Insights

Publicações - 05/05/21

O efeito ransomware na vulnerabilidade do home office

Temos acompanhado o crescimento de ataques cibernéticos pelo país. A última “vítima” foi o Tribunal de Justiça do Estado do Rio Grande do Sul, que foi invadido na madrugada do dia 28 de abril e deixou o órgão sem acesso ao sistema por mais de 24 horas. Quase uma semana depois do ataque, somente 25% dos processos estavam acessíveis para mostrar uma ponta do problema causado.

Enquanto o TJ-RS se recupera do ataque, um evento como esse acende o alerta para uma situação mais comum do que se imagina. Hackers estão se aproveitando das fragilidades dos sistemas em home office para atacar.

Vamos combinar. Quando você mandou seus empregados trabalharem de casa, seu sistema de segurança da informação não estava preparado para dar acesso remoto de forma segura ou nem mesmo foi possível instalar as máquinas na casa de cada colaborador. No improviso, mandamos todos para o home, usando a máquina que dava, com o acesso possível para não deixar de operar.

 

O valor de um ataque hacker está nos dados

 

Toda a instabilidade momentânea que o ataque ao TJ-RS trouxe é a ponta de um iceberg do estrago que pode ser causado por um hacker. Quando eles violaram os sistemas, tiveram acesso à informações pessoais e sensíveis das pessoas. E o que uma mente criminosa pode fazer com tais dados em mãos? E quem será responsabilizado por tal problema?

À medida que a tecnologia evolui, a criminalidade evolui com ela e a Justiça também, criando mecanismos para coibir o crime, resolver conflitos e apontar responsabilidades. E diante de um desafio mundial, os países estão criando suas próprias legislações de proteção de dados. 

O continente europeu largou na frente e hoje já possui uma cultura de proteção de dados bastante consolidada com regras claras e penalidades consideráveis. Aqui no Brasil estamos desenhando um cenário parecido com a chegada da LGPD – Lei Geral de Proteção de Dados. 

Assim como ocorreu com a GPDR, lei europeia de proteção de dados, o mercado ganhou um prazo de mais ou menos 3 anos para entender e se adaptar às novas regras. A grande questão é que nossa cultura empresarial é sempre optar pela tomada de decisão emergencial, e vivemos na gestão reativa e não preventiva. 

Assim, são poucas empresas que estão se adequando à nova lei. Não importa o seu tipo de negócio e nem o tamanho da sua empresa, será preciso realizar a adequação e proteger os dados tratados dentro da empresa porque estará sujeito às penalidades, que não são pequenas.

 

Enquanto você não cria a cultura de proteção de dados, os criminosos estão agindo

 

Assim como sua empresa descobriu o valor de um dado estratégico para o negócio, os criminosos também sabem disso. E o que você faria se sua empresa fosse invadida por um hacker como aconteceu com o TJ-RS? E se além de cuidar para estabilizar tudo, ainda tivesse que pagar o resgate pelos dados roubados? Vamos mais longe, a partir de agosto de 2021, você ainda será responsabilizado pela violação com uma multa que pode chegar a R$ 50 milhões. Seu negócio resiste?

O Centro de Psicoterapia Vastaamo, de Helsinque, Finlândia, não resistiu. Eles pediram falência em fevereiro de 2021, depois que hackers invadiram o sistema deles e começaram a divulgar na rede mundial de computadores os prontuários dos pacientes. Além de pagar os cibercriminosos para não exporem os dados, aumentaram o investimento em segurança da informação, sem muito sucesso e ainda foram penalizados pela legislação local por não protegerem os dados dos pacientes.

 

E se estamos todos vulneráveis, o que fazer agora?

 

A verdade é que não teremos mais a mesma rotina de março de 2020. A pandemia nos impôs a necessidade de nos reinventar e criar novas rotinas. Trabalhar em casa foi uma delas. 

Embora, para algumas empresas mais arrojadas, o home office já fosse uma realidade, a verdade é que para a maioria não era. Tanto para as empresas quanto para as pessoas, não foi dada a opção de escolha. E agora, que já entendemos que essa situação não é mais temporária, como criar novas regras para as relações de trabalho.

Uma forma interessante que temos acompanhado por aqui é ver as empresas investindo mais na educação dos seus colaboradores e deixando claras as regras para o Home Office.  

Destacamos que não basta encaminhar seus empregados para casa, é preciso ter alguns cuidados, tanto para se prevenir com questões trabalhistas quanto em relação à segurança dos dados internos de colaboradores, clientes ou parceiros, para que sua empresa esteja  em conformidade com a LGPD e com a CLT e demais regras trabalhistas.

É imprescindível que, através de treinamentos e políticas internas, os colaboradores estejam cientes da correta utilização dos equipamentos durante o trabalho remoto e das consequências pelo uso indevido. E sempre documente todas as instruções.

Recomendamos algumas ações que visam minimizar os riscos de exposição de dados, são elas:

  • O não compartilhamento de dados pessoais fornecidos pela empresa nas redes sociais, WhatsApp, ou qualquer outro meio de comunicação não autorizado pela empresa;
  • Verificar se o e-mail está sendo enviado apenas para as partes interessadas;
  • Não realizar download de arquivos de origem desconhecida, recebidos por e-mail;
  • Utilização apenas de ferramentas fornecidas pela empresa para coleta, armazenamento ou compartilhamento dos dados;
  • Para garantir que terceiros não tenham acesso ao seu equipamento e às informações nele contidas, lembre-se sempre de bloquear a tela quando não estiver em uso;
  • Qualquer indício de ameaças/riscos deve ser feita comunicação imediata à área de segurança da informação ou à área responsável.

Para evitar riscos trabalhistas, recomendamos acrescentar ao contrato de trabalho:

  1. Atividades a serem desempenhadas;
  2. Benefícios a serem pagos, obedecendo os previstos em Convenção Coletiva;
  3. Condições para aquisição, uso e manutenção de infraestrutura; deixando claro de quem é a responsabilidade pela aquisição, manutenção ou fornecimento de equipamentos tecnológicos e da infraestrutura necessária e adequada, bem como reembolso de despesas arcadas pelo empregado, sendo certo que tais reembolsos, quando houver, não serão integradas à  remuneração do empregado;
  4. Realização da gestão do colaborador – se por tarefas ou jornada de trabalho; se a empresa, de fato, exercer controle sobre os horários de trabalho, ultrapassada a jornada contratada, serão devidas horas extras;
  5. Situações nas quais o profissional deve comparecer na empresa (reuniões, treinamento, por exemplo); e
  6. Cláusulas de confidencialidade

Ressaltamos que essas são apenas algumas recomendações para garantir a segurança no home office. Sendo assim, ainda é necessário que um especialista de proteção de dados auxilie nas adequações para que sua empresa esteja em conformidade com esta lei.

 

Gostou desse conteúdo? Quer mais informações sobre esse tema? 

Então inscreva-se na nossa Newsletter para ter acesso ao conteúdo em primeira mão.

Inscrever-se agora

Profissionais
Relacionados


Warning: Invalid argument supplied for foreach() in /home/storage/d/bf/0f/site1391086528/public_html/_2019/wp-content/themes/duartetonetti/single-insights.php on line 87

Áreas de Atuação
Relacionadas

Cadastre-se e receba nossos comunicados.

Selecionar áreas de atuação de interesse