SlideShare uma empresa Scribd logo

Guia de Trabalho a distância

ESET Brasil
ESET Brasil

O trabalho remoto ou trabalho a distância, se caracteriza pela realização do trabalho fora do escritório. Mesmo que ele seja geralmente associado ao home office, não está limitado somente ao trabalho em casa; isso pode ocorrer também em escritórios compartilhados ou qualquer espaço diferente do da empresa. Do mesmo modo, na maioria dos casos não existem horários definidos, mas sim tarefas e objetivos a serem cumpridos. Neste guia, apresentamos tudo o que você precisa saber para trabalhar em casa com o máximo de segurança.

Tecnologia
1 de 16
Baixar para ler offline
GUIA DE Trabalho a distância PARA EMPRESAS
Introdução Índice O trabalho remoto ou trabalho a distância, se caracteriza pela realização do trabalho fora do escritório. Mesmo que ele seja geralmente associado ao home office, não está li- mitado somente ao trabalho em casa; isso pode ocorrer também em escritórios compar- tilhados ou qualquer espaço diferente do da empresa. Do mesmo modo, na maioria dos casos não existem horários definidos, mas sim tarefas e objetivos a serem cumpridos. Sem dúvidas, essa metodologia ganhou força devido às possibilidades e o crescimento que a Internet oferece, especialmente quanto ao desenvolvimento de novas de tecnolo- gias de comunicação integradas em sistemas com base na Nuvem. Além disso, o trabalho a distância, dentre suas vantagens, é capaz de diminuir os custos corporativos. Isso se deve à portabilidade tecnológica que permite que os empregados sejam produtivos mesmo fora da empresa. Isso obriga que as companhias levem em conta diversos panoramas, como a manipu- lação da informação corporativa em dispositivos que possam estar desprotegidos da forma adequada ou o acesso remoto a informações sensíveis. Esses casos, entre muitos outros, fazem com que as empresas se organizem de formas diferentes para gerenciar a segurança, minimizando os riscos associados a um ataque a informações mais críticas. Mudanças de paradigma na gestão 03 Desafios e oportunidades 04 Além do perímetro 05 Gerenciando os riscos 06 Por onde começar a 07 identificar os riscos Controle de dados corporativos 08 e virtualização Continuidade do negócio 09 Além do contrato profissional 10 7 pilares de segurança 11 Avaliação e melhora contínua 14 Conclusão 15
3 Mudanças de paradigma na gestão Sem dúvidas, esse modo de trabalho implica em mu- danças não só para o funcionário, mas também para os empregadores, já que devem considerar questões que vão desde onde o empregado acessa a informação, até a forma com que entra nos sistemas. Por esse motivo, tudo que está relacionado com os equipamentos de trabalho, a responsabilidade e os custos devem estar definidos de forma clara antes de implementar uma forma de trabalho. O mais comum é que o empregador proporcione e mantenha os equipamentos necessários para o tra- balho regular, no entanto, também pode acontecer do funcionário utilizar seu próprio equipamento. Independente do modo escolhido, a empresa deve considerar oferecer ao empregado um suporte técni- co para que ele possa desenvolver suas tarefas sem nenhum problema. Nesse sentido, a empresa deverá prestar muita atenção na forma como seus empregados se conec- tam às redes corporativas e públicas para administrar a informação, em detrimento da preocupação que antes se tinha devido à infraestrutura física. A adoção de metodologias de trabalho a distância significa uma transformação na forma de gestão de segurança dos dados em uma ampla variedade de dispositivos, apli- cativos e sistemas operacionais. Esse modo de trabalho implica em mudanças não só para o funcionário, mas também para os empregadores, já que devem considerar questões que vão desde onde o empregado acessa a informação, até a forma com que entra nos sistemas.
4 Desafios e oportunidades Sem dúvidas, o trabalho a distância oferece oportuni- dades para aumentar a produtividade devido à implan- tação do trabalho com objetivos de menos custos ao diminuir a infraestrutura necessária e utilizando novas tecnologias que agilizem as tarefas dos empregados. No entanto, esse método também implica em desa- fios e riscos que devem ser levados em consideração para implementar medidas de controle adequadas, já que se você não as estabelece, isso pode abrir brechas de segurança, dar chance de infecções com códigos maliciosos ou acessos não autorizados sobre infor- mações privilegiadas. Além de pensar nos benefícios econômicos e opera- cionais, as empresas devem levar em consideração os comportamentos e dispositivos de toda a equipe de colaboradores para tomar as medidas de controle adequadas e, assim, garantir que a informação per- manecerá protegida.
5 Além do perímetro Ao permitir que os funcionários acessem e manipulem informações fora do ambiente corporativo, a fronteira de complicações de segurança se amplia. Portanto, para administrar essa questão é necessário ir além do perímetro tradicional, que costumava se estender até o firewall da empresa. Pensar em ameaças à informação nesse novo contex- to, nos faz pensar em outros tipos de riscos que em um ambiente fora do perímetro corporativo possuem uma maior probabilidade de acontecer. Consequentemente, é necessário identificar as vulnerabilidades que são ge- radas e quais ameaças podem se aproveitar delas. Vejamos algumas das que devem ser consideradas: VULNERABILIDADES Senhas fracas Ausência de soluções de segurança Conexão a partir de redes desprotegidas Dispositivos com informação não criptografada Falta de backups da informação Falta de atualizações de sistemas e dispositivos AMEAÇAS Perda de dispositivos Infecções por códigos maliciosos Execução de exploits Danos aos equipamentos Truques baseados em egenharia social
6 Gerenciando os riscos Ogerenciamentoderiscosdeveestarfocadoemimple- mentar os controles adequados para corrigir as vulne- rabilidades ou evitar que um incidente ocorra. O primeiro passo que uma empresa deve dar antes de implementar uma política desse tipo é a classificação da informação com o objetivo de estabelecer, por exemplo, quais são os dados sensíveis que requerem um maior nível de proteção; quais informações podem ser acessadas a partir de dispositivos pessoais; quais podem ser acessadas fora da rede da empresa; e quais devem ter seu acesso completamente restringido. Se a empresa possui um ponto de partida claro, é possí- vel determinar quais são os riscos que possuem uma maior probabilidade de acontecer ou que podem ter um maior impacto, e a partir disso, determinar as me- didas de controle mais adequadas para garantir a segu- rança da informação, tanto do tipo tecnológico como do de gestão. A empresa primeiro deve classificar a informação para estabelecer quais dados devem ser de fácil acesso e quais devem possuir níveis de proteção maiores.
