No atual momento de relativa flexibilidade de arranjos de trabalho remoto e híbrido, muitas organizações adotam como política corporativa o uso de dispositivos pessoais no trabalho. Para entender se ela é compatível com boas práticas de cibersegurança, é preciso entender como apareceu, qual seu estado atual e os prós e contras de sua aplicação.
De onde veio e para onde vai
Essa tendência é chamada também de BYOD (bring you owrn device, inglês para “traga seu próprio dispositivo”) e iniciou no momento de grande adesão aos smartphones, no fim dos anos 2000. Naquele momento, muitos empregados preferiam usar seus próprios celulares em vez dos telefones fornecidos pelas empresas.
Já depois de 2020, o BYOD tornou-se uma prática muito mais comum, impulsionada pelas limitações de convivência impostas pela pandemia de Covid-19, especialmente para novos contratados. Entre avanços e recuos, a prática segue presente no meio corporativo e, no Brasil, o trabalho remoto e híbrido seguem sendo um diferencial para retenção e está associado a melhoria de desempenho, segundo levantamentos recentes.
Não apenas celulares, mas computadores muitas vezes são integrados remotamente aos sistemas de empresas em arranjos variados de trabalho. Tal abordagem traz riscos e oportunidades relevantes.
Prós e contras
Para as organizações e para os colaboradores, é possível listar alguns prós e contras do uso de dispositivos privados no ambiente de trabalho (virtual ou físico).
Prós
- Maior costume dos colaboradores com seus próprios sistemas
- Redução de gastos com dispositivos corporativos e às vezes com aluguel e custos de espaços próprios (escritórios etc.)
- Redução de custos com transporte e alimentação dos colaboradores
- Maior flexibilidade de trabalho
- Fomentar produtividade
- Acesso a talentos profissionais que não conseguiriam colaborar no regime presencial
Contras
- Potencial aumento de gastos com suporte a diversos tipos de dispositivos
- Proteção de dados corporativos
- Proteção de dados pessoais dos colaboradores
- Controle das obrigações contratuais em regime remoto
Portanto, para garantir um trabalho seguro e equilibrado de cada indivíduo com sua máquina pessoal, é necessário um investimento em planejamento e capacidade técnica.
Políticas importantes para trabalho BYOD
Antes de implementar o BYOD em uma empresa, é fundamental seguir algumas diretrizes importantes para minimizar os riscos e aumentar a cibersegurança dos dispositivos, das pessoas e das redes como um todo. Assim, o que é uma oportunidade de dar mais flexibilidade no ambiente de trabalho não se transforma em um pesadelo de ciberameaças.
Medidas de segurança para acesso
É importante haver a definição e padronização de alguns protocolos para uma comunicação segura entre dispositivos externos e sistemas internos. A transmissão e o backup de dados sensíveis será algo rotineiro, e geralmente podem ser mantidos seguros e privados com o uso de uma VPN de IP dedicado.
O serviço de VPN tipicamente criptografa todas as trocas de dados e os redireciona para servidores privados, mais seguros. O uso de um IP dedicado é um atributo adicional se diferencia do IP comum porque permite às empresas identificar e selecionar o número determinado de conexões confiáveis para acessa sua estrutura interna.
O uso de autenticação em dois fatores (2FA) (ou autenticação multifatorial) é também providencial para evitar vulnerabilidades. Ela pode ser aplicada em diversos serviços virtuais para evitar intrusões indevidas de terceiros.
Dependendo da complexidade da empresa, pode também ser desejável a instalação de programas de gerenciamento de dispositivos móveis ou de aplicações móveis nos dispositivos dos colaboradores.
Delimitação dos dispositivos permitidos
É relevante para o departamento de tecnologia de informação de uma empresa ter delimitados claramente os tipos de dispositivos permitidos para uso dos colaboradores. Isso pode envolver tanto o tipo de máquina quanto as especificações básicas deles e as versões mínimas de sistema operacional.
Certos celulares mais antigos, por exemplo, param de receber pacotes de atualização importantes do sistema operacional após determinado tempo. Isso pode abrir vulnerabilidades tanto para dados pessoais quanto para os da organização.
Permissões ao departamento de TI
Os dispositivos podem ser pessoais, mas idealmente o acesso terá controles pelo departamento de TI de uma organização. Uma boa política nesse sentido definirá de maneira transparente e eficaz quais permissões são dadas ao departamento de TI para acessar o sistema da máquina sem violar a privacidade pessoal.
Protocolo de desligamento
É também relevante pensar como funciona a desconexão do dispositivo e das credenciais do colaborador com o sistema da organização e vice-versa em caso de desligamento. Brechas nesses procedimentos mantendo acesso a dados de qualquer um dos pontos da relação podem trazer consequências indesejáveis e até perigosas.
Ponto final: equilíbrio de obrigações
Ao fim, resta claro que, além dos prós e contras específicos da prática BYOD de trabalho, a as práticas de cibersegurança são compartilhadas entre empregadores e empregados. A organização provavelmente incorrerá em algum investimento, enquanto os colaboradores devem aderir estritamente a boas práticas para mitigar os riscos à privacidade de dados individuais e coletivos.
Fonte: cenariomt
