Home office e a segurança dos dados
[:br]
Diante da atual pandemia e das recomendações de isolamento para combater e prevenir a covid-19, diversas empresas recomendaram que seus empregados trabalhem de casa.
O home office, já conhecido entre os brasileiros, é uma alternativa para manter as pessoas trabalhando sem expô-las a ambientes com grande aglomeração, como transportes públicos, praças de alimentação e salas fechadas.
Em que pese algumas empresas já possuírem a infraestrutura necessária para possibilitar este tipo de trabalho, para muitas, esta prática ainda é uma novidade que pode causar preocupação nos profissionais de segurança da informação.
Milhões de pessoas acessando documentos corporativos repletos de dados confidenciais através de computadores conectados a redes domésticas pode parecer um prato cheio para cibercriminosos (hackers).
Para reforçar a segurança de seus dados neste momento de crise, tanto o usuário quanto a empresa podem adotar algumas medidas importantes.
Rede privada para os funcionários
A empresa pode estabelecer uma rede privada, também conhecida como VPN (virtual private network), que permite à equipe de segurança corporativa monitorar e assegurar o tráfego de informações. Estas serão criptografadas de ponta a ponta impedindo que sejam acessadas mesmo que o seu roteador doméstico seja invadido.
Conforme a configuração estabelecida pela empresa, a conexão na VPN pode bloquear alguns sites, como redes sociais e canais de vídeo. Este fator pode incentivar empregados a trabalhar desconectados da VPN.
Contudo, é importante conscientizar os funcionários de que fora da rede privada da empresa é muito mais fácil que hackers consigam obter as informações corporativas através de ataques.
Configuração segura da rede
A forma como a rede é configurada também pode garantir maior segurança para as conexões domésticas.
Alguns modems possuem um usuário e senha padrão: o clássico admin/admin. Esta é uma senha que os hackers conhecem e podem utilizar para acessar o modem.
Através deste acesso, o hacker poderá por exemplo obter as informações trafegadas na rede, manipular dispositivos IoT (SmarTVs, smarthphone etc.) ou mesmo redirecionar as conexões do usuário para páginas maliciosas.
Por isso, recomenda-se que o usuário altere estas configurações padrões do modem. As instruções geralmente vêm no manual que acompanha o aparelho e são simples de serem executadas.
Um hábito comum entre as pessoas é nomear a rede com seu próprio nome, sobrenome ou número de seu apartamento. Isto faz com que sua rede seja facilmente identificável, fornecendo várias informações para que o hacker pesquise sua vida em redes sociais e realize tentativas de senha com base em seus hábitos.
Outro hábito também comum é manter o nome da rede que vem automaticamente com o roteador. Muitas vezes estes nomes são padronizados, como o nome do fabricante, número do modelo ou da operadora de internet. Este tipo de informação pode favorecer hackers que, por exemplo, já conhecem as vulnerabilidades de cada fabricante para poder atacar seu roteador. Nesse sentido, dar à rede um nome neutro dificulta o trabalho de qualquer invasor.
Senhas fortes
As informações da pessoa em redes sociais e cadastros podem ser utilizadas contra ela. Assim, além de evitar senhas simples, como números sequenciais, também deve-se evitar senhas fáceis de intuir, como por exemplo o nome do time de futebol para o qual a pessoa torce, o nome de seu cachorro, as iniciais dos seus filhos ou o início de seu telefone celular.
Pesquisas apontam que a senha “123456” e “password” (que significa senha em inglês) ainda são as mais utilizadas no mundo, sendo de grande vulnerabilidade.
Senhas complexas, compostas de números, caracteres e letras em caixa alta e baixa são as mais seguras. Além disso, é importante trocar a senha de seu wi-fi com uma certa regularidade para garantir maior segurança.
Também pode-se utilizar um gerenciador de senha, que gera senhas aleatórias e complexas para cada cadastro. Estas senhas ficam armazenadas em uma espécie de “cofre digital”. Sempre que o usuário precisa acessar o referido cadastro, o gerenciador preencherá o usuário e senha com as informações deste “cofre”. Alguns desses gerenciadores são gratuitos e podem ser facilmente utilizados nas páginas de internet.
Computador doméstico deve ser evitado
O colaborador em regime de home office deve utilizar o computador corporativo da empresa caso ela disponibilize notebooks.
O computador doméstico normalmente não possui uma periodicidade na troca de senha e muitas vezes está com o antivírus desatualizado. Caso não haja alternativa, deve-se necessariamente atualizar os antivírus e modificar as senhas de acesso.
Por outro lado, como já mencionado, muitas pessoas fogem da VPN para conseguir acessar sites normalmente bloqueados pelas empresas. O trabalho de casa pode dar às pessoas a falsa sensação de maior liberdade e fazer com que acessem sites que normalmente não acessariam do escritório.
Este tipo de conduta deve ser evitado porque pode expor o computador e os dados de toda a empresa a hackers.
Outro ponto muito importante é a conscientização referente a fake news e aplicativos falsos. Cibercriminosos se aproveitam de momentos de fragilidade na sociedade para compartilhar notícias falsas (phishing) através de e-mails, SMS ou WhatsApp buscando um clique do usuário. Ao clicar nestes links, o equipamento pode ser infectado por vírus, malwares ou ser estabelecido um acesso para monitoramento de terceiros (backdoor).
Portanto, o usuário do computador deve procurar acompanhar as notícias através de sites oficiais, jamais por meio de cliques em sites desconhecidos.
Todas estas orientações e outras que a equipe de segurança da informação julgar relevantes devem ser compartilhadas com os empregados. Estes devem ser orientados a respeitar as regras do home office e colaborar para que este período de isolamento e resguardo ocorra da forma mais tranquila possível. Afinal de contas, o combate à covid-19 já é um desafio e tanto! Empresas e trabalhadores não precisam de mais problemas para gerenciar durante este período.
*Iara Melo, especialista em Direito Digital e Proteção de Dados, é advogada no Chenut Oliveira Santiago Advogados; Paulo Baldin é privacy officer
[:]