O Instituto de Nacional de Padrões e Tecnologia dos Estados Unidos (NIST – National Institute for Standards and Technology) é um dos mais antigos laboratórios científicos no mundo e desenvolve tecnologia, padrões de mercado e avaliações físicas para todas as indústrias norte-americanas.
Para fazer um paralelo aqui no Brasil, o NIST tem funções parecidas com o INMETRO, regulamentando setores de indústria e atestando especificações de produtos em todo o país.
Com a súbita demanda por trabalho remoto, como resposta à pandemia de COVID-19, o instituto acaba de republicar um dos seus padrões que fornece um guia para o teletrabalho corporativo, acesso remoto à sistemas e segurança para dispositivos de funcionários (BYOD). O NIST SP 800-46, apresenta um framework completo para proteger ambientes e a gente resumiu os principais insights nas “5 dicas do NIST para segurança do teletrabalho, funcionários remotos e BYOD”.
Antes de mais nada, vamos assumir o risco
O acesso remoto aos ambientes das empresas reduz o controle sobre a segurança dos dispositivos e redes utilizadas para essas conexões, fato. O risco também cresce para os dados e ativos que estão dentro da companhia ou de ambientes em nuvem, assim todos os componentes que viabilizam as conexões remotas, incluindo soluções de conectividade, dispositivos clientes, servidores de acesso remoto e os ativos internos devem estar protegidos contra ameaças conhecidas ou não.
Você deve se preocupar com a falta de controles físicos de segurança, com o uso de redes inseguras, a conexão de dispositivos comprometidos às redes internas e a com a disponibilidades de recursos internos aos usuários remotos. Se os funcionários usarão dispositivos próprios (BYOD – Bring Your Own Device), as preocupações aumentam ainda mais.
Dica 1: planeje controles de segurança e políticas que assumam que os ambientes externos possuem ameaças
Sua empresa deve assumir como certo que qualquer ambiente externo, redes e dispositivos contém ameaças hostis que serão exploradas para permitir acesso indevido aos dados e recursos da organização. Os dispositivos de usuários remotos são utilizados em uma variedade de locais e estão mais suscetíveis à perda e roubo, por exemplo.
Para reduzir o risco de perda de informações por furtos ou roubo, considere usar encriptação de todas as informações armazenadas nesses dispositivos, criar políticas que não permitam o armazenamento local de informações sensíveis também é uma excelente medida. Evitar o uso indevido dos dispositivos também é crucial e a solução mais adequada aqui é o uso de processos de autenticação forte, de preferência multi-fator.
Você também deve saber do risco de interceptação de informações, possível quando o dispositivo é usado em uma rede pública. Esse risco pode ser reduzido com o uso de tecnologias que encriptem a comunicação para garantir a confidencialidade e integridade das comunicações, assim como a autenticação de cada um dos dispositivos para verificar identidades.
Outra ação importante é assumir que os dispositivos remotos serão infectados em algum momento com malwares que devem ser evitados com soluções de proteção de endpoints como anti-malwares e antivírus, soluções de controle de acesso que verificam a postura de segurança do dispositivo e o uso de redes separadas para as conexões remotas são indicadas.
Dica 2: desenvolva uma política de segurança que defina o teletrabalho, o acesso remoto e requerimentos para dispositivos BYOD
Uma política específica para o teletrabalho deve definir quais formas de acesso remoto são permitidos pela organização, que tipo de dispositivo pode ser usado, quais as formas de conexão e o nível de acesso garantido a cada um dos usuários remotos. Deve-se também cobrir como os servidores de acesso remoto são administrados e como as políticas nesses servidores devem ser atualizadas.
As decisões para a criação dessa política devem ser baseadas em riscos específicos para o negócio e definir que nível de acesso será permitido para cada tipo de dispositivo remoto. Ao avaliar a criticidade de cada ativo, você poderá definir por exemplo que laptops da empresa podem ter acesso mais amplo que os dispositivos próprios de funcionários, ou que smartphones e tablets BYOD só devam acessar o webmail.
A criação de níveis permite que somente os dispositivos com maior controle tenham acesso aos recursos mais críticos da empresa, reduzindo o risco digital.
Dica 3: garanta que os servidores de acesso estão corretamente protegidos e configurados para reforçar as políticas de segurança
A segurança de servidores de acesso é importante porque são estes dispositivos que permitem o acesso aos ambientes da companhia. Além de permitir acesso não autorizado aos recursos corporativos, servidores comprometidos podem ser usados para o sequestro de comunicações e manipulação de dados, além de servir de trampolim para outros hosts dentro da organização.
É muito importante que esses dispositivos sejam mantidos atualizados e que somente administradores autorizados possam acessá-los, a partir de dispositivos também marcados como seguros.
Os servidores de acesso devem estar posicionados nos limites do perímetro de rede, para funcionar como o ponto de entrada única de dispositivos externos e aplicar a correta política de acesso aos dispositivos clientes.
Dica 4: proteja os dispositivos da empresa usados por usuários remotos contra ameaças comuns e faça manutenção regular
Dispositivos usados para o teletrabalho podem ser infectados por malware, perdidos ou roubados. Esses equipamentos devem contar com o mesmo nível de segurança daqueles que ficam dentro da companhia, ou seja, patches e atualizações de sistemas e aplicações devem ser aplicados assim que possível e serviços locais (protocolos, portas etc.) não necessários devem ser desabilitados. Você também deve instalar um antivírus e um firewall local em cada dispositivo, mas há um detalhe importante aqui.
Um firewall local instalado em dispositivos de acesso remoto não pode ter uma política única para todos os ambientes porque é possível que ele seja muito restritivo em certas situações e não oferecer a proteção adequada em outras. O firewall deve contar com múltiplas políticas com base na localização do dispositivo.
Dica 5: se você permite conexão de dispositivos próprio (BYOD), considere criar uma rede separada
Permitir que dispositivos particulares, ou controlados por organizações terceiras, se conectem à sua rede aumenta muito o riso para a organização porque eles não contarão com o mesmo nível de segurança aplicados ao hardware que você comprou e configurou. Esse risco pode ser mitigado através da adoção de uma rede cabeada ou sem fio separada da rede corporativa oficial, essa rede deve ser externa (por exemplo estar na DMZ) e não deve dar mais acesso do que aquele já garantido aos usuários que se conectam de outros locais à sua companhia. Você deve proteger e monitorar essa rede de maneira constante.
