Rhand Leal
março 26, 2017
Permitir que os funcionários trabalhem fora do escritório, isto é, fora das instalações físicas da organização (também conhecido como “trabalho remoto”) está se tornando uma prática comum no modo de fazer negócios hoje. A capacidade de trabalhar remotamente é vista como uma fonte de incentivo para a produtividade de um empregado e economia de custos para as organizações, para não mencionar a possibilidade de a organização alcança o profissional certo que quer em qualquer parte do mundo.
Mas, este cenário de informações fora do controle direto da organização também apresenta riscos significativos para a segurança da informação que devem ser tratados adequadamente. Neste artigo, você verá os riscos potenciais do trabalho remoto e como a ISO 27001, a norma internacional líder que descreve como gerenciar a segurança da informação, pode ser usada para ajudar a proteger as informações nessas condições.
Existem muitas definições de trabalho remoto encontradas na literatura, mas muitas delas têm estas duas coisas em comum:
Considerando isto, podemos ter estes possíveis cenários para o trabalho remoto:
Conhecer estes cenários é crítico para identificar as situações mais prováveis que podem colocar as suas informações em risco.
A partir dos cenários previamente apresentados, uma avaliação de riscos de segurança da informação poderia identificar os seguintes riscos:
É importante notar que, embora todos os dispositivos estejam em risco de serem perdidos ou roubados, a natureza dos dispositivos móveis (ex.: portabilidade e valor) aumentam este risco.
Baseados em melhores práticas já reconhecidas, os controles da ISO 27001 descrito no Anexo A, e detalhados na ISO 27002, podem ajudar as organizações a lidar com os riscos do trabalho remoto em suas várias formas, e o controle primário é a definição de uma Política de dispositivo móvel e trabalho remoto baseada nos controle A.6.2.1 (Política de dispositivo móvel) e controle A.6.2.2 (Trabalho remoto).
Através desta política, uma organização pode estabelecer as regras para a implementação de salvaguardas para proteger as informações acessadas, processadas ou armazenadas fora da organização, tais como:
Adicionalmente, ao se implementar um Programa de conscientização, educação e treinamento em segurança da informação baseado no controle A.7.2.2, uma organização pode estruturar seus esforços para aprimorar o comportamento de segurança de seus trabalhadores remotos ao instruí-los a tomar precauções de segurança com relação a abertura de e-mails, definição de senhas fortes em seus dispositivos, e tornando claro que o comprometimento da segurança da informação devido à falta de cautela pode resultar em procedimentos disciplinares e até mesmo em ações legais. Para mais informações, veja: 8 Práticas de Segurança para Usar em seu Programa de Treinamento e Conscientização para Empregados.
Não importa em que setor você trabalha, em algum momento sua organização, ou pelo menos parte dela, começará a fazer uso do trabalho remoto. A conectividade proporcionada pelas tecnologias de informação e comunicação não só permite que os funcionários trabalhem de qualquer lugar, aumentando a produtividade e melhorando o tempo de resposta, mas também permite que as organizações contem com profissionais treinados de qualquer lugar do mundo.
Mas, ao expor sua infraestrutura, sistemas e informações dessa forma, uma organização precisa tomar precauções considerando os altos riscos envolvidos, e com a ajuda dos requisitos da ISO 27001 para gerenciamento de riscos de segurança da informação e os controles de segurança de seu Anexo A, esta tarefa pode tornar-se menos complexa e permitir-lhe tirar o máximo proveito do trabalho remoto com o menor risco.
Para saber mais sobre tornar o trabalho remoto e outras situações envolvendo o uso da informação mais seguros de acordo com a ISO 27001, experimento nosso treinamento online gratuito ISO 27001:2013 Foundations Course.