7 Por onde começar a identificar os riscos Acessos a informações sensíveis a partir de ambientes não confiáveis É necessário considerar o panorama no qual o funcio- nário acessa os sistemas corporativos a partir de redes Wi-Fi públicas ou a partir de dispositivos que se encon- tram desprotegidos. Permissões de usuário no sistema Se o funcionário trabalha a partir de seu próprio com- putador, pode ser que utilize um perfil de administra- dor. Portanto, não é posível controlar o que se instala ou que acessos adicionais se dão ao dispositivo. Equipamento corporativo para uso pessoal Quando a empresa oferece um computador ao funcio- nário para realizar o trabalho a distância, ele é capaz de utilizar esse equipamento para realizar atividades pessoais, portanto é necessário considerar esse tipo de uso e os inconvenientes que isso poderia causar com relação à informação corporativa do equipamen- to e seu respectivo acesso à rede da empresa. Backup da informação As tarefas de backup de informações importantes podem se tornar complicadas caso não se tenha em mente que muitos dos dados utilizados pelo funcio- nário podem estar armazenados de maneira local, ou seja, fora das atividades de backup. Isso é um grande problema se o equipamento não se encontra conecta- do às redes correspondentes no período programado. Sistemas de autenticação fracos Deixarumaautenticaçãoúnicaparaacessarsistemasda empresacomumsenhaéaopçãomenosrecomendada. É importante pensar em outras formas de autenticação que possam adicionar mais camadas de proteção. Falta de políticas de segurança Tanto o empregado como a empresa devem saber de maneira clara o que podem fazer e como devem reali- zar as tarefas. Se isso não está claro, se torna um elo fraco na cadeia de segurança.
8 Controle de dados corporativos e virtualização Uma das melhores alternativas que as empresas pos- suem para aplicar um esquema de trabalho é a virtua- lização de seus ambientes. Com essa abordagem é possível obter um maior controle dos dados mais sen- síveis de cada organização e eliminar riscos associados ao uso de um dispositivo próprio do funcionário ao ad- ministrar a informação da empresa. Ao virtualizar seu ambiente de trabalho, é possível fazer com que o usuário faça suas atividades a par- tir uma localização remota em um ambiente onde é possível adicionar mais medidas de controle. Desse modo, tanto os aplicativos como a informação que se manipula, estarão sob o controle da empresa. Inclu- sive, os arquivos permanecem dentro dos servidores corporativos e em nenhum momento passam ao dis- positivo desde que o usuário acessa. Não é um método infalível, mas se é possível adicio- nar um nível a mais de proteção ao limitar que a infor- mação seja processada diretamente no dispositivo do funcionário. Obviamente isso deve estar acompanha- do dos controle apropriados para evitar possíveis fuga de dados.
9 Continuidade do negócio Quando todos os funcionários se encontram em um mesmo escritório, a empresa costuma ter um plano para recuperar operações caso haja algum incidente. Do mesmo modo, é necessário contar com esse plano quando se implementa o trabalho a distância e os co- laboradores estão fora da companhia. Não obstante, ao contar com um esquema de tra- balho remoto, ou seja, com equipamentos fora da infraestrutura comprometida, o processo de restau- ração se torna mais eficaz para garantir a continuida- de do negócio; isso se deve porque somente é preciso focar esforços na infraestrutura mais crítica. No mesmo contexto, é ideal contar com os sistemas virtuais, já que permitiria descentralizá-los em dife- rentes provedores e, assim reduzir o impacto de um possível incidente. Dessa maneira, caso ocorresse um incidente que afetaria a continuidade das operações - como uma falha elétrica nos escritórios ou um ata- que que comprometeria o acesso à Internet -, aqueles que estão conectados por fora não vão se prejudicar e poderão seguir com suas atividades. Caso o incidente seja capaz de afetar o dispositivo físico de um funcio- nário, ele poderá utilizar outro para acessar ao am- biente virtualizado e continuar com suas atividades.
10 Além do contrato profissional Se o funcionário manipula a informação da empresa em seu dispositivo pessoal, deve estar claro que ele terá que passar esses dados após o término de contrato, já que é difícil saber se a informação será eliminada. Se bem a empresa pode oferecer os equipamentos para que o empregado realize seu trabalho, e dessa maneira recuperá-lo ao final de uma relação contratual, o risco de uma fuga de informação segue sendo bastante pro- vável. Contar com os dados em depósitos administra- dos pela empresa e cuidar das permissões de acesso e modificação reduzem a possibilidade de uma fuga. Do mesmo modo, outras ações de controle podem se apoiar em aspectos contratuais, como assinar acordos de confidencialidade ou medidas mais estritas com re- lação ao tipo de informação que podem ser baixadas e armazenadas em tais dispositivos. É necessário falar previamente com o funcionário sobre a administração de informações da empresa, mesmo trabalhando com seu dispositivo pessoal ou um oferecido pela empresa.
11 7 pilares de segurança Éessencialcertificar-sequeoacessoàinformação é permitido somente para as funções habilitadas para ela. Para isso, é necessário estabelecer as responsabi- lidades na empresa de acordo com os objetivos de funcionários e também os envolvidos na gestão. Aspectos como o controle de tecnologias, reali- zações de backup, contar com processos de re- cuperação, entre outros, são algumas das tarefas que devem possuir um responsável e um momen- to definido. Do mesmo modo, os funcionários relacionados ao trabalho a distância devem conhecer as políti- cas e, além disso, obter as permissões necessárias para realizar suas tarefas, já que deixar os perfis em modo padrão, sem controle ou sem políticas de acesso pode gerar problemas de segurança. Levando em consideração a ampla variedade de dispositivos no mercado, é importante restringir o acesso somente para aqueles que aplicam as ferramentas de segurança de forma adequada. Nesse sentido, não é a mesma coisa se um fun- cionário acessar informações a partir de seu computador pessoal com um sistema operacio- nal atualizado e com uma solução de segurança instalada, e se o faça partir de um tablet desa- tualizado, sem proteção e que várias pessoas utilizam para jogar e baixar aplicativos. Portanto, é necessário considerar por qual dispositivo você irá permitir o acesso à informação corporativa. GERENCIAR FUNÇÕES CONTROLE DE DISPOSITIVOS1 2
