Listamos 5 dicas que podem ajudar o departamento de TI a configurar o acesso seguro à infra-estrutura da empresa, para os colaborares que irão usar home office:

1) Controle de acesso:

  • Crie uma VPN para os colaboradores acessaram os sistema internos.
  • Configure o firewall para restringir o acesso da VPN somente aos sistemas necessários. Não crie regras que liberem o acesso da VPN para toda rede interna da empresa.
  • Não permita conexão direta de acesso RDP (Remote Desktop Protocol) da internet para os servidores internos. Historicamente o RDP apresentou falhas críticas de segurança e pode ser uma porta de entrada para ataques de força-bruta e ransomware.
  • Crie uma chave de acesso à VPN individualmente para cada colaborador. Em hipótese alguma compartilhe a chave de VPN entre os colaboradores. Em ambientes com centenas de colaboradores em home office pode ser um desafio, mas poderá ser útil para desativar uma VPN específica se necessário.
  • Se possível, procure restringir o acesso à VPN somente nos horários de expediente, isso ajuda a reduzir o risco de algum acesso não autorizado em períodos como fim de semana e horários noturnos.

2) Acesso a compartilhamentos de arquivos:

  • Se possível, evite o acesso da VPN para os  compartilhamentos de rede (network share NFS/SMB) dos servidores de arquivos internos.
  • Se necessário compartilhar os shares da rede, revise com atenção as permissões dos usuários nos arquivos e diretórios. Em caso de algum ataque de ransomware, originado da máquina do colaborador, poderá infectar os servidores de arquivos internos.

3) Controle de malwares:

  • Se a empresa possuir antivírus corporativo (Symantec, Eset, Kaspersky, etc), instale o agente na máquina do colaborador. Assim será possível saber se o há algum malware na máquina, fazer scan remotamente, entre outras políticas que podem ser configuradas na console de administração do antivírus.
  • Mantenha o sistema operacional da máquina do colaborador 100% está atualizado, inclusive o pacote Office, e com atualização automática ativada. Isso poderá ser controlado através do antivírus corporativo, se houver esse recurso.
  • Habilite o auto-scan de dispositivos USB na máquina do colaborador, como por exemplo, caso ele insira algum pen-drive o antivírus executará o scan automaticamente.
  • Configure também para o antivírus fazer scan da navegação web, por que o colaborador irá navegar em sites pessoais após o fim do expediente.
  • Habilite o scan em email. Phishing de email é uma porta de entrada para malware.
  • Se o antivírus corporativo possuir módulo de HIDS (Host Intrusion Detection System), habilite esse recurso. Isso irá ajudar para detectar malware avançados que usam a técnica de “file-less”, onde não gravam arquivos, mas executam scripts power-shell para fazer download de ransomware e outros formas de vírus.

4) Patch, Updates e Backup

  • Mantenha os servidores internos 100% atualizados. Principalmente os servidores de sistemas que o colaborador irá acessar remotamente.
  • Dê atenção também ao banco de dados, verificando patchs e update necessários.
  • Configura se os backups de servidores estão funcionais, se possível faça algum teste de restore de arquivos para testar isso.
  • Se possuir ambiente virtualizado, teste também o restore de snaphsots de máquinas virtuais.

5) Logs

  • Ative os logs de acesso a VPN, para registrar quem conectou e quando conectou na rede.
  • Ative os logs dos sistemas internos e das aplicações.
  • Ative também os logs de banco de dados para registrar todos acesso SQL.
  • Ative os logs dos servidores de arquivos, para identificar quem acessou o share de rede e quais arquivos foram acessados.

Esperamos que este post seja útil para seu trabalho.

Bom trabalho e saúde a todos.