[Artigo] NIST republica Guia de Segurança para o Teletrabalho Corporativo – saiba como trabalhar de forma segura remotamente

O NIST, National Institute of Standards and Technology, escreveu um documento em 2016, que se tornou relevante em tempos de COVID-19, já que grande parte das empresas estão aderindo ao teletrabalho, de nome “Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security”. Neste artigo, iremos abordar as informações mais importantes para garantir a segurança de sua empresa no trabalho remoto.

Objetivos

O objetivo deste artigo é ajudar as organizações a mitigar os riscos associados às tecnologias corporativas usadas para teletrabalho, como servidores de acesso remoto, dispositivos de teletrabalho (incluindo a politica de trazer seu próprio dispositivo [BYOD] e o controle de dispositivos de contratados, parceiros de negócios e usuários, também conhecidos como dispositivos controlados por terceiros) e comunicações de acesso remoto.

O documento enfatiza também a importância de proteger informações confidenciais armazenadas em dispositivos de teletrabalho e através do acesso remoto através de redes externas. Também fornece recomendações para a criação de políticas relacionadas ao teletrabalho e para selecionar, implementar e manter os controles de segurança necessários para servidores e usuários de acesso remoto.

Vulnerabilidades, Ameaças e Controles de Segurança

As soluções de teletrabalho e acesso remoto geralmente precisam oferecer suporte a vários objetivos de segurança. Isso pode ser realizado por meio de uma combinação de recursos de segurança incorporados às soluções de acesso remoto e controles de segurança adicionais aplicados aos dispositivos de teletrabalho e outros componentes da solução de acesso remoto. Os objetivos de segurança mais comuns para as tecnologias de teletrabalho e acesso remoto são os seguintes:

  • Confidencialidade – garanta que as comunicações de acesso remoto e os dados armazenados do usuário não possam ser lidos por terceiros não autorizados;
  • Integridade – detecte quaisquer alterações intencionais ou não intencionais nas comunicações de acesso remoto que ocorrem em trânsito; e
  • Disponibilidade – garanta que os usuários possam acessar recursos por acesso remoto sempre que necessário.

Para atingir esses objetivos, todos os componentes das soluções de teletrabalho e acesso remoto, incluindo dispositivos, servidores de acesso remoto e servidores internos acessados por meio de acesso remoto, devem ser protegidos contra uma variedade de ameaças. As tecnologias de teletrabalho e acesso remoto geralmente precisam de proteção adicional, porque sua natureza geralmente as coloca em maior exposição a ameaças externas do que as tecnologias acessadas apenas de dentro da organização. Antes de projetar e implantar soluções de teletrabalho e acesso remoto, as organizações devem desenvolver modelos de ameaça do sistema para os servidores de acesso remoto e os recursos acessados por meio do acesso remoto. As principais preocupações de segurança dessas tecnologias que seriam incluídas na maioria dos modelos de ameaças de teletrabalho podem ser conferidas clicando aqui. Além disso, você poderá também verificar quais são os métodos de acesso remoto e informações adicionais sobre cada uma das categorias, recomendações importantes para cada um também.

Segurança no acesso remoto à servidores

A segurança dos servidores de acesso remoto, como gateways VPN e servidores de portal, é particularmente importante porque eles fornecem uma maneira para hosts externos obterem acesso a recursos internos, bem como um ambiente de teletrabalho isolado e seguro para terceiros e dispositivos de usuários BYOD. Além de permitir acesso não autorizado aos recursos da empresa e aos dispositivos de usuários de teletrabalho, um servidor comprometido pode ser usado para interceptar as comunicações e manipulá-las, bem como um ponto de partida para atacar outros hosts da organização. Os gateways VPN e servidores portais podem executar muitos serviços e aplicações, como firewalls, softwares de antimalware e detecção de intrusão. As organizações devem considerar cuidadosamente a segurança de quaisquer soluções que envolvam a execução de um servidor de acesso remoto no mesmo host que outros serviços e aplicativos. Essas soluções podem oferecer benefícios, como economia de custos de equipamentos, mas o comprometimento de qualquer um dos serviços ou aplicativos pode permitir que um invasor comprometa todo o servidor de acesso remoto. Você pode conferir também no mesmo documento do NIST qual o melhor posicionamento deste servidor de acesso remoto (visando performance do dispositivo, examinação de tráfego, utilização de rede NAT, entre outros), servidores intermediários de acesso remoto, servidores finais de acesso remoto, etc.

Segurança dos dispositivos de teletrabalho

Estes dispositivos podem ser divididos em duas categorias gerais:

  • Computadores pessoais (PC), que são computadores de mesa e laptops. Os PCs executam sistemas operacionais de desktop / laptop como Windows, Mac OS X e Linux. PCs podem ser usados para qualquer um dos métodos de acesso remoto descritos nesta seção.
  • Dispositivos móveis, que são pequenos computadores móveis, como smartphones e tablets, que geralmente executam um sistema operacional específico para dispositivos móveis, como Apple iOS e Google Android. Os dispositivos móveis costumam ser usados para métodos de acesso remoto que usam navegadores da Web, principalmente VPNs SSL e acesso a aplicativos da Web individuais.

A diferença entre PCs e dispositivos móveis está diminuindo cada vez mais. Os dispositivos móveis estão oferecendo mais funcionalidades fornecidas anteriormente apenas por PCs. Ainda assim, os controles de segurança disponíveis para PCs e dispositivos móveis são significativamente diferentes até o momento da criação deste artigo. Portanto, será fornecido recomendações separadas para PCs e dispositivos móveis, quando aplicável. Tais recomendações podem ser vista aqui.

Uma das medidas de segurança mais importantes para um PC com teletrabalho é ter um firewall pessoal configurado corretamente instalado e ativado. São necessários firewalls pessoais para interromper ameaças baseadas em rede em muitos ambientes. Se um firewall pessoal tiver uma política única para todos os ambientes, é provável que seja muito restritivo às vezes, como na rede interna da organização, e não seja restritivo o suficiente em outras ocasiões, como em uma rede sem fio externa de terceiros. Já para dispositivos móveis, muitos deles de teletrabalho podem ter sua segurança gerenciada centralmente por meio do software corporativo de gerenciamento de dispositivos móveis. As organizações devem aproveitar esses recursos de gerenciamento de segurança sempre que disponíveis, principalmente para dispositivos controlados pela organização – por exemplo, restringindo a instalação e o uso de aplicativos de terceiros ou fornecendo à loja de aplicativos aplicativos autorizados e controlados, e permitindo apenas ser baixado e instalado a partir dessa loja de aplicativos. No entanto, muitos dispositivos precisarão ser protegidos manualmente. Os recursos de segurança e as ações apropriadas variam muito de acordo com o tipo de dispositivo e produtos específicos; portanto, as organizações devem fornecer orientações aos administradores e usuários de dispositivos responsáveis por proteger os dispositivos móveis de teletrabalho sobre como protegê-los. Para exemplos de proteções para estes dispositivos, proteção de dados nos dispositivos dos usuários,  a criptografia dos dados entre outros, clique aqui.

Considerações finais

Em virtude dos acontecimentos recentes no mundo todo, podemos utilizar desde artigo para nos proteger neste fluxo temporário de trabalho que é a comunicação dos servidores das organizações com o teletrabalho. Adotando as medidas acima juntamente com as orientações do documento oficial do NIST ajudará na segurança do trabalho remoto e evitará que informações sensíveis sejam vazadas, alteradas, ou ate mesmo destruídas.

Faça download do documento integral aqui.