12 Para garantir que nenhum código malicioso afete os dados, todos os dispositivos utilizados pelo empregado devem contar com soluções de segurança que sejam capazes de detectar de maneira proativa esse tipo de ameaças. Se o dispositivo a partir do qual o funcionário utiliza não é da empresa, e além disso, não se utilizam ambientes virtuais, os riscos de sofrer uma infecção com códigos maliciosos são mais altos. A mesma condição se aplica para disposi- tivos móveis. Além de uma solução de segurança, é neces- sário que o computador ou dispositivo móvel tenha todos os seus aplicativos atualizados. Portanto, a política de atualização deve ser cla- ra para não dar lugar a vulnerabilidades. Dado que existem dispositivos que estão acessan- do a rede fora do perímetro físico do escritório, é necessário realizar um seguimento sobre o tipo de tráfego gerado. Por exemplo, por onde costumam acessar, se há muitas tentativas frequentes e fal- has de acesso ao servidor, ou ainda, geram algum tipo de tráfego inapropriado, como o download de arquivos desconhecidos. Outro aspecto importante, é a possibilidade de criar regras de tráfego que permitem verificar o comportamento da rede quando se realiza al- guma mudança, seja a inclusão de alguma nova tecnologia ou serviço, fazendo com que seja possível determinar o uso e o que os usuários que estão fora da rede fazem. Uma VPN (Virtual Private Network) é um tecno- logia de rede que é utilizada para conectar um ou mais computadores a uma rede privada utilizan- do a Internet. Ao implementar essa ferramenta, a empresa possui uma maior certeza de que quando seus funcionários quiserem acessar recursos corpo- rativos a partir de suas casas, um hotel ou um restaurante, isso será realizado de forma segura. Para esses casos de trabalho a distância, a im- plementação de conexões VPN baseadas no cliente é o mais apropriado, já que esse tipo de rede permite manter o usuário conectado a partir de uma rede remota, através de um apli- cativo que se encarrega de estabelecer a comu- nicação com a VPN. Para acessar a uma conexão segura, o usuário deve executar o aplicativo e se autenticar com um nome de usuário e senha, incluindo um segundo fator de autenticação. Desse modo, um canal criptografado é criado entre o equipamento e a rede remota, para uma troca segura de dados. PROTEGER CONTRA CÓDIGOS MALICIOSOS MONITORAR O TRÁFEGO DE REDE CONEXÕES SEGURAS3 4 5
13 CRIAR UMA POLÍTICA DE SEGURANÇA6 Na política de segurança é necessário declarar as intenções quanto a proteção dos recursos infor- máticos, e a partir dela estabelecer as bases para determinar as obrigações e responsabilidades dos usuários quanto ao uso das tecnologias que possuem a sua disposição. Portanto, essa política deve definir que tipo de ações podem ser feitas e quem está habilitado para executá-las. Não é o mesmo tentar modifi- car uma base de dados por parte de um usuário que está fora da empresa, em vez de poder reali- zar consultas e informes. Cada política é própria da realidade da organi- zação e do alcance estabelecido para os empre- gradoas que fazem parte do trabalho a distân- cia. Não obstante, é necessário reconhecer os ativos da informação, já que não se pode contro- lar aquilo que não se conhece seu estado. A educação deve ser um pilar importante para que todos os usuários sejam conscientes dos ris- cos aos quais podem estar expostos e quais são os cuidados que devem ter ao acessar dispositi- vos que não são da companhia. Se o usuário não conhece os riscos aos quais ex- põe a informação da empresa, e incluindo seus próprios dados, pode se tornar vítima de mui- tas ameaças com mais facilidade. O funcionário deve entender que assim que estiver fora do es- critório, o dispositivo que utiliza para trabalhar é uma porta de qualquer organização e é neces- sário garantir seu uso adequado. CONSCIENTIZAR OS EMPREGADOS7
14 Evolução e melhora contínua A melhora contínua é um conceito que vem dos siste- mas de gestão, e que para casos de implementações importantes, como a do trabalho a distância, é crucial para um bom funcionamento. Portanto, é necessário avaliar e medir a forma com que as atividades daque- les que trabalham de forma remota vão se desenvol- vendo, sempre levando em consideração a política e os objetivos de segurança e informar os resultados. É a partir dessa informação que se pode implementar as mudançasnecessáriasparamelhorarosprocessos.Para queessasatividadesobtenhamêxito,deve-semonitorar o uso dos ativos da informação para detectar mudanças nos possíveis riscos que podem surgir. Por exemplo, cada vez que se realiza uma mundança na infraestrutura mais crítica ou quando alguma polí- tica de segurança muda, é importante verificar se to- dos realizam suas atividades de acordo com tais mu- danças. O surgimento de uma nova vulnerabilidade ou atualização de alguma das ferramentas utilizadas para se conectar de forma remota podem ser utiliza- das por invasores para chegar à informação sensível. Não basta implementar um programa de trabalho a distância de forma exemplar, a chave para que real- mente seja possível aproveitar e gerar os benefícios es- perados é que se faça um acompanhamento de como ela foi implementada.
15 A adoção de uma metodologia de trabalho a distância pode trazer grandes benefícios relaciona- dos a diminuição de gastos na infraestrutura, a comodidade dos funcionários para a adminis- tração da informação e, portanto, um aumento de produtividade; não obstante, a empresa en- frenta novas ameaças que devem ser gerenciadas. Estamos tratando principalmente de fuga de dados e acessos não autorizados à informação. Para enfrentar esses desafios, as organizações devem realizar uma combinação entre políticas clara para o gerenciamento da informação e o uso de ferramentas adequadas que permitem sua gestão de segurança. Do mesmo modo, não se pode deixar de lado a educação dos empregados para que conheçam os riscos e saibam como pode enfrentá-los. O acesso à informação corporativa por parte de pessoas alheias à empresa e consequentemen- te a fuga dos daos, muitas vezes, pode deixar sequelas econômicas para recuperar ou reparar os danos causados. Nesse sentido, barreiras de prevenção como programas de criptografia, sen- has e firewall contra ataques a partir da rede podem evitar mais de uma simples dor de cabeça. O trabalho a distância não é uma opção viável para todas as empresas, e ainda se uma compan- hia decide realizar essa metodologia, talvez não será aplicada para todas as áreas. Para mudar a forma de trabalhar em uma organização, é importante realizar um bom planejamento e que a implantação seja progressiva, avaliando os resultados obtidos. A melhora contínua do processo, a implementação de controles de segurança e a conscienti- zação dos funcionários será fundamental para que se possa obter um ambiente de trabalho se- guro. Dessa maneira, a organização poderá contar com um ambiente suficientemente robusto conhecendo o tipo de dispositivos que podem se conectar, e com métodos de acesso seguros e definidos, independentemente do foco (físico ou virtual) que se escolheu. Depois de tudo, para poder estar alinhado com os avanços da tecnologia é necessário se con- centrar na gestão de segurança da informação, mais que na segurança da infraestrutura, e o trabalho a distância é um grande exemplo dessas práticas. Conclusão
www.eset.com/br /EsetBrasil @ESET_Brasil /company/eset-brasil

