Segurança da informação em tempos de home office

Projetos IGDD

4 de dezembro de 2020

Segurança da informação em tempos de home office

Em 31/12/2019, a Organização Mundial de Saúde (OMS) foi alertada sobre uma série de casos incomuns de pneumonia constatados na cidade de Wuhan, província de Hubei, na China.

Tratava-se de um novo coronavírus, ainda não identificado em seres humanos, com grande capacidade de contágio e consequências fatais, ocasionando a doença posteriormente chamada de COVID-19. 

Em razão da facilidade de transmissão viral, espalhada através de gotículas respiratórias expelidas pela pessoa infectada, não demorou muito para que o vírus se alastrasse.

Então, em 30/1/2020, a OMS declarou que o surto do novo coronavírus constituía uma Emergência de Saúde Pública de Importância Internacional – EPSPII.

Segundo o Regulamento Sanitário Internacional (International Health Regulation-IHR/2005), “é um evento extraordinário que pode constituir um risco de saúde pública para outros países devido à disseminação internacional de doenças; e potencialmente requer uma resposta internacional coordenada e imediata”.

Após, em 11/3/2020, o surto de COVID-19 foi promovido ao status de pandemia devido à sua distribuição geográfica, impondo um período de quarentena em escala mundial.

Por consequência, alterando a rotina de trabalho de milhares de pessoas, que foram forçadas a buscar alternativas que viabilizassem a atividade laboral com o menor impacto possível em seu desempenho.

Nesse cenário, restou consolidada a opção do home office, em que a tradução literal é “trabalho em casa”, mas que, em nossa realidade, se traduz na prestação de serviços preponderante ou totalmente fora das dependências da empresa, que pode se dar através das modalidades de teletrabalho ou, por exemplo, o trabalho à distância.

Home office ou teletrabalho no Brasil

No Brasil, em 2017, o home office ou regime de teletrabalho foi incluído na CLT, a Consolidação das Leis do Trabalho, que prevê sobre a responsabilidade pela aquisição, devendo contar no contrato escrito sobre a manutenção ou fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado.

Entretanto, o teletrabalho não era uma regra e, então, algumas empresas não tiveram tempo hábil para adequação do fornecimento da infraestrutura tecnológica necessária, como prevê a legislação.

Com isso, milhares de pessoas estão utilizando os seus computadores pessoais para o trabalho remoto, estando mais suscetíveis aos chamados “incidentes de segurança”, ou seja:

  • eventos adversos que equivalem às tentativas de ganhar acesso não autorizado aos sistemas de dados;
  • modificações em um sistema sem o conhecimento, instrução ou conhecimento prévio do dono do sistema;
  • ou, ainda, desrespeito à política de uso de uma empresa ou provedor de acesso. 

É preciso se atentar à seguinte questão: como garantir a segurança da informação nesse contexto em que acaba mesclando elementos pessoais e profissionais, pois, envolve não somente dados pessoais, mas, também, dados corporativos e de negócios?

Segurança da informação em tempos de home office

Em resposta a esse contexto específico causado pela pandemia, uma Medida Provisória (MP n.º 927) trouxe alternativas para enfrentar essa nova realidade trabalhista e para tratar da modalidade de teletrabalho.

Ao mesmo tempo, as novas têm desafios ao empregador e ao colaborador, referente aos equipamentos tecnológicos e à infraestrutura necessária e adequada à prestação dos serviços em regime home office.

Neste contexto – e não somente em decorrência da nova legislação – surge a necessidade de definição e/ou reforço de políticas de privacidade e segurança da informação e de boas práticas de governança.

Também, são necessárias medidas técnicas aptas a reduzirem e, se possível, aniquilarem, quaisquer vulnerabilidades que tornem possíveis eventuais incidentes ou, até mesmo, a violação dos dados tratados.

Atualmente, é comum as empresas utilizarem o modelo do BYOD – Bring Your Own Device (ou, trazer seu próprio dispositivo) como uma regra ou prática usual.

Conforme a nova Medida Provisória, a empresa pode realizar o comodato, empréstimo de equipamentos tecnológicos para o colaborador ou, ainda, pode elaborar outra regra ou modelo de utilização destes equipamentos.

Em todos os casos, é preciso regular seu uso e os devidos cuidados referentes à indispensável segurança da informação, sendo possível fazê-lo conforme as dicas e pontuações que devem ser seguidas.

Em relação às medidas técnicas, de início, é preciso mapear as condições de infraestrutura necessárias e aptas a atender à demanda do trabalho remoto realizado. Portanto, se possível, contar com o apoio da equipe de Tecnologia da Informação – TI de sua empresa.

