolver?

Existem diversas formas, mas tudo precisa ser avaliado conforme os requisitos da companhia. Algumas soluções são:

  • Validação do dispositivo antes de conectar-se a VPN. Checar se está com firewall ativo, atualizações instaladas, anti-virus funcionando;
  • Politica para só acessar a internet ou qualquer outra rede, se estiver conectado na VPN;
  • Duplo fator de autenticação. Apenas uma etapa de verificação de credenciais é um grande risco;
  • Gerenciamento de identidade;
  • Criptografia dos dados no dispositivo. Como estamos falando de acessos remotos, onde as pessoas voltarão a circular, esses dispositivos poderão ser roubados/perdidos;
  • Prevenção de vazamento dos dados (DLP). As vezes por um ataque, as vezes por um funcionário descontente, enfim, muitas são as formas de ter dados vazados;
  • Gerenciamento dos dispositivos na ponta. Anti-virus, firewall, politicas de pen-drive, segurança pro dispositivo final (notebook, pc, tablet, smarphone, etc).

Por último, mas não menos importante:

Treine e conscientize seus usuários sobre segurança da informação. O conhecimento é sempre o maior aliado.

Essas são apenas algumas formas, mas como disse, não há uma formula padrão para todos. Por isso, entre em contato conosco da OL Tecnologia que juntos escolheremos as melhores e mais seguras opções de controle pra você e sua empresa, inclusive estamos dispostos a lhe ajudar com a conscientização dos seus usuários.

Teste a segurança de seu dispositivo de forma fácil, rápida, grátis e on-line aqui.

A segurança da informação se dá no caminho, não é um destino final 🙂