Como trabalhar em home office de forma segura

Confira neste artigo, alguns mecanismos de controle e estratégias de defesa para trabalhar no home office de forma segura e manter a segurança da informação.

Autor: Claudio Maulais
Revisão e edição: Carolina Kadix
Publicação original: ANADD - Ass. Nac. de Advogadas(os) de Direito Digital

Atualmente, a epidemia da COVID-19 tem colocado em risco não somente a saúde da população, contudo, vem aumentando os riscos tecnológicos nos lares, que no momento, divide atividades relacionadas ao teletrabalho e atividades escolares. Desta forma, elevando os riscos sobre os dados que passaram a ter um volume maior de circulação neste ambiente híbrido.

Vivemos um momento de extrema sensibilidade das pessoas, que precisam se proteger da disseminação evolutiva de um vírus mortal, ao mesmo tempo que lutam para manter suas obrigações financeiras em dia e o sustento da família, fazendo com que criminosos digitais se aproveitem desta fragilidade como uma oportunidade de exploração.

De acordo com uma pesquisa realizada pelo IPEA, entre os meses de maio a novembro de 2020, o grupo de brasileiros que trabalhava no regime de teletrabalho, chegou a 8,2 milhões de pessoas. Isto corresponde a 11% dos 74 milhões de profissionais que ainda continuaram a realizar suas atividades de forma presencial.

Contudo, como a maioria das pessoas não estavam preparadas para realizar o trabalho em suas residências, empresas e funcionários ficaram visivelmente vulneráveis a criminosos digitais que buscam cada vez mais explorar uma antiga técnica de persuasão: a engenharia social.

A engenharia social e os riscos para o home office 

A engenharia social ocorre quando alguém faz uso da persuasão, muitas vezes abusando da ingenuidade e confiança do usuário, para obter acesso não autorizado a computadores e informações sigilosas (ALEXANDRIA, 2009).  Alguns exemplos de ataque de engenharia social, listados por CERT.br (2016a), são:

  1. a) Um desconhecido liga para a casa de alguém e diz ser do suporte técnico do provedor dele. Nesta ligação, ele diz que a conexão com a Internet está apresentando algum problema e, então, pede a senha para corrigi-lo;
  2. b) Alguém recebe uma mensagem de e-mail, supostamente do fornecedor do seu antivírus, dizendo que seu computador está infectado por um vírus. A mensagem sugere que a pessoa instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador;
  3. c)  Alguém recebe uma mensagem de e-mail, onde o remetente é o gerente ou alguém do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se for executado o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela utilizada para se ter acesso à conta bancária, aguardando que se digite a senha (CERT.br, 2016a, p. 8-14).

Como podemos observar, surge uma nova forma de administrar os ativos das organizações, não somente ativos físicos, como os ativos lógicos, sobretudo as informações, que atualmente vem sendo consideradas como o “novo petróleo”. Este cenário exige que as empresas criem métodos para proteger os equipamentos e as informações que circulam fora de suas instalações físicas.

A seguir, apresentamos algumas sugestões de como trabalhar em home office com o mínimo de segurança, contudo, sabe-se que é impossível atingir um ambiente cem por cento seguro na execução de atividades em um ambiente computacional.

Como trabalhar em home office com o mínimo de segurança? 

Segurança da Informação

O tema segurança da informação vem sendo apontado por vários anos consecutivos como um dos assuntos que mais geram interesse no mercado de TI atualmente. Os provedores de tecnologia gostam de abordá-lo na mídia e em eventos devido aos muitos produtos e serviços que podem ser ofertados, usando um padrão similar ao da “indústria do medo” na área de problemas em relação à engenharia social. Portanto, cabe como solução estudar aspectos abstratos e intangíveis (IBM, 2014).

Desde o início da pandemia, trabalhar de casa tem sido uma alternativa mais segura para as empresas, por conta da Covid-19. No entanto, essa ação exige cuidados redobrados com a segurança das informações que trabalhamos no dia a dia. A segurança da informação, no entanto, é entendida pela garantia de seus três aspectos fundamentais.

A segurança da informação, em geral, é entendida pela garantia de seus três aspectos fundamentais: a confidencialidade, que é a propriedade de a informação ser acessada por quem tenha autorização e não seja acessada por aqueles que não possuem autorização; a integridade, que é a propriedade de a informação não ter sido alterada por qualquer agente desautorizado; a disponibilidade, que é o aspecto da segurança que garante que a informação estará disponível para todos os autorizados e que precisem dela sempre que necessário (SOUZA, 2015, p. 30).