Recomendados

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Sistema de informação portfólio
Sistema de informação portfólioSistema de informação portfólio
Sistema de informação portfólioAndréia Cruz
 

Recomendados

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Segurança Inter-redes
Segurança Inter-redesSegurança Inter-redes
Segurança Inter-redesfelipetsi
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Sistema de informação portfólio
Sistema de informação portfólioSistema de informação portfólio
Sistema de informação portfólioAndréia Cruz
 
Portfolio sistemas de informação ii
Portfolio sistemas de informação iiPortfolio sistemas de informação ii
Portfolio sistemas de informação iiAndréia Cruz
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWSbibliotecafacigsp bibliotecafacigsp
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Computação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da InformaçãoComputação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da InformaçãoLeonardo Sepulcri
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOWellington Monaco
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
IT2S Group
IT2S GroupIT2S Group
IT2S GroupGustavo Sana
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaatsPortal_do_Estudante_aud
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosUniversity of North Carolina at Chapel Hill
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 

Mais conteúdo relacionado

Mais procurados

Portfolio sistemas de informação ii
Portfolio sistemas de informação iiPortfolio sistemas de informação ii
Portfolio sistemas de informação iiAndréia Cruz
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Computação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da InformaçãoComputação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da InformaçãoLeonardo Sepulcri
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOWellington Monaco
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 

Mais procurados (20)

Portfolio sistemas de informação ii
Portfolio sistemas de informação iiPortfolio sistemas de informação ii
Portfolio sistemas de informação ii
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...
 
FACIG NEWS
FACIG NEWSFACIG NEWS
FACIG NEWS
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Computação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da InformaçãoComputação Autonoma no Ambiente das Tecnologias da Informação
Computação Autonoma no Ambiente das Tecnologias da Informação
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 

Semelhante a Guia de Trabalho a distância

Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoCisco do Brasil
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Gerenciamento para além da força de trabalho remota
Gerenciamento para além da força de trabalho remotaGerenciamento para além da força de trabalho remota
Gerenciamento para além da força de trabalho remotaArkadinBrasil
 
Proteja os aplicativos essenciais dos seus funcionários móveis
Proteja os aplicativos essenciais dos seus funcionários móveisProteja os aplicativos essenciais dos seus funcionários móveis
Proteja os aplicativos essenciais dos seus funcionários móveisSymantec
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
A Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilA Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilCisco do Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Juliocezarvidaldeoliveira
JuliocezarvidaldeoliveiraJuliocezarvidaldeoliveira
Juliocezarvidaldeoliveirajulio vidal
 
RH Nydus - Software para Recursos Humanos
RH Nydus - Software para Recursos HumanosRH Nydus - Software para Recursos Humanos
RH Nydus - Software para Recursos Humanosbniatitude
 

Semelhante a Guia de Trabalho a distância (20)

Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Como obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geraçãoComo obter o máximo aproveitamento do firewall de última geração
Como obter o máximo aproveitamento do firewall de última geração
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Mobilidade ii
Mobilidade iiMobilidade ii
Mobilidade ii
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Gerenciamento para além da força de trabalho remota
Gerenciamento para além da força de trabalho remotaGerenciamento para além da força de trabalho remota
Gerenciamento para além da força de trabalho remota
 
Proteja os aplicativos essenciais dos seus funcionários móveis
Proteja os aplicativos essenciais dos seus funcionários móveisProteja os aplicativos essenciais dos seus funcionários móveis
Proteja os aplicativos essenciais dos seus funcionários móveis
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
A Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no BrasilA Chave para uma estratégia bem-sucedida de consumerização no Brasil
A Chave para uma estratégia bem-sucedida de consumerização no Brasil
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Juliocezarvidaldeoliveira
JuliocezarvidaldeoliveiraJuliocezarvidaldeoliveira
Juliocezarvidaldeoliveira
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
RH Nydus - Software para Recursos Humanos
RH Nydus - Software para Recursos HumanosRH Nydus - Software para Recursos Humanos
RH Nydus - Software para Recursos Humanos
 

Mais de ESET Brasil

Órgãos governamentais na mira dos cibercriminosos
Órgãos governamentais na mira dos cibercriminososÓrgãos governamentais na mira dos cibercriminosos
Órgãos governamentais na mira dos cibercriminososESET Brasil
 
O Ransomware no Brasil
O Ransomware no BrasilO Ransomware no Brasil
O Ransomware no BrasilESET Brasil
 
Educação em cibersegurança: os usuários estão cada vez mais conscientes
Educação em cibersegurança: os usuários estão cada vez mais conscientesEducação em cibersegurança: os usuários estão cada vez mais conscientes
Educação em cibersegurança: os usuários estão cada vez mais conscientesESET Brasil
 
Você consegue identificar um e-mail de phishing facilmente?
Você consegue identificar um e-mail de phishing facilmente?Você consegue identificar um e-mail de phishing facilmente?
Você consegue identificar um e-mail de phishing facilmente?ESET Brasil
 
5 casos de ciberataques contra empresas de videogames desde 2020
5 casos de ciberataques contra empresas de videogames desde 20205 casos de ciberataques contra empresas de videogames desde 2020
5 casos de ciberataques contra empresas de videogames desde 2020ESET Brasil
 
Hábitos dos usuários em relação ao uso de senhas
Hábitos dos usuários em relação ao uso de senhasHábitos dos usuários em relação ao uso de senhas
Hábitos dos usuários em relação ao uso de senhasESET Brasil
 
