Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os trabalhadores da linha de frente são a espinha dorsal de todas as organizações. Eles mantêm os armazéns abastecidos, garantem que as máquinas funcionem sem problemas, organizam os locais das lojas e servem como o primeiro ponto de contato para os clientes. Dependemos deles para oferecer qualidade consistente em um ritmo acelerado enquanto gerenciamos os riscos de segurança pessoal, o aumento do roubo e as interrupções contínuas da cadeia de suprimentos.
Um conjunto crescente de organizações está permitindo que seus operadores de informações (IWs) e trabalhadores da linha de frente (FLWs) colaborem nos mesmos aplicativos baseados em nuvem, como SharePoint, Teams, etc. Como esses aplicativos baseados em nuvem estão disponíveis na Internet, as organizações precisam considerar como proteger o ambiente, incluindo a proteção contra invasões de contas remotas.
Para seus operadores de informações, muitas organizações querem capacitar seus usuários a trabalhar com mais segurança em qualquer lugar e a qualquer momento, em qualquer dispositivo, conforme descrito nas práticas recomendadas Zero Trust da Microsoft. No entanto, muitos trabalhadores da linha de frente não se enquadram no modelo de precisar de acesso em qualquer lugar/a qualquer hora/qualquer dispositivo. Em vez disso, a maioria dos trabalhadores da linha de frente se enquadra no modelo de precisar de dois tipos de acesso:
Acesso ao trabalho (no turno): enquanto estiver no trabalho, um trabalhador da linha de frente pode precisar de acesso a aplicativos confidenciais.
Acesso domiciliar (fora do turno): Enquanto estão em casa ou longe do local de trabalho, a maioria dos trabalhadores da linha de frente não deve desempenhar tarefas de trabalho. No entanto, eles podem exigir acesso a aplicativos de trabalho não confidenciais para comunicação fora do turno, inscrição em turnos ou revisão de material de treinamento. Em alguns casos, eles também podem exigir acesso a recursos pessoais sensíveis, como paystub ou W2.
Este artigo descreve as práticas recomendadas para proteger os trabalhadores da linha de frente em vários cenários de acesso em casa ou no trabalho. Para entender completamente essas dicas de segurança, é importante primeiro entender os vários tipos de dispositivos que os trabalhadores da linha de frente usam em diferentes configurações.
Tipos de dispositivos usados em ambientes de trabalho da linha de frente
Há três tipos principais de dispositivos usados pelos trabalhadores da linha de frente na maioria dos cenários:
Dispositivos partilhados: Estes são dispositivos de propriedade da empresa que são compartilhados entre os funcionários em tarefas, turnos ou locais.
Traga seu próprio dispositivo (BYOD): Algumas organizações usam um modelo de traga seu próprio dispositivo, em que os funcionários da linha de frente usam seus dispositivos pessoais para acessar aplicativos de negócios.
Dispositivos de usuário único de propriedade da empresa: Estes dispositivos são atribuídos a um funcionário específico apenas para fins de trabalho, não para uso pessoal. Embora esse modelo de dispositivo seja menos frequente, recomendamos que as organizações que o usam para que seus funcionários da linha de frente sigam as práticas recomendadas em qualquer lugar/a qualquer momento/em qualquer dispositivo, conforme descrito nas práticas recomendadas de Zero Trust da Microsoft.
Controles de segurança para ambientes de trabalho da linha de frente
Os seguintes controles de segurança são recomendados para proteger os trabalhadores da linha de frente em várias configurações:
| Controlos de Segurança | Descrição |
|---|---|
| Gerenciamento de dispositivos móveis (MDM) gerenciado | Para proteger os dispositivos e os dados que eles acessam, recomenda-se que os administradores os gerenciem usando um MDM como o Microsoft Intune. |
| Modo de dispositivo compartilhado (SDM) habilitado |
O modo de dispositivo compartilhado é um recurso que permite que as organizações configurem um dispositivo iOS, iPadOS ou Android para vários funcionários compartilharem. Os funcionários podem escolher um dispositivo do pool compartilhado, entrar uma vez e obter acesso automaticamente a todos os aplicativos compatíveis com SDM por meio do logon único (SSO). Quando o seu turno termina, os utilizadores saem globalmente no dispositivo, o que remove as suas informações pessoais e da empresa de todos os aplicativos suportados pelo SDM. Em seguida, eles podem retornar seu dispositivo ao pool, garantindo uma transferência segura para o próximo trabalhador, já que outros usuários não podem ver ou acessar suas informações. Recomendamos ativar o SDM em seus dispositivos compartilhados. Além do Microsoft Intune, confira outros MDMs de terceiros que suportam o modo de dispositivo compartilhado Microsoft Entra. |
| Políticas de proteção de aplicativos | As Políticas de Proteção de Aplicações (APP) do Intune garantem que os dados organizacionais permanecem seguros nas aplicações geridas. Para maior segurança, configure as políticas de Acesso Condicional do Microsoft Entra para garantir que seus aplicativos estejam protegidos com uma política de proteção de aplicativos antes de conceder acesso aos usuários. |
| Bloqueio de ecrã de inatividade | Configure o bloqueio de tela de inatividade e as funcionalidades de saída automática usando aplicativos iniciadores, como a Tela inicial gerenciada , para proteger dispositivos corporativos compartilhados contra acesso não autorizado por colegas mal-intencionados com acesso físico. No BYOD, configure os recursos de bloqueio de tela no iOS e Android para evitar ataques locais. |
| Conformidade do dispositivo | A implantação do Microsoft Intune ou de um MDM de terceiros com suporte permite que as organizações imponham requisitos de conformidade para dispositivos. Os administradores podem definir políticas para garantir que os dispositivos atendam aos padrões de segurança, como exigir uma versão mínima do sistema operacional, impedir o uso de dispositivos com jailbreak ou rooteado e muito mais. Quando configurado, o MDM envia informações de conformidade de política para o Microsoft Entra ID. Esses dados são usados pela política de Acesso Condicional de Conformidade de Dispositivos para determinar se o acesso aos recursos deve ser concedido ou bloqueado, garantindo que apenas usuários com dispositivos compatíveis possam acessar os recursos organizacionais. |
| Autenticação interativa do usuário | A autenticação interativa do usuário garante que apenas usuários autorizados possam acessar recursos quando entrarem em um dispositivo, aplicativo ou serviço. Os administradores devem escolher os métodos de autenticação do Microsoft Entra ID que atendam ou excedam os padrões de segurança, usabilidade e disponibilidade de sua organização. |
Cenários de acesso para trabalhadores da linha de frente
Acesso ao trabalho (em turno)
Enquanto estiver no trabalho, um trabalhador da linha de frente pode ter acesso a aplicativos confidenciais a partir de um local ou rede seguro ou público. Tal cenário requer controlos mais rigorosos em todos os tipos de dispositivos, incluindo dispositivos partilhados, BYOD (Bring Your Own Device, ou "traga o seu próprio dispositivo") e dispositivos de propriedade da empresa de uso único.