Uma organização pode ter investido nas melhores tecnologias de segurança, treinado seus usuários tão bem que eles trancam todos os segredos antes de irem embora e pode ter contratado guardas para o prédio na melhor empresa de segurança que existe. No entanto, essa empresa ainda estará vulnerável. Os indivíduos podem seguir cada uma das melhores práticas de segurança recomendadas pelos especialistas, podem instalar cada produto de segurança recomendado e vigiar muito bem a configuração adequada do sistema e a aplicação das correções de segurança. Esses indivíduos ainda estarão completamente vulneráveis, fazendo com que a segurança da informação esteja em constante ameaça dos tão temidos engenheiros sociais (MITNICK; SIMON, 2003).

Segundo Mitnick e Simon (2003), não há computador seguro mesmo que ele esteja desligado:

Há um ditado popular que diz que um computador seguro é aquele que está desligado. Isso é inteligente, mas é falso: o hacker convence alguém a entrar no escritório e ligar aquele computador. Um adversário que quer as suas informações pode obtê-las, em geral, usando uma de várias maneiras. Tudo é uma questão de tempo, paciência, personalidade e persistência. É nesse ponto que entra a arte da fraude. Para anular as medidas de segurança, um hacker, um invasor ou um engenheiro social deve encontrar um modo de enganar um usuário de confiança para que ele revele as informações, ou deve enganar alguém importante para que ele forneça o acesso. Quando os empregados de confiança são enganados, influenciados ou manipulados para revelar informações sigilosas ou para executar ações que criem um buraco na segurança para que o hacker se infiltre, nenhuma tecnologia do mundo pode proteger uma empresa (MITNICK e SIMON, 2003, p. 29).

O elo mais fraco na cadeira da Segurança da Informação 

O fator humano, para Mitnick e Simon (2003), é considerado o elo mais fraco na segurança da informação. Investigando a engenharia social por intermédio de casos fictícios apresentados por esses autores é possível perceber que o engenheiro social desbrava vulnerabilidades na comunicação realizada nos sistemas de informação. Entretanto, é interessante presumir que qualquer ataque eficiente geralmente irá buscar o ponto fraco do sistema. A segurança das pessoas resume-se basicamente ao desenvolvimento e à execução pragmática, haja vista que não há problema de segurança uma vez que não há sujeito a ser atacado.

São muitas as organizações que ignoram as questões sociais e comportamentais como sendo o elo mais fraco em seus programas de segurança da informação (ALEXANDRIA, 2009). Entretanto, um erro imaginário menos importante é o de que o estabelecimento de uma política e a aplicação de mecanismos de controles sejam suficientes para garantir um ambiente propício à segurança da informação. Esta temática será abordada no tópico seguinte.

Mecanismos de controle e estratégia de defesa em home office 

Estar seguro é uma necessidade na atualidade, seja a segurança física, material ou digital.  Essa última, sobretudo, é muito importante, pois hoje as organizações dependem dos computadores em sua casa para o uso da Internet em atividades cotidianas como buscar informações de clientes e fornecedores em sites, acessar homepages de bancos, e há o uso até mesmo de sistemas de gestão empresarial disponibilizados para funcionários acessarem externamente.

Diante desse contexto, apresentamos a seguir, algumas recomendações para manter as informações seguras mesmo longe da organização, ou seja, em home office:

  • Utilize somente sua rede residencial para trabalho remoto não utilize ponto compartilhado por vizinhos ou wi-fi públicas;
  • Se possível, configure uma senha forte para seu wi-fi; e, principalmente, assegure que seu roteador não está configurado com a senha padrão do fabricante;
  • Sempre que possível, utilize dispositivos corporativos que já possuam as configurações e atualizações de segurança da organização para a realização do acesso remoto, ao invés de dispositivos pessoais, com acesso compartilhado;
  • Não permita o acesso aos equipamentos e sistemas de informações da empresa por pessoas não autorizadas (familiares, visitantes e desconhecidos);
  • Não realize o acesso remoto de sua organização por meio de máquinas instaladas em locais públicos;
  • Bloqueie o seu computador sempre que se ausentar do computador;
  • Mantenha o seu equipamento de trabalho home office atualizados com todos os patches de correção e de segurança fornecidos pelo fabricante, devidamente aplicados;
  • Evite usar opções de preenchimento automático de dados para armazenamento de senhas e logins;
  • Se suspeitar de comprometimento da sua senha de acesso, troque-a imediatamente;
  • Não discuta informações confidenciais em locais públicos ou de circulação de pessoas não ligadas à empresa;
  • Utilize o acesso via VPN somente para execução de atividades que requeiram esse tipo de acesso;
  • Adquira o menor nível de privilégio de acessos possível;
  • Esteja atento caso receba ligação de alguma pessoa se identificando como colaborador, solicitando informações da empresa, ou solicitando que seja informada algum login ou senha; a execução de algum procedimento como alteração ou concessão de acesso, pois pode ser uma pessoa mal-intencionada se passando por um colaborador; e
  • Nunca forneça informações sensíveis, pessoais ou da empresa, por telefone ou outros meios, quando a iniciativa do contato não for sua.