Office 365: saiba o que os atacantes andam fazendo
Office 365: saiba o que os atacantes andam fazendoOffice 365: saiba o que os atacantes andam fazendo
Office 365: saiba o que os atacantes andam fazendoESET Brasil
 
Panorama de Segurança nas empresas do Brasil
Panorama de Segurança nas empresas do BrasilPanorama de Segurança nas empresas do Brasil
Panorama de Segurança nas empresas do BrasilESET Brasil
 
Histórico e atualidade dos ataques a infraestruturas críticas
Histórico e atualidade dos ataques a infraestruturas críticasHistórico e atualidade dos ataques a infraestruturas críticas
Histórico e atualidade dos ataques a infraestruturas críticasESET Brasil
 
Trabalho remoto em tempos de Covid-19
Trabalho remoto em tempos de Covid-19Trabalho remoto em tempos de Covid-19
Trabalho remoto em tempos de Covid-19ESET Brasil
 
Por que os organismos governamentais são um alvo para ataques de ransomware?
Por que os organismos governamentais são um alvo para ataques de ransomware?Por que os organismos governamentais são um alvo para ataques de ransomware?
Por que os organismos governamentais são um alvo para ataques de ransomware?ESET Brasil
 
Golpes por E-mail
Golpes por E-mailGolpes por E-mail
Golpes por E-mailESET Brasil
 
Golpes no WhatsApp
Golpes no WhatsAppGolpes no WhatsApp
Golpes no WhatsAppESET Brasil
 
Golpes no Instagram
Golpes no InstagramGolpes no Instagram
Golpes no InstagramESET Brasil
 
Golpes no Facebook
Golpes no FacebookGolpes no Facebook
Golpes no FacebookESET Brasil
 
Dia Mundial dos Correios - Da antiga correspondência para a era digital
Dia Mundial dos Correios - Da antiga correspondência para a era digitalDia Mundial dos Correios - Da antiga correspondência para a era digital
Dia Mundial dos Correios - Da antiga correspondência para a era digitalESET Brasil
 
Danger Zone - Cibersegurança Gamer
Danger Zone - Cibersegurança GamerDanger Zone - Cibersegurança Gamer
Danger Zone - Cibersegurança GamerESET Brasil
 
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?ESET Brasil
 
Como escolher uma senha segura
Como escolher uma senha seguraComo escolher uma senha segura
Como escolher uma senha seguraESET Brasil
 

Mais de ESET Brasil (20)

Órgãos governamentais na mira dos cibercriminosos
Órgãos governamentais na mira dos cibercriminososÓrgãos governamentais na mira dos cibercriminosos
Órgãos governamentais na mira dos cibercriminosos
 
O Ransomware no Brasil
O Ransomware no BrasilO Ransomware no Brasil
O Ransomware no Brasil
 
Educação em cibersegurança: os usuários estão cada vez mais conscientes
Educação em cibersegurança: os usuários estão cada vez mais conscientesEducação em cibersegurança: os usuários estão cada vez mais conscientes
Educação em cibersegurança: os usuários estão cada vez mais conscientes
 
Você consegue identificar um e-mail de phishing facilmente?
Você consegue identificar um e-mail de phishing facilmente?Você consegue identificar um e-mail de phishing facilmente?
Você consegue identificar um e-mail de phishing facilmente?
 
5 casos de ciberataques contra empresas de videogames desde 2020
5 casos de ciberataques contra empresas de videogames desde 20205 casos de ciberataques contra empresas de videogames desde 2020
5 casos de ciberataques contra empresas de videogames desde 2020
 
Hábitos dos usuários em relação ao uso de senhas
Hábitos dos usuários em relação ao uso de senhasHábitos dos usuários em relação ao uso de senhas
Hábitos dos usuários em relação ao uso de senhas
 
Office 365: saiba o que os atacantes andam fazendo
Office 365: saiba o que os atacantes andam fazendoOffice 365: saiba o que os atacantes andam fazendo
Office 365: saiba o que os atacantes andam fazendo
 
Panorama de Segurança nas empresas do Brasil
Panorama de Segurança nas empresas do BrasilPanorama de Segurança nas empresas do Brasil
Panorama de Segurança nas empresas do Brasil
 
Histórico e atualidade dos ataques a infraestruturas críticas
Histórico e atualidade dos ataques a infraestruturas críticasHistórico e atualidade dos ataques a infraestruturas críticas
Histórico e atualidade dos ataques a infraestruturas críticas
 
Trabalho remoto em tempos de Covid-19
Trabalho remoto em tempos de Covid-19Trabalho remoto em tempos de Covid-19
Trabalho remoto em tempos de Covid-19
 
Backup
BackupBackup
Backup
 
Por que os organismos governamentais são um alvo para ataques de ransomware?
Por que os organismos governamentais são um alvo para ataques de ransomware?Por que os organismos governamentais são um alvo para ataques de ransomware?
Por que os organismos governamentais são um alvo para ataques de ransomware?
 
Golpes por E-mail
Golpes por E-mailGolpes por E-mail
Golpes por E-mail
 
Golpes no WhatsApp
Golpes no WhatsAppGolpes no WhatsApp
Golpes no WhatsApp
 
Golpes no Instagram
Golpes no InstagramGolpes no Instagram
Golpes no Instagram
 
Golpes no Facebook
Golpes no FacebookGolpes no Facebook
Golpes no Facebook
 
Dia Mundial dos Correios - Da antiga correspondência para a era digital
Dia Mundial dos Correios - Da antiga correspondência para a era digitalDia Mundial dos Correios - Da antiga correspondência para a era digital
Dia Mundial dos Correios - Da antiga correspondência para a era digital
 
Danger Zone - Cibersegurança Gamer
Danger Zone - Cibersegurança GamerDanger Zone - Cibersegurança Gamer
Danger Zone - Cibersegurança Gamer
 
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?
Vazamentos massivos nas redes sociais: quais medidas os usuários devem tomar?
 
