Como aplicar controles de segurança da informação no trabalho remoto de acordo com a ISO 27001

Permitir que os funcionários trabalhem fora do escritório, isto é, fora das instalações físicas da organização (também conhecido como “trabalho remoto”) está se tornando uma prática comum no modo de fazer negócios hoje. A capacidade de trabalhar remotamente é vista como uma fonte de incentivo para a produtividade de um empregado e economia de custos para as organizações, para não mencionar a possibilidade de a organização alcança o profissional certo que quer em qualquer parte do mundo.

Mas, este cenário de informações fora do controle direto da organização também apresenta riscos significativos para a segurança da informação que devem ser tratados adequadamente. Neste artigo, você verá os riscos potenciais do trabalho remoto e como a ISO 27001, a norma internacional líder que descreve como gerenciar a segurança da informação, pode ser usada para ajudar a proteger as informações nessas condições.

O que exatamente é trabalho remoto?

Existem muitas definições de trabalho remoto encontradas na literatura, mas muitas delas têm estas duas coisas em comum:

• O trabalhador está fora do ambiente da organização.
• Tecnologias da informação e comunicação são usadas para permanecer conectado ao escritório.

Considerando isto, podemos ter estes possíveis cenários para o trabalho remoto:

• Pessoas estão trabalhando de casa ou de um local que não é nem suas casas ou a organização (ex.: ciber cafés, hotéis, aviões, etc.).
• Pessoas estão usando dispositivos fixos ou móveis (ex.: PCs, notebooks, tablets, smartphones, etc.).
• Pessoas estão usando redes de comunicação públicas ou privadas (ex.: Internet e Extranet).

Conhecer estes cenários é crítico para identificar as situações mais prováveis que podem colocar as suas informações em risco.

Riscos associados ao trabalho remoto

A partir dos cenários previamente apresentados, uma avaliação de riscos de segurança da informação poderia identificar os seguintes riscos:

• A família ou amigos de um empregado podem usar o dispositivo, acessando os sistemas e informações sensíveis da organização.
• Material em mídia física usado no site remoto pode ser perdido ou roubado.
• O próprio dispositivo pode ser perdido ou roubado.
• Um dispositivo perdido ou roubado pode ser usado para se obter acesso não autorizado aos sistemas da organização.
• A informação pode ser interceptada durante a transmissão entre a organização e o dispositivo.
• O canal de comunicação pode ser interceptado e usado para invadir o ambiente da organização.
• Um dispositivo desatualizado pode ser comprometido e usado para invadir os sistemas da organização.
• A informação podia ser copiada ou extraída do ambiente da organização sem ninguém saber.

É importante notar que, embora todos os dispositivos estejam em risco de serem perdidos ou roubados, a natureza dos dispositivos móveis (ex.: portabilidade e valor) aumentam este risco.

Aplicando controles da ISO 27001 ao trabalho remoto

Baseados em melhores práticas já reconhecidas, os controles da ISO 27001 descrito no Anexo A, e detalhados na ISO 27002, podem ajudar as organizações a lidar com os riscos do trabalho remoto em suas várias formas, e o controle primário é a definição de uma Política de dispositivo móvel e trabalho remoto baseada nos controle A.6.2.1 (Política de dispositivo móvel) e controle A.6.2.2 (Trabalho remoto).

Através desta política, uma organização pode estabelecer as regras para a implementação de salvaguardas para proteger as informações acessadas, processadas ou armazenadas fora da organização, tais como:

• Quem pode trabalhar remotamente (ex.: equipe de TI, vendedores, gerentes em viagem, etc.)
• Quais serviços estão disponíveis para os trabalhadores remotos (ex.: ambiente de desenvolvimento, sistemas de pagamento, etc.)
• quais informações podem ser acessadas através do trabalho remoto (ex.: painéis de desempenho, lista de clientes, etc.); para mais informações, veja: Classificação da Informação de acordo com a ISO 27001.
• Quais controles de acesso deverão ser aplicados antes do acesso a informações e serviços ser concedido (ex.: senha, duplo fator de autenticação, uso de VPN em canais de comunicação, etc.); para mais informações, veja: Como gerir a segurança dos serviços de rede de acordo com o controle A.13.1.2 da ISO 27001.
• Como dispositivos e sites remotos deveriam ser configurados, protegidos e usados (ex.: dispositivos com criptografia, não fazer uso de salas compartilhadas para trabalhar, cópias de segurança de informações, etc.)

Adicionalmente, ao se implementar um Programa de conscientização, educação e treinamento em segurança da informação baseado no controle A.7.2.2, uma organização pode estruturar seus esforços para aprimorar o comportamento de segurança de seus trabalhadores remotos ao instruí-los a tomar precauções de segurança com relação a abertura de e-mails, definição de senhas fortes em seus dispositivos, e tornando claro que o comprometimento da segurança da informação devido à falta de cautela pode resultar em procedimentos disciplinares e até mesmo em ações legais. Para mais informações, veja: 8 Práticas de Segurança para Usar em seu Programa de Treinamento e Conscientização para Empregados.

Matenha informações seguras, mesmo longe da organização

Não importa em que setor você trabalha, em algum momento sua organização, ou pelo menos parte dela, começará a fazer uso do trabalho remoto. A conectividade proporcionada pelas tecnologias de informação e comunicação não só permite que os funcionários trabalhem de qualquer lugar, aumentando a produtividade e melhorando o tempo de resposta, mas também permite que as organizações contem com profissionais treinados de qualquer lugar do mundo.

Mas, ao expor sua infraestrutura, sistemas e informações dessa forma, uma organização precisa tomar precauções considerando os altos riscos envolvidos, e com a ajuda dos requisitos da ISO 27001 para gerenciamento de riscos de segurança da informação e os controles de segurança de seu Anexo A, esta tarefa pode tornar-se menos complexa e permitir-lhe tirar o máximo proveito do trabalho remoto com o menor risco.

Para saber mais sobre tornar o trabalho remoto e outras situações envolvendo o uso da informação mais seguros de acordo com a ISO 27001, experimento nosso treinamento online gratuito  ISO 27001:2013 Foundations Course.