Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (I)Antonio Gil Moyano Juan Carlos Fernández Martínez 11 enero, 2021 A esta altura, fechando o ano de 2020 e olhando para trás, ninguém teria imaginado o avanço na digitalização de organizações e empresas por a irrupção do teletrabalho devida à atual situação de pandemia global. Um avanço a que empregadores e trabalhadores tiveram que se adequar implementando metodologias de trabalho à distância e, dado que o teletrabalho veio para ficar, alguns governos optaram pela sua regulamentação, como a Espanha, que o fez em setembro passado com o Real Decreto-Lei 28/2020, a Argentina em agosto passado com a Lei 27.555 ou o Chile em março com a Lei 21.200. Observamos também como outros países da região já o tinham regulado anteriormente em seu ordenamento jurídico, como a Colômbia, que o fez em 2008 com a Lei 1.221 ou o Peru em 2013 com a Lei 30.036, ou, finalmente, a Costa Rica, que foi adicionado no ano passado de 2019 com a Lei 9.738. Regulamento do teletrabalho na Espanha A Lei do Trabalho à Distância harmoniza as normas básicas que os empregadores devem aplicar para a implementação do teletrabalho nas suas organizações. Essa modalidade já era uma realidade para pequenas e ágeis empresas como startups; Porém, para organizações e administrações maiores, tem sido uma improvisação total, como se pôde constatar nos confinamentos ocorridos a partir do mês de março. Esta circunstância evidenciou a falta de metodologias e sistemas de adaptação do trabalho remoto, aumentando a superfície de exposição dos dados das organizações e, consequentemente, agravando os problemas de segurança cibernética, ainda mais considerando que o uso de equipamentos de informática pessoal e as conexões em redes privadas faziam com que as informações corporativas saíssem do perímetro de segurança oferecido pelas instalações das organizações. Apesar das críticas do setor empresarial na tramitação do anteprojeto da Lei do Trabalho Remoto, governo, empresários e sindicatos finalmente conseguiram chegar a um acordo. Um dos pontos fracos era a obrigação de cobrir as despesas incorridas pelos trabalhadores. A decisão é que o pagamento pelos empregadores será cobrado nos casos em que seus trabalhadores teletrabalharem em percentual superior a 30% da jornada de trabalho, ou seja, para dias de cinco dias e quarenta horas semanais, a regra será aplicável para quem trabalha de sua casa mais de um dia e meio por semana, calculado em períodos trimestrais. Essa circunstância pode pesar no aumento do teletrabalho, já que supõe para o empregador um duplo desembolso, manutenção de escritórios e pagamento de despesas do teletrabalhador. O mais interessante da norma e que reúne o binômio técnico e jurídico, encontra-se no inciso h) do artigo 7º, que trata da necessidade de regulamentar os meios de controle empresarial, que deve ser por escrito no contrato de teletrabalho. Nesse sentido, existe um campo jurídico interessante que requer o estudo da jurisprudência dos tribunais superiores, caso a caso, e verificar como os juízes entendem que o acesso lícito às informações provenientes de equipamentos de informática e/ou emails corporativos dos empregados. A base para o sucesso de um bom acordo é a confiança e o equilíbrio entre o poder de controle do empregador e o direito do trabalhador à privacidade. Segurança e privacidade no teletrabalho Dentro deste novo paradigma na forma de trabalhar fica evidente que, depois das pessoas, a informação continua a ser o principal património das empresas e que a sua segurança, agora mais do que nunca, pode estar comprometida pela utilização de computadores pessoais que estão fora do controle da empresa. A ausência de uma política de uso adequado dos sistemas de informação na maioria das empresas é um dos principais motivos pelos quais não está sendo realizada uma gestão adequada desses recursos, o que em muitos casos pode afetar seriamente a continuidade do negócios. Como auditor de segurança da informação, especialista em tecnologia e empresário, sou responsável por implementar as medidas necessárias para mitigar ou reduzir os riscos associados à segurança da informação, mas, se o incidente ocorrer, também investigá-lo, coletar e analisar evidências que ajudam a identificar a origem do problema. O objetivo da norma ISO/IEC 27001: 2013 é proteger a confidencialidade, integridade e disponibilidade das informações nas empresas, entre outros, inclui aspectos relacionados ao Teletrabalho e ao Uso Aceitável dos Ativos da Empresa. O ponto 8.1.3 estabelece o objetivo de documentar o uso adequado da informação, descrevendo os requisitos de segurança dos bens disponibilizados ao funcionário, como computador ou laptop, celular, conta de e-mail… comunicando sempre de forma adequada para evitar o uso imprópria, como extrair informações sem autorização (confidencialidade), manipulação de informações (integridade), phishing ou ransomware (disponibilidade), entre outros. Esta política de uso aceitável pode ser adotada pela empresa fora da certificação. A questão é: se assinarmos um acordo de confidencialidade ou NDA com nossos funcionários, por que não documentamos uma política e assinamos um documento de uso adequado de ativos? Isso evitaria muitos problemas técnicos e jurídicos diante de possíveis incidentes relacionados à segurança e privacidade no teletrabalho, em primeiro lugar, porque o funcionário está devidamente informado e explicado o que pode ou não fazer com os recursos da empresa, em segundo lugar , é assinado um documento que o comprova e se o incidente finalmente ocorrer, não se pode alegar o desconhecimento dos regulamentos e políticas relativas à segurança das informações da empresa. O ponto 6.2 fala especificamente em garantir a segurança da informação na utilização de recursos para mobilidade e teletrabalho, é também um objetivo muito extenso que não podemos aprofundar, mas que resumimos no próximo ponto, que se aplica a riscos associados a esta prática, os controles que devem ser implementados para reduzi-los ou mitigá-los e o estabelecimento de métricas que permitam um monitoramento adequado. Este é um exemplo enm espanhol de documento a ser assinado pelo colaborador, que deve incluir os aspectos do RGPD relativos ao tratamento dos seus dados pessoais pela empresa: Na segunda parte desta postagem, continuaremos a nos aprofundar neste tópico, especificando o equilíbrio entre controle de negócios e privacidade e as ferramentas de controle. Esperamos que ache isso útil. Segunda parte agora disponível: Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (II) Escondendo as chaves sob o capacho: os governos poderiam garantir a insegurança universalO ataque ao SolarWinds finalmente revela dois pesadelos: o que foi feito certo e o que foi errado
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