Como escolher uma senha segura
Como escolher uma senha seguraComo escolher uma senha segura
Como escolher uma senha segura
 

Guia de Trabalho a distância

  • 1. GUIA DE Trabalho a distância PARA EMPRESAS
  • 2. Introdução Índice O trabalho remoto ou trabalho a distância, se caracteriza pela realização do trabalho fora do escritório. Mesmo que ele seja geralmente associado ao home office, não está li- mitado somente ao trabalho em casa; isso pode ocorrer também em escritórios compar- tilhados ou qualquer espaço diferente do da empresa. Do mesmo modo, na maioria dos casos não existem horários definidos, mas sim tarefas e objetivos a serem cumpridos. Sem dúvidas, essa metodologia ganhou força devido às possibilidades e o crescimento que a Internet oferece, especialmente quanto ao desenvolvimento de novas de tecnolo- gias de comunicação integradas em sistemas com base na Nuvem. Além disso, o trabalho a distância, dentre suas vantagens, é capaz de diminuir os custos corporativos. Isso se deve à portabilidade tecnológica que permite que os empregados sejam produtivos mesmo fora da empresa. Isso obriga que as companhias levem em conta diversos panoramas, como a manipu- lação da informação corporativa em dispositivos que possam estar desprotegidos da forma adequada ou o acesso remoto a informações sensíveis. Esses casos, entre muitos outros, fazem com que as empresas se organizem de formas diferentes para gerenciar a segurança, minimizando os riscos associados a um ataque a informações mais críticas. Mudanças de paradigma na gestão 03 Desafios e oportunidades 04 Além do perímetro 05 Gerenciando os riscos 06 Por onde começar a 07 identificar os riscos Controle de dados corporativos 08 e virtualização Continuidade do negócio 09 Além do contrato profissional 10 7 pilares de segurança 11 Avaliação e melhora contínua 14 Conclusão 15
  • 3. 3 Mudanças de paradigma na gestão Sem dúvidas, esse modo de trabalho implica em mu- danças não só para o funcionário, mas também para os empregadores, já que devem considerar questões que vão desde onde o empregado acessa a informação, até a forma com que entra nos sistemas. Por esse motivo, tudo que está relacionado com os equipamentos de trabalho, a responsabilidade e os custos devem estar definidos de forma clara antes de implementar uma forma de trabalho. O mais comum é que o empregador proporcione e mantenha os equipamentos necessários para o tra- balho regular, no entanto, também pode acontecer do funcionário utilizar seu próprio equipamento. Independente do modo escolhido, a empresa deve considerar oferecer ao empregado um suporte técni- co para que ele possa desenvolver suas tarefas sem nenhum problema. Nesse sentido, a empresa deverá prestar muita atenção na forma como seus empregados se conec- tam às redes corporativas e públicas para administrar a informação, em detrimento da preocupação que antes se tinha devido à infraestrutura física. A adoção de metodologias de trabalho a distância significa uma transformação na forma de gestão de segurança dos dados em uma ampla variedade de dispositivos, apli- cativos e sistemas operacionais. Esse modo de trabalho implica em mudanças não só para o funcionário, mas também para os empregadores, já que devem considerar questões que vão desde onde o empregado acessa a informação, até a forma com que entra nos sistemas.
  • 4. 4 Desafios e oportunidades Sem dúvidas, o trabalho a distância oferece oportuni- dades para aumentar a produtividade devido à implan- tação do trabalho com objetivos de menos custos ao diminuir a infraestrutura necessária e utilizando novas tecnologias que agilizem as tarefas dos empregados. No entanto, esse método também implica em desa- fios e riscos que devem ser levados em consideração para implementar medidas de controle adequadas, já que se você não as estabelece, isso pode abrir brechas de segurança, dar chance de infecções com códigos maliciosos ou acessos não autorizados sobre infor- mações privilegiadas. Além de pensar nos benefícios econômicos e opera- cionais, as empresas devem levar em consideração os comportamentos e dispositivos de toda a equipe de colaboradores para tomar as medidas de controle adequadas e, assim, garantir que a informação per- manecerá protegida.
  • 5. 5 Além do perímetro Ao permitir que os funcionários acessem e manipulem informações fora do ambiente corporativo, a fronteira de complicações de segurança se amplia. Portanto, para administrar essa questão é necessário ir além do perímetro tradicional, que costumava se estender até o firewall da empresa. Pensar em ameaças à informação nesse novo contex- to, nos faz pensar em outros tipos de riscos que em um ambiente fora do perímetro corporativo possuem uma maior probabilidade de acontecer. Consequentemente, é necessário identificar as vulnerabilidades que são ge- radas e quais ameaças podem se aproveitar delas. Vejamos algumas das que devem ser consideradas: VULNERABILIDADES Senhas fracas Ausência de soluções de segurança Conexão a partir de redes desprotegidas Dispositivos com informação não criptografada Falta de backups da informação Falta de atualizações de sistemas e dispositivos AMEAÇAS Perda de dispositivos Infecções por códigos maliciosos Execução de exploits Danos aos equipamentos Truques baseados em egenharia social
  • 6. 6 Gerenciando os riscos Ogerenciamentoderiscosdeveestarfocadoemimple- mentar os controles adequados para corrigir as vulne- rabilidades ou evitar que um incidente ocorra. O primeiro passo que uma empresa deve dar antes de implementar uma política desse tipo é a classificação da informação com o objetivo de estabelecer, por exemplo, quais são os dados sensíveis que requerem um maior nível de proteção; quais informações podem ser acessadas a partir de dispositivos pessoais; quais podem ser acessadas fora da rede da empresa; e quais devem ter seu acesso completamente restringido. Se a empresa possui um ponto de partida claro, é possí- vel determinar quais são os riscos que possuem uma maior probabilidade de acontecer ou que podem ter um maior impacto, e a partir disso, determinar as me- didas de controle mais adequadas para garantir a segu- rança da informação, tanto do tipo tecnológico como do de gestão. A empresa primeiro deve classificar a informação para estabelecer quais dados devem ser de fácil acesso e quais devem possuir níveis de proteção maiores.
