Pergunte a um empresário onde está localizado seu escritório e a resposta provável será “em qualquer lugar”. Eles estão trabalhando em casa, mantendo-se atualizados enquanto viajam e atualizando os e-mails entre as ligações de vendas. Por uma questão de produtividade, muitas empresas oferecem aos seus funcionários – e talvez clientes ou prestadores de serviços – acesso remoto às suas redes. Você está tomando medidas para garantir que as entradas externas em seus sistemas sejam defendidas de maneira sensata?
Se sua empresa deseja começar com segurança, é importante proteger o acesso remoto à sua rede. Aqui estão alguns exemplos baseados em investigações da FTC, ações policiais e perguntas que as empresas nos fizeram.
Garanta a segurança do endpoint.
Sua rede é tão segura quanto o dispositivo menos seguro conectado a ela – e não há garantia de que o computador doméstico de um funcionário, o laptop de um cliente ou o smartphone de um provedor de serviços atenda aos seus padrões de segurança. Antes de permitir que eles acessem sua rede remotamente, estabeleça regras básicas de segurança, comunique-as claramente e verifique se o funcionário, cliente ou provedor de serviços está em conformidade. Além disso, empresas sábias tomam medidas para garantir que os dispositivos usados para acesso remoto tenham software atualizado, patches e outros recursos de segurança projetados para proteger contra ameaças em evolução.
Exemplo: Antes de permitir que os funcionários acessem remotamente a rede da empresa, uma empresa estabelece configurações padrão para firewalls, proteção antivírus e outras medidas de proteção em dispositivos usados para acesso remoto e realiza treinamento interno periódico. Ele também fornece um token com um código de segurança dinâmico que o funcionário deve digitar para acessar a rede da empresa e mantém procedimentos para garantir que os dispositivos dos funcionários tenham firewalls obrigatórios, proteção antivírus e outras proteções em vigor. Além disso, a empresa reavalia regularmente os seus requisitos à luz das ameaças emergentes e bloqueia o acesso remoto por dispositivos com segurança desatualizada. Ao abordar a segurança de endpoints como um processo contínuo, a empresa tomou medidas para reduzir os riscos associados ao acesso remoto.
Exemplo: Uma empresa de recrutamento de executivos possui arquivos em sua rede que incluem informações confidenciais sobre candidatos a empregos. Quando um possível empregador contrata a empresa de pesquisa, a empresa dá ao empregador acesso remoto à sua rede para visualizar esses arquivos, mas não verifica se os computadores do empregador usam firewalls, software antivírus atualizado ou outras medidas de segurança. A melhor abordagem seria a empresa de pesquisa exigir contratualmente padrões mínimos de segurança para os empregadores que desejam acessar remotamente a rede da empresa e usar ferramentas automatizadas para garantir que os empregadores atendam aos requisitos.
Estabeleça limites de acesso sensatos.
Nesta série de blogs, já falamos sobre a necessidade de controlar o acesso aos dados de forma sensata. Assim como as empresas preocupadas com a segurança restringem o acesso interno a arquivos confidenciais aos funcionários com necessidade comercial dos dados, elas também estabelecem limites sensatos para o acesso remoto.
Exemplo: Um varejista contrata um empreiteiro para renovar seu sistema de folha de pagamento online. O varejista dá ao contratante acesso remoto às partes da rede necessárias para completar a tarefa, mas restringe o acesso do contratante a outras partes do sistema. Além disso, o varejista descontinua a autorização do contratante assim que a tarefa é concluída. Ao limitar o âmbito e a duração do acesso remoto do contratante, o retalhista tomou medidas para proteger os dados confidenciais na sua rede.
Exemplo: Uma empresa decide atualizar sua infraestrutura de informações e assina contratos com vários fornecedores para instalar e manter software remotamente em vários sistemas na rede da empresa – um projeto que a empresa prevê que levará um ano do início ao fim. Como os fornecedores trabalharão em diferentes partes da rede em momentos diferentes, a empresa cria contas de usuário para fornecer a cada fornecedor privilégios administrativos totais em toda a rede da empresa durante todo o ano. Embora esta possa ser a maneira mais rápida para a empresa gerenciar contas de fornecedores, é uma escolha insegura. Uma opção mais sensata seria adaptar o acesso dos fornecedores ao âmbito do seu trabalho. Por exemplo, a empresa deve determinar se alguns fornecedores podem desempenhar as suas funções sem privilégios de acesso administrativo em toda a rede da empresa. Outros fornecedores podem precisar de acesso administrativo, mas apenas por um período limitado. Além disso, se um determinado fornecedor tiver vários funcionários compartilhando acesso administrativo, a empresa deverá implementar um método para poder auditar e atribuir o uso da conta a um funcionário de determinado fornecedor.
Não são muitos os ladrões que derrubam um muro. Em vez disso, exploram fraquezas em portas, janelas e outras entradas externas. A mensagem para as empresas é: se você permitir acesso remoto à sua rede, fique atento ao defender essas entradas.
Próximo da série: Aplique práticas sólidas de segurança ao desenvolver novos produtos