Caso não possua, é recomendado alinhar com o gestor ou superior direto alguns itens, como:

  • tipo de local/conexão/rede a ser utilizada (VPN – Virtual Private Network – Rede Virtual Privada) para que o colaborador possa acessar seus documentos e pastas internas de trabalho;
  • quais plataformas serão utilizadas durante a prestação dos serviços (Sharepoint, Skype, Microsoft Teams, WhatsApp, Gmail);
  • meio, forma e controle de acessos (se serão criados novos logins, senhas e algum controle a ser seguido);
  • quais são as políticas relativas à privacidade, proteção de dados e às boas práticas de segurança da informação a serem aplicadas;
  • quais são as informações e regras de uso de equipamentos e de softwares ou recursos disponibilizados, bem como se há algum termo de compromisso a ser assinado.

No caso de senhas, os especialistas recomendam a adoção de senhas fortes e a ativação do modo de “verificação de dois fatores”, quando disponíveis.

As senhas fortes, nesse caso, seriam compostas por no mínimo 12 dígitos, mesclados com letras, números e símbolos ou frases longas. 

Ainda, é preciso estar em constante atualização quanto ao modo de tratamento de dados de negócio em que está inserido. É preciso buscar junto ao empregador – ou definir, no caso do profissional liberal – quais são os métodos adotados e boas práticas para a segurança, armazenamento, proteção e descarte de dados que tiver acesso.

Boas práticas de segurança da informação no home office

Em relação às boas práticas, é possível adotar a criptografia de disco, em que, feita por meio de software ou hardware de criptografia de disco, é capaz de proteger informações através da conversão em códigos ilegíveis que não podem ser facilmente decifrados por pessoas não autorizadas.

Também, há outras medidas que podem ser implementadas, como:

  • a instalação de antivírus;
  • instalação e ativação do firewall;
  • utilizar software de filtragem da web;
  • implementar o duplo fator de identificação;
  • desativar programas de inicialização automática (porque pode ser um canal de acesso indevido);
  • o reforço da listagem dos sites que podem ser acessados, ou não;
  • desligar o equipamento tecnológico logo após a utilização diária;
  • manter as atualizações ativas nos dispositivos;
  • programar o bloqueio automático da estação ou da máquina remotamente;
  • aplicar segurança no roteador;
  • manter ativos os patches de segurança;
  • reforçar senhas;
  • habilitar a criptografia padrão.

Enfim, reduzir ao máximo toda e qualquer vulnerabilidade.

Além disso, é recomendado que sejam tratados os dados referentes ao trabalho e os dados sobre às informações pessoais, de preferência, em dispositivos/equipamentos diferentes, ou seja, de forma separada.

Em caso de necessidade de backup de dados, é indicado o uso da nuvem (cloud) e, caso seja feito em dispositivos móveis externos, tomar algumas ações:

  • eles devem ser criptografados;
  • não se deve abrir dados em wi-fi público ou fazer transferência por meio de Bluetooth desconhecido;
  • é preciso vigiar seu equipamento/dispositivo quando estiver na companhia de terceiros;
  • também, é uma boa prática a variação de senhas e logins, com vistas a dificultar eventuais acessos indevidos;
  • é preciso evitar, ainda, o armazenamento automático dessas senhas e logins.

Para os empregadores/empresas, vale ressaltar uma alternativa que vem crescendo: a utilização da solução MDM – Mobile Device Management, ou gestão de dispositivos móveis, para controlar remotamente o acesso às informações somente por pessoas autorizadas – em dispositivos como smartphones, tablets e laptops, dentre outros. 

Ainda, é sempre importante, em toda e qualquer área, a atualização a respeito de fraudes e golpes aplicados remotamente.

Golpes digitais

Atualmente, vem sendo aplicado com recorrência o golpe de phishing com vistas a obter, por exemplo, documentos sigilosos e acesso remoto à máquina do trabalhador.

Muitas vezes, esse golpe é feito através de ligação, mensagem ou e-mail, em que o remetente se identifica como suporte da empresa e solicita dados para conseguir o acesso indevido.

Daí a indispensabilidade de se atualizar quanto às normas e boas práticas de segurança da informação e de proteção dos dados.

Outros exemplos de ataques bastantes recorrentes são a execução de programas contendo um Vírus, um Cavalo de Troia, bem como a instalação de Adwares e Spywares associados a keyloggers que permitem o acesso e controle dos dispositivos infectados, além do furto de informações importantes como senhas. 