  • 7. 7 Por onde começar a identificar os riscos Acessos a informações sensíveis a partir de ambientes não confiáveis É necessário considerar o panorama no qual o funcio- nário acessa os sistemas corporativos a partir de redes Wi-Fi públicas ou a partir de dispositivos que se encon- tram desprotegidos. Permissões de usuário no sistema Se o funcionário trabalha a partir de seu próprio com- putador, pode ser que utilize um perfil de administra- dor. Portanto, não é posível controlar o que se instala ou que acessos adicionais se dão ao dispositivo. Equipamento corporativo para uso pessoal Quando a empresa oferece um computador ao funcio- nário para realizar o trabalho a distância, ele é capaz de utilizar esse equipamento para realizar atividades pessoais, portanto é necessário considerar esse tipo de uso e os inconvenientes que isso poderia causar com relação à informação corporativa do equipamen- to e seu respectivo acesso à rede da empresa. Backup da informação As tarefas de backup de informações importantes podem se tornar complicadas caso não se tenha em mente que muitos dos dados utilizados pelo funcio- nário podem estar armazenados de maneira local, ou seja, fora das atividades de backup. Isso é um grande problema se o equipamento não se encontra conecta- do às redes correspondentes no período programado. Sistemas de autenticação fracos Deixarumaautenticaçãoúnicaparaacessarsistemasda empresacomumsenhaéaopçãomenosrecomendada. É importante pensar em outras formas de autenticação que possam adicionar mais camadas de proteção. Falta de políticas de segurança Tanto o empregado como a empresa devem saber de maneira clara o que podem fazer e como devem reali- zar as tarefas. Se isso não está claro, se torna um elo fraco na cadeia de segurança.
  • 8. 8 Controle de dados corporativos e virtualização Uma das melhores alternativas que as empresas pos- suem para aplicar um esquema de trabalho é a virtua- lização de seus ambientes. Com essa abordagem é possível obter um maior controle dos dados mais sen- síveis de cada organização e eliminar riscos associados ao uso de um dispositivo próprio do funcionário ao ad- ministrar a informação da empresa. Ao virtualizar seu ambiente de trabalho, é possível fazer com que o usuário faça suas atividades a par- tir uma localização remota em um ambiente onde é possível adicionar mais medidas de controle. Desse modo, tanto os aplicativos como a informação que se manipula, estarão sob o controle da empresa. Inclu- sive, os arquivos permanecem dentro dos servidores corporativos e em nenhum momento passam ao dis- positivo desde que o usuário acessa. Não é um método infalível, mas se é possível adicio- nar um nível a mais de proteção ao limitar que a infor- mação seja processada diretamente no dispositivo do funcionário. Obviamente isso deve estar acompanha- do dos controle apropriados para evitar possíveis fuga de dados.
  • 9. 9 Continuidade do negócio Quando todos os funcionários se encontram em um mesmo escritório, a empresa costuma ter um plano para recuperar operações caso haja algum incidente. Do mesmo modo, é necessário contar com esse plano quando se implementa o trabalho a distância e os co- laboradores estão fora da companhia. Não obstante, ao contar com um esquema de tra- balho remoto, ou seja, com equipamentos fora da infraestrutura comprometida, o processo de restau- ração se torna mais eficaz para garantir a continuida- de do negócio; isso se deve porque somente é preciso focar esforços na infraestrutura mais crítica. No mesmo contexto, é ideal contar com os sistemas virtuais, já que permitiria descentralizá-los em dife- rentes provedores e, assim reduzir o impacto de um possível incidente. Dessa maneira, caso ocorresse um incidente que afetaria a continuidade das operações - como uma falha elétrica nos escritórios ou um ata- que que comprometeria o acesso à Internet -, aqueles que estão conectados por fora não vão se prejudicar e poderão seguir com suas atividades. Caso o incidente seja capaz de afetar o dispositivo físico de um funcio- nário, ele poderá utilizar outro para acessar ao am- biente virtualizado e continuar com suas atividades.
  • 10. 10 Além do contrato profissional Se o funcionário manipula a informação da empresa em seu dispositivo pessoal, deve estar claro que ele terá que passar esses dados após o término de contrato, já que é difícil saber se a informação será eliminada. Se bem a empresa pode oferecer os equipamentos para que o empregado realize seu trabalho, e dessa maneira recuperá-lo ao final de uma relação contratual, o risco de uma fuga de informação segue sendo bastante pro- vável. Contar com os dados em depósitos administra- dos pela empresa e cuidar das permissões de acesso e modificação reduzem a possibilidade de uma fuga. Do mesmo modo, outras ações de controle podem se apoiar em aspectos contratuais, como assinar acordos de confidencialidade ou medidas mais estritas com re- lação ao tipo de informação que podem ser baixadas e armazenadas em tais dispositivos. É necessário falar previamente com o funcionário sobre a administração de informações da empresa, mesmo trabalhando com seu dispositivo pessoal ou um oferecido pela empresa.
  • 11. 11 7 pilares de segurança Éessencialcertificar-sequeoacessoàinformação é permitido somente para as funções habilitadas para ela. Para isso, é necessário estabelecer as responsabi- lidades na empresa de acordo com os objetivos de funcionários e também os envolvidos na gestão. Aspectos como o controle de tecnologias, reali- zações de backup, contar com processos de re- cuperação, entre outros, são algumas das tarefas que devem possuir um responsável e um momen- to definido. Do mesmo modo, os funcionários relacionados ao trabalho a distância devem conhecer as políti- cas e, além disso, obter as permissões necessárias para realizar suas tarefas, já que deixar os perfis em modo padrão, sem controle ou sem políticas de acesso pode gerar problemas de segurança. Levando em consideração a ampla variedade de dispositivos no mercado, é importante restringir o acesso somente para aqueles que aplicam as ferramentas de segurança de forma adequada. Nesse sentido, não é a mesma coisa se um fun- cionário acessar informações a partir de seu computador pessoal com um sistema operacio- nal atualizado e com uma solução de segurança instalada, e se o faça partir de um tablet desa- tualizado, sem proteção e que várias pessoas utilizam para jogar e baixar aplicativos. Portanto, é necessário considerar por qual dispositivo você irá permitir o acesso à informação corporativa. GERENCIAR FUNÇÕES CONTROLE DE DISPOSITIVOS1 2
