ISO 27001 X Home Office

O principal objetivo da ISO 27001 é a segurança das informações da sua empresa, um dos ativos mais importantes. Essas informações podem ser desde os dados dos seus colaboradores, desenvolvimento de novos projetos, dados dos seus clientes que ficam retidos na sua base, entre outras. Mas o que a ISO 27001 nos fala sobre o trabalho home office? Como podemos proteger as informações da empresa mesmo no trabalho fora da estrutura física da empresa?

Devido ao cenário de pandemia (COVID-19), a ameaça de indisponibilidade de acesso físico concretizou-se para muitas empresas. Mesmo as indústrias que mantém suas operações, tiveram que direcionar a área administrativa, em muitos casos, para o home-office, por medida de proteção à segurança e à saúde de seus colaboradores.

As organizações com um certo nível de maturidade em relação à Segurança da Informação já possuem Política de Segurança da Informação (PSI), processos e procedimentos estruturados para tratar os diversos controles e cenários envolvidos no amplo contexto de Segurança da Informação, sendo necessários alguns ajustes ou adendo em sua PSI e normas complementares.

Infelizmente, diversas pesquisas indicam que poucas empresas investem em Segurança da Informação como um todo. A maioria possui somente a estrutura tecnológica (antivírus, firewall, backup e outros), deixando, para um segundo momento, a estruturação dos processos e boas práticas que visam regulamentar o uso dos ativos tecnológicos (informações, computadores, sistemas, arquivos físicos, digitais e outros).

Neste segundo cenário de baixa maturidade, muitas empresas estão improvisando, com o que é possível e alcançável, para manter a operação via home-office, muitas vezes sem os critérios mínimos de segurança da informação ou infraestrutura necessárias para suportar a atividade remota.

Desde 2017, consta na Consolidação das Leis do Trabalho (CLT), em seu artigo 75 (DO TELETRABALHO), os critérios (regras) para a regulamentação desta modalidade de trabalho remoto. A seguir os pontos mais relevantes:

  • “… 75-C. A prestação de serviços na modalidade de teletrabalho deverá constar expressamente do contrato individual de trabalho, que especificará as atividades que serão realizadas pelo empregado.”
  • 75-D. As disposições relativas à responsabilidade pela aquisição, manutenção ou fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado, serão previstas em contrato escrito.
    • Parágrafo único. As utilidades mencionadas no caput deste artigo não integram a remuneração do empregado”. 
 

Como estamos vivendo um cenário atípico (pandemia), em 22/03/2020, foi sancionada a MP MEDIDA PROVISÓRIA Nº 927 que “Dispõe sobre as medidas trabalhistas para enfrentamento do estado de calamidade pública reconhecido pelo Decreto Legislativo nº 6, de 20 de março de 2020, e da emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19), e dá outras providências.” A seguir os pontos mais relevantes:

  • “… Art. 4º Durante o estado de calamidade pública a que se refere o art. 1º, o empregador poderá, a seu critério, alterar o regime de trabalho presencial para o teletrabalho, o trabalho remoto ou outro tipo de trabalho a distância e determinar o retorno ao regime de trabalho presencial, independentemente da existência de acordos individuais ou coletivos, dispensado o registro prévio da alteração no contrato individual de trabalho.
  • 3º As disposições relativas à responsabilidade pela aquisição, pela manutenção ou pelo fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do teletrabalho, trabalho remoto ou trabalho a distância e ao reembolso de despesas arcadas pelo empregado serão previstas em contrato escrito, firmado previamente ou no prazo de trinta dias, contado da data da mudança do regime de trabalho.
  • 4º Na hipótese de o empregado não possuir os equipamentos tecnológicos e a infraestrutura necessária e adequada à prestação do teletrabalho, do trabalho remoto ou do trabalho a distância:
    • I – o empregador poderá fornecer os equipamentos em regime de comodato e pagar por serviços de infraestrutura, que não caracterizarão verba de natureza salarial; ou
    • II – na impossibilidade do oferecimento do regime de comodato de que trata o inciso I, o período da jornada normal de trabalho será computado como tempo de trabalho à disposição do empregador.
 