Nestes casos, a atenção deve se voltar, principalmente, com os cuidados no acesso a e-mails, serviços de comércio eletrônico e Internet Banking, principais portas de entrada para acessos escusos dos invasores virtuais com a instalação de malwares nos dispositivos pessoais dos usuários

Em geral, no caso dos e-mails, o usuário é induzido a clicar em um arquivo anexado, realizando download de arquivos infectados por vírus, ou promovendo a instalação de um Cavalo de Troia. 

O Cavalo de Troia, tal qual na mitologia grega, diz respeito ao recebimento de um suposto presente, por exemplo, um cartão virtual, jogo, protetor de tela, etc.

Além de executar funções para as quais foi aparentemente projetado, também, executa outras funções normalmente maliciosas e sem o conhecimento do usuário.

Ou seja, enquanto o falso presente é executado (jogo, cartão virtual, etc.), dados confidenciais são transferidos para outro computador, podendo haver alteração de informações, arquivos apagados ou formatação do disco rígido, uma vez que o invasor tem total controle sobre o computador atacado.

Para evitar essas modalidades de ataque, a primeira e mais básica medida a ser adotada é a instalação de um programa antivírus, o qual deve sempre estar atualizado, bem como cuidado no acesso a arquivos anexados em e-mails. 

Ressalta-se que, normalmente, arquivos gerados por programas como Word, Excel, PowerPoint e Access são mais suscetíveis à infecção por vírus, enquanto os formatos RTF, PDF e PostScript tendem a ser menos suscetíveis, embora isso não signifique que estão isentos de riscos. 

Tratando-se de Adware e Spyware, uma das modalidades mais comuns de ataque ocorre quando o usuário acessa o Internet Banking, momento em que o dispositivo maliciosamente infectado pode repassar informações a terceiros acerca das senhas bancárias e números de cartão de crédito digitado pelo usuário. 

O Adware (Advertising Software) é um software projetado para apresentar propagandas, enquanto o Spyware é o termo utilizado para uma grande categoria de software, em que o objetivo é monitorar atividades de um sistema e enviar as informações coletadas para terceiros. 

Em associação, esses mecanismos são utilizados para monitorar o comportamento do usuário na internet com vistas ao direcionamento de propagandas que serão apresentadas no navegador.

Ocorre que os spywares, muitas vezes, são utilizados de maneira dissimulada, não autorizada e maliciosa, valendo-se de sua função de monitoramento para identificar o momento em que o usuário acessa ao Internet Banking ou realiza compras em comércio eletrônico, transferindo os dados digitados (números de cartão e senhas) a terceiro. 

Como ocorrem essas fraudes?

Alguns vírus Cavalos de Troia podem instalar Spywares em um computador, associados a um keylogger ou screenlogger, que são programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.

Então, o Spyware é utilizado para monitorar o acesso do usuário a sites de bancos ou de comércio eletrônico, sendo que o keylogger ou screenlogger é ativado para a captura de senhas bancárias digitadas.

Portanto, fica evidente a importância do cuidado que o usuário deve ter ao acessar e-mails, fazer download de arquivos e instalar programas ofertados na internet, pois estes são os principais meios utilizados para invasão do dispositivo pessoal.

Em especial, nesse momento de pandemia porque os golpes digitais têm aumentado de forma substancial.

Mapeadas tais informações, a equipe de TI e/ou gestores, superiores hierárquicos, colaboradores, prestadores de serviços e profissionais liberais, já serão capazes de identificar os dispositivos, regras, recursos e locais de atuação, para fins de controle interno de acessos, uso e acompanhamento

Assim, se certificarem e aperfeiçoarem as suas práticas de segurança da informação.

Essas informações sobre o monitoramento do uso do equipamento utilizado para a realização do trabalho, inclusive, obedecem aos princípios da transparência e da informação previstos a LGPD.

Portanto, o home office vem se consolidando há algum tempo e, sem dúvidas, é uma modalidade que se fortaleceu neste cenário trazido pela pandemia.

Dessa forma, é imprescindível estar sempre atento às medidas técnicas, tecnológicas, organizacionais e funcionais avançadas e aptas a assegurar um nível rigoroso de segurança capaz de fazer frente aos possíveis ataques, como àqueles mencionados neste artigo.

Com isso, permite-se a devida proteção e privacidade dos dados tratados e, por consequência, máxima tranquilidade aos envolvidos.

Autoras

Elisa Zafalão e Marina de Paula Souza Reis

Compartilhe

Leia mais artigos​

Instituto Goiano

de Direito Digital

Acompanhe nossas redes sociais

Instagram Facebook Tiktok Twitter Linkedin Youtube