A prática recomendada é permitir o acesso apenas de dispositivos gerenciados e compatíveis com MDM. Isso permite que o sistema de identidade verifique silenciosamente o primeiro aspeto fundamental da conformidade do dispositivo antes de prosseguir com a autenticação interativa do usuário, de preferência MFA, para melhorar a segurança antes de conceder acesso. Outras recomendações para proteger os usuários e evitar cenários de perda de dados incluem:
- Integre com o SDK do Aplicativo do Intune e configure a política de Acesso Condicional do Microsoft Entra. Além disso, habilite os recursos de apagamento seletivo do Intune e cancele o registro do usuário no iOS durante uma saída.
- Configure o bloqueio de tela por inatividade ou a funcionalidade de sair automaticamente em dispositivos compartilhados usando aplicações de inicialização, como o Managed Home Screen. Em um cenário de BYOD, use os recursos de bloqueio de tela no iOS e Android.
- Habilite o Modo de Dispositivo Compartilhado (SDM) para proteger os dados do usuário em dispositivos compartilhados e melhorar as experiências de autenticação para os trabalhadores da linha de frente que usam os dispositivos.
Acesso ao domicílio (fora do turno)
Em casa, os trabalhadores da linha de frente devem ter acesso restrito a aplicativos de negócios não confidenciais necessários para comunicação limitada fora do turno ou revisão de material de treinamento básico. Algumas organizações também podem permitir o acesso a dados pessoais confidenciais, como paystubs. Para esses cenários, recomendamos as seguintes práticas recomendadas de segurança:
- Habilite a autenticação multifator interativa
- Aplique o bloqueio de ecrã de inatividade e as Políticas de Proteção de Aplicações.
- Siga as práticas recomendadas em qualquer lugar/a qualquer momento/em qualquer dispositivo, conforme descrito nas práticas recomendadas de Zero Trust da Microsoft em cenários em que sua organização precisa fornecer acesso a aplicativos confidenciais para os trabalhadores da linha de frente enquanto estão fora do turno.
Observação
Embora muitas organizações sigam o modelo de acesso aos trabalhadores da linha de frente em casa ou no trabalho, algumas organizações podem ter políticas internas que permitem que os funcionários acessem qualquer dispositivo de qualquer lugar e a qualquer momento. Essas organizações precisam aplicar as mesmas políticas aos trabalhadores da linha de frente que os operadores de informações e, portanto, seguiriam as práticas recomendadas em qualquer lugar/a qualquer momento/em qualquer dispositivo, conforme descrito nas práticas recomendadas Zero Trust da Microsoft.
Melhores práticas para proteger os trabalhadores da linha da frente
A imagem a seguir fornece um resumo das práticas recomendadas para proteger os trabalhadores da linha de frente nos vários cenários de acesso a casa ou ao trabalho descritos nas seções anteriores.
Comece com as práticas recomendadas para proteger os trabalhadores da linha de frente
Para aplicar as melhores práticas aos seus trabalhadores da linha de frente, siga as seguintes etapas
Mapeie seu cenário de trabalhador da linha de frente para um dos cenários listados neste artigo.
Analise os controles de segurança aplicáveis:
- Gerenciamento de dispositivos usando um MDM como o Microsoft Intune.
- Implemente o Modo de Dispositivo Compartilhado.
- Aplique políticas de proteção de aplicativos e políticas de Acesso Condicional do Microsoft Entra .
- Aproveite os recursos de bloqueio de tela de inatividade oferecidos por aplicativos iniciadores, como a tela inicial gerenciada, e por sistemas operacionais - iOS e Android.
- Verifique se os dispositivos cumprem os requisitos de segurança de acordo com o Acesso Condicional de Conformidade do Dispositivo.
- Habilite a autenticação interativa do usuário usando o Microsoft Entra ID.
Aplique os controles de acordo com as práticas recomendadas recomendadas para seu cenário.