  • 12. 12 Para garantir que nenhum código malicioso afete os dados, todos os dispositivos utilizados pelo empregado devem contar com soluções de segurança que sejam capazes de detectar de maneira proativa esse tipo de ameaças. Se o dispositivo a partir do qual o funcionário utiliza não é da empresa, e além disso, não se utilizam ambientes virtuais, os riscos de sofrer uma infecção com códigos maliciosos são mais altos. A mesma condição se aplica para disposi- tivos móveis. Além de uma solução de segurança, é neces- sário que o computador ou dispositivo móvel tenha todos os seus aplicativos atualizados. Portanto, a política de atualização deve ser cla- ra para não dar lugar a vulnerabilidades. Dado que existem dispositivos que estão acessan- do a rede fora do perímetro físico do escritório, é necessário realizar um seguimento sobre o tipo de tráfego gerado. Por exemplo, por onde costumam acessar, se há muitas tentativas frequentes e fal- has de acesso ao servidor, ou ainda, geram algum tipo de tráfego inapropriado, como o download de arquivos desconhecidos. Outro aspecto importante, é a possibilidade de criar regras de tráfego que permitem verificar o comportamento da rede quando se realiza al- guma mudança, seja a inclusão de alguma nova tecnologia ou serviço, fazendo com que seja possível determinar o uso e o que os usuários que estão fora da rede fazem. Uma VPN (Virtual Private Network) é um tecno- logia de rede que é utilizada para conectar um ou mais computadores a uma rede privada utilizan- do a Internet. Ao implementar essa ferramenta, a empresa possui uma maior certeza de que quando seus funcionários quiserem acessar recursos corpo- rativos a partir de suas casas, um hotel ou um restaurante, isso será realizado de forma segura. Para esses casos de trabalho a distância, a im- plementação de conexões VPN baseadas no cliente é o mais apropriado, já que esse tipo de rede permite manter o usuário conectado a partir de uma rede remota, através de um apli- cativo que se encarrega de estabelecer a comu- nicação com a VPN. Para acessar a uma conexão segura, o usuário deve executar o aplicativo e se autenticar com um nome de usuário e senha, incluindo um segundo fator de autenticação. Desse modo, um canal criptografado é criado entre o equipamento e a rede remota, para uma troca segura de dados. PROTEGER CONTRA CÓDIGOS MALICIOSOS MONITORAR O TRÁFEGO DE REDE CONEXÕES SEGURAS3 4 5
  • 13. 13 CRIAR UMA POLÍTICA DE SEGURANÇA6 Na política de segurança é necessário declarar as intenções quanto a proteção dos recursos infor- máticos, e a partir dela estabelecer as bases para determinar as obrigações e responsabilidades dos usuários quanto ao uso das tecnologias que possuem a sua disposição. Portanto, essa política deve definir que tipo de ações podem ser feitas e quem está habilitado para executá-las. Não é o mesmo tentar modifi- car uma base de dados por parte de um usuário que está fora da empresa, em vez de poder reali- zar consultas e informes. Cada política é própria da realidade da organi- zação e do alcance estabelecido para os empre- gradoas que fazem parte do trabalho a distân- cia. Não obstante, é necessário reconhecer os ativos da informação, já que não se pode contro- lar aquilo que não se conhece seu estado. A educação deve ser um pilar importante para que todos os usuários sejam conscientes dos ris- cos aos quais podem estar expostos e quais são os cuidados que devem ter ao acessar dispositi- vos que não são da companhia. Se o usuário não conhece os riscos aos quais ex- põe a informação da empresa, e incluindo seus próprios dados, pode se tornar vítima de mui- tas ameaças com mais facilidade. O funcionário deve entender que assim que estiver fora do es- critório, o dispositivo que utiliza para trabalhar é uma porta de qualquer organização e é neces- sário garantir seu uso adequado. CONSCIENTIZAR OS EMPREGADOS7
  • 14. 14 Evolução e melhora contínua A melhora contínua é um conceito que vem dos siste- mas de gestão, e que para casos de implementações importantes, como a do trabalho a distância, é crucial para um bom funcionamento. Portanto, é necessário avaliar e medir a forma com que as atividades daque- les que trabalham de forma remota vão se desenvol- vendo, sempre levando em consideração a política e os objetivos de segurança e informar os resultados. É a partir dessa informação que se pode implementar as mudançasnecessáriasparamelhorarosprocessos.Para queessasatividadesobtenhamêxito,deve-semonitorar o uso dos ativos da informação para detectar mudanças nos possíveis riscos que podem surgir. Por exemplo, cada vez que se realiza uma mundança na infraestrutura mais crítica ou quando alguma polí- tica de segurança muda, é importante verificar se to- dos realizam suas atividades de acordo com tais mu- danças. O surgimento de uma nova vulnerabilidade ou atualização de alguma das ferramentas utilizadas para se conectar de forma remota podem ser utiliza- das por invasores para chegar à informação sensível. Não basta implementar um programa de trabalho a distância de forma exemplar, a chave para que real- mente seja possível aproveitar e gerar os benefícios es- perados é que se faça um acompanhamento de como ela foi implementada.
  • 15. 15 A adoção de uma metodologia de trabalho a distância pode trazer grandes benefícios relaciona- dos a diminuição de gastos na infraestrutura, a comodidade dos funcionários para a adminis- tração da informação e, portanto, um aumento de produtividade; não obstante, a empresa en- frenta novas ameaças que devem ser gerenciadas. Estamos tratando principalmente de fuga de dados e acessos não autorizados à informação. Para enfrentar esses desafios, as organizações devem realizar uma combinação entre políticas clara para o gerenciamento da informação e o uso de ferramentas adequadas que permitem sua gestão de segurança. Do mesmo modo, não se pode deixar de lado a educação dos empregados para que conheçam os riscos e saibam como pode enfrentá-los. O acesso à informação corporativa por parte de pessoas alheias à empresa e consequentemen- te a fuga dos daos, muitas vezes, pode deixar sequelas econômicas para recuperar ou reparar os danos causados. Nesse sentido, barreiras de prevenção como programas de criptografia, sen- has e firewall contra ataques a partir da rede podem evitar mais de uma simples dor de cabeça. O trabalho a distância não é uma opção viável para todas as empresas, e ainda se uma compan- hia decide realizar essa metodologia, talvez não será aplicada para todas as áreas. Para mudar a forma de trabalhar em uma organização, é importante realizar um bom planejamento e que a implantação seja progressiva, avaliando os resultados obtidos. A melhora contínua do processo, a implementação de controles de segurança e a conscienti- zação dos funcionários será fundamental para que se possa obter um ambiente de trabalho se- guro. Dessa maneira, a organização poderá contar com um ambiente suficientemente robusto conhecendo o tipo de dispositivos que podem se conectar, e com métodos de acesso seguros e definidos, independentemente do foco (físico ou virtual) que se escolheu. Depois de tudo, para poder estar alinhado com os avanços da tecnologia é necessário se con- centrar na gestão de segurança da informação, mais que na segurança da infraestrutura, e o trabalho a distância é um grande exemplo dessas práticas. Conclusão