A principal mudança que a MP Nº 927 realiza, em comparação com o Art. 75 CLT, é que a empresa poderá regulamentar o teletrabalho em até 30 dias com o colaborador. Este critério foi necessário para segurança jurídica das empresas, visto que a maioria não contempla a regulamentação e regras para home-office em contrato de trabalho.


O cenário ideal, do ponto de vista de Segurança da Informação, seria o empregador (empresa) disponibilizar os recursos tecnológicos necessários para o colaborador desempenhar suas atividades, principalmente o computador/notebook, pelos seguintes fatores.

Qual a principal diferença em utilizar o ‘equipamento particular’ vs ‘equipamento corporativo’ do ponto de vista de segurança da informação?

No equipamento corporativo, a empresa pode estabelecer e implementar os critérios de segurança que achar necessários, e no ‘equipamento particular’ a empresa poderá recomendar tais critérios e boas práticas. Como toda recomendação, a adoção ou não é facultativa, o que poderá gerar riscos para a organização.

Qual seria o modo mais ‘seguro’ para o trabalho remoto  ? 

  • Utilizar o equipamento corporativo com os critérios de segurança implementados.
  • Utilizar VPN (Virtual Private Network) – Rede Privada Virtual ou recursos de VDI, Remote Desktop e outros, que sem entrar em detalhes técnicos, é um dos meios mais seguros para realizar o acesso ao ambiente tecnológico corporativo. Por meio da VPN e/ou estas outras tecnologias, será possível acessar a rede local, seus arquivos, seus sistemas, ERP, entre outros.
  • Utilizar os meios de comunicação corporativos: e-mail corporativo, conferência via recurso disponibilizado e/ou homologado pela área de TIC, compartilhamento de arquivos pelos recursos fornecidos ou autorizados pela empresa, etc.
  • Garantir que as informações corporativas estejam centralizadas e armazenadas somente nos servidores corporativos.
  • Garantir que a estrutura de Backup atenda aos critérios de segurança da informação: Integridade (backup sendo realizado corretamente), Disponibilidade (garantir que o backup seja restaurado o mais breve possível) e Confidencialidade (garantir que as informações do backup não sejam acessadas por pessoas não autorizadas).
  • Criptografia. É recomendável criptografar todas as informações críticas da empresa e garantir que o armazenamento, uso e tráfego destas informações também estejam criptografas.
  • A pré-existência da PSI e normas complementares ou o desenvolvimento inicial das principais regras que norteiam o cenário em questão.
  • Campanhas de conscientização e treinamento para os colaboradores que utilizam os recursos tecnológicos ou informações corporativas.
 O que não é recomendável realizar neste cenário de trabalho remoto?

 

  • Monitorar equipamento particular do colaborador (cenário voltado à risco legal).
  • Exigir bloqueios, remoção, alterações e/ou instalações no equipamento particular do colaborador (cenário voltado à risco legal).
  • Realizar acesso remoto no equipamento particular, sem solicitar a autorização do usuário-colaborador (cenário voltado à risco legal).
  • Criar regras e controles que possam gerar conflitos e/ou divergências com leis e regulamentos vigentes.
  • Utilizar credencial de acesso (login – usuário e senha) genérica ou compartilhada para os acessos remotos.
  • Liberar servidores (ERP, Banco de Dados, Sistemas) para a Internet, por meio da porta de RDP (Remote Desktop Protocol).
  • Esta ação poderá levar a empresa a sofrer milhares de tentativas de acesso em seu ambiente, em poucas horas.
  • Utilizar aplicativos, sistemas e recursos novos não homologados pela área de TIC, do ponto de vista de segurança, integrações e funcionalidades.
  • Utilizar celular (smartphone) particular para tratar assuntos restritos ou confidenciais da empresa.