Segurança no uso de senhas

Abordaremos agora, algumas técnicas que irão orientar o usuário não somente em home office, porém em toda a sua atividade, cuja o acesso seja por meio de uma senha.

  • Crie senhas fortes e difíceis de decifrar por pessoas mal-intencionadas;
  • Sua senha é pessoal, inequívoca e intransferível. Jamais revele-a a terceiros, nem mesmo para um colaborador da sua organização ou alguém de confiança;
  • Evite gravar senhas para preenchimento automático em sistemas e browsers;
  • Não guarde sua senha em agenda, gaveta ou próxima ao monitor;
  • Mude suas senhas regularmente ou ao suspeitar de quebra de sigilo;
  • Não utilize as mesmas senhas para acesso aos sistemas do seu trabalho e sistemas pessoais;
  • Ao criar uma senha, evite usar palavras curtas, data de nascimento, telefone ou sequências (exemplo: “123456”, “qwerty”, “asdfghjkl” etc.). Para montar uma senha forte, use letras maiúsculas e minúsculas, números e símbolos;
  • Desconfie e não clique em links desconhecidos recebidos por WhatsApp, Telegram, SMS e outros meios de comunicação;
  • Verifique as configurações de privacidade das suas redes sociais e seja sempre cauteloso com o que você posta publicamente; e
  • Evite compartilhar suas informações pessoais, como número de telefone ou data de nascimento e conta, e que podem ser utilizadas por pessoas mal intencionadas, usando estes dados para aplicar a técnica conhecida como engenharia social.

Conclusão

O objetivo principal deste artigo foi elucidar algumas medidas de segurança como forma de mitigação dos riscos de ataques cibernéticos frente ao grande aumento de pessoas trabalhando em home office. Foi apresentado neste trabalho um pequeno entendimento acerca da técnica de persuadir o usuário, conhecida como engenharia social e algumas referências para um melhor entendimento sobre segurança da informação.

Foi notório diante das recomendações para se conseguir um ambiente de teletrabalho minimamente seguro, que a informação está vulnerável a diversos tipos de ataques, seja por meios físicos, lógicos ou humanos. Não é de hoje que as empresas realizam imensuráveis investimentos em recursos tecnológicos de ponta, buscando por meio da tecnologia aumentar a proteção do seu ambiente informacional. Porém de nada adiantará se o elo mais fraco da corrente de segurança da informação não tiver o mesmo grau de importância, sendo deixado em segundo plano.

É desse ponto que, muitas vezes, as pessoas mal intencionadas se utilizam para poder ter acesso às informações confidenciais das empresas. Portanto, cabe ressaltar que não existe tecnologia boa o suficiente para evitar o ataque cibernético. É necessário, portanto, um investimento contínuo em treinamento dos funcionários para que eles sejam devidamente atualizados sobre novas maneiras de se proteger de possíveis ataques.

Entretanto, recomenda-se que sejam revisados os programas de treinamento e conscientização, atualizando-os para este novo normal em que os colaboradores devem buscar uma nova forma de pensar em segurança da informação e como parte dela, reconhecendo o papel que poderá desempenhar para mitigar qualquer ataque, como por exemplo engenharia social.

Referências

ALEXANDRIA, J. C. Gestão de segurança da informação: uma proposta para potencializar a efetividade da segurança da informação em ambiente de pesquisa científica. 2009. Tese de Doutorado. Instituto de Pesquisas Energéticas e Nucleares. Autarquia Associada à Universidade.

CERT.br. Cartilha de segurança para Internet - janeiro de 2016. Disponível em: http://cartilha.cert.br/. Acesso em: 20 jan. 2016.

IPEA:https://agenciabrasil.ebc.com.br/economia/noticia/2021-07/ipea-11-dos-trabalhadores-fizeram-home-office-ao-longo-de-2020
MITNICK, K. D.; SIMON, W. L. A Arte de Enganar: ataques de hackers – controlando o fator humano na segurança da informação. São Paulo: Makron, 2003.

SOUZA, Raul Carvalho. Prevenção para ataques de engenharia social. 2015. Tese de Doutorado. Universidade de Brasília.

SICOOB, Dicas de Segurança: https://www.sicoob.com.br/web/sicoobcredisul/dicas-seguranca

Conteúdo protegido pela Lei 9.610/98, que regula os direitos autorais tanto artísticos quanto acadêmicos. A violação dos direitos aurorais é CRIME previsto no artigo 184 do Código Penal. Você não pode copiar nem reproduzir partes sem autorização expressa do autor.  No entanto, você pode compartilhar o link livremente e fazer menções, desde que citando a fonte.