Os 10 erros de segurança mais comuns cometidos por quem trabalha em home office

Como um furacão, a pandemia levou muitos trabalhadores a se refugiarem em casa. São profissionais que adotaram o trabalho remoto e tiveram de se adaptar a um novo modo de desenvolver suas atividades profissionais.

• Como reduzir as chances de invasão ao computador em home office
• Ciberataques crescem 50% durante a migração para home office na pandemia
• Mercado de cibersegurança cresce no Brasil em meio à pandemia

Dados da pesquisa FIA Employee Experience (FEEx) mostram que 90% das empresas aderiram a alguma modalidade de home office com a chegada da pandemia. Antes, apenas 43% delas oferecia alguma opção de trabalho a distância. Foram ouvidas 213 empresas em todo o território nacional no segundo semestre de 2020.

Entre os 150 mil trabalhadores que responderam à pesquisa, somente 7% atuavam em home office, parcial ou integralmente, antes de a COVID-19 se espalhar pelo mundo. Agora que passaram pela experiência, 91% deles a avaliam como ótima ou boa.

Enquanto estão fora do ambiente da empresa, os profissionais podem ficar vulneráveis a ataques cibernéticos. Isso porque a transição para o home office pode não ter considerado as necessidades da segurança da informação. Como a cultura do trabalho remoto não estava estabelecida ainda no Brasil antes da pandemia, poucas empresas tinham estratégias para lidar com esse cenário.

Esse pode ser um dos fatores para 39,84% dos entrevistados em um estudo da PSafe relatarem já ter tido vírus no computador usado para trabalhar. E esse não foi o único dado preocupante da pesquisa: 23,26% dos participantes informaram já ter acessado sites vinculados a golpes no equipamento corporativo. O levantamento foi conduzido entre agosto e setembro de 2020.

Aprimoramento dos controles

Nessa nova realidade, os controles têm de ser aprimorados para proteger a empresa e o colaborador. “A possibilidade de terceiros influenciarem os processos corporativos por dividirem o ambiente de home office com o colaborador deve ser uma preocupação”, avisa Rodrigo Suzuki, diretor de Segurança da Informação Latam da Logicalis.

Por isso, na medida do possível, é importante ter um espaço dedicado para exercer a atividade corporativa. “Afinal, o home office pode ser qualquer lugar”, lembra. Ainda em relação à segurança do recinto, é bom ter móveis adequados e evitar que a tela fique exposta ao ambiente doméstico. “Se não, pode passar uma criança correndo em um momento de reunião, por exemplo”, lembra Suzuki.

De forma geral, quando se unem home office e segurança da informação, os desafios são grandes, mas com as ferramentas certas e políticas de segurança bem estabelecidas é mais fácil manter-se protegido. “A segurança da informação é para a vida. O aspecto corporativo se beneficia a partir do momento que o colaborador usa isso bem”, reforça Suzuki. Conheça, a seguir, os principais erros de segurança que afetam o home office para saber como se prevenir.

1 – Pouco cuidado com o armazenamento de senhas 

Suzuki destaca que anotar senhas em post-its ou guardá-las em serviços públicos na nuvem não é recomendável, já que pode deixar os dados da empresa desprotegidos. “Se, por qualquer motivo, alguém descobre uma senha e consegue entrar no computador, há grandes chances de ter acesso a todo o restante, especialmente a senhas armazenadas no navegador ou no serviço de e-mails, por exemplo.”

Outra prática que deve ser evitada é o uso da mesma senha para diferentes serviços. Isso porque se o criminoso descobre uma, automaticamente tem acesso a todas. “Isso serve tanto para a vida corporativa como para a pessoal. Quando o profissional trabalha de casa, elas se fundem e os riscos de uma passam para a outra e vice-versa.”

E qual é a melhor senha? “Senha boa é aquela que a gente muda bastante”, ensina Suzuki. Ele lembra que é comum que dados vendidos online não sejam muito recentes. Então, senhas atualizadas estão mais seguras do que as mantidas por muito tempo.

2 – Uso de apenas senhas para proteger as informações da empresa

Quando a equipe está fora do ambiente corporativo, a organização não tem total controle sobre a segurança da informação. Isso porque é comum que os colaboradores usem senhas fáceis ou que incluam dados pessoais, como data de nascimento e CPF. Com a exposição de dados cada vez mais frequente, muitas dessas informações já se tornaram públicas.

Por isso, o ideal é aliar a senha a um segundo fator de autenticação. “Isso garante que haja mais uma barreira de segurança, já que só a senha não basta para ter acesso ao sistema”, pondera Fernando Oliveira, Head de Inovação na SEC4YOU. Para que esse sistema seja amigável, é importante que ele identifique quando essa segunda etapa deve ser usada. Além disso, a empresa deve ter uma estratégia de avaliação de risco contínua.

3 – Escolha de sistemas de segurança muito complexos 

Sempre que há excesso de controles, as chances de abandono da prática são grandes. “Como os processos de segurança da informação são complexos, podem afetar os colaboradores de forma negativa”, avalia Oliveira. Isso porque quando os sistemas e as ferramentas são difíceis de manusear, o colaborador tende a buscar formas mais fáceis de fazer as tarefas do dia a dia. Em outras palavras, ele pode tentar burlar e até fugir das barreiras impostas pela área de segurança da informação da empresa.

É comum, por exemplo, que as senhas sejam anotadas em blocos de notas pela dificuldade de armazená-las em um cofre de senhas. Ou mesmo que o colaborador guarde arquivos localmente no computador quando o sistema de armazenamento da companhia é muito complexo. Ao contornar as políticas de segurança, no entanto, ele pode expor informações confidenciais sem perceber.

Então, ao adotar sistemas e ferramentas, a organização deve pensar na usabilidade e na experiência do profissional. “Além disso, é fundamental ter políticas de segurança bem estabelecidas, como o incentivo e a educação da equipe sobre a importância de seguir os métodos de segurança”, destaca Oliveira. “É preciso lembrar que, fora do escritório, a segurança depende da proteção do dispositivo e do comportamento do colaborador”, completa Suzuki.

4 – Opção por sistemas de backup e recuperação inadequados 

No home office, a rotina dos colaboradores mudou muito. Não há mais local nem dispositivo fixo para trabalhar. É possível, por exemplo, acessar sistemas da empresa até pelo celular. Isso dificulta a implementação de soluções de backup e recuperação adequadas.

Para resolver esse problema, os colaboradores podem ter um backup local em seus dispositivos ou a empresa pode adotar um programa centralizado de backup e recuperação de dados. Outra alternativa é o backup em nuvem, uma das opções mais utilizadas atualmente.

5 – Adoção de práticas inadequadas pelo colaborador 

O maior risco do trabalho remoto é o colaborador. É difícil ter controle sobre muitas práticas adotadas por ele quando está fora do escritório. Muitos anotam senhas ou compartilham equipamentos de trabalho com integrantes da família, por exemplo. Também é comum que o colaborador use dispositivos pessoais para trabalhar ou acesse redes públicas em equipamentos corporativos.

Suzuki destaca que o dispositivo corporativo não deve ser usado em outras atividades — e que a conscientização dos profissionais em relação a isso é fundamental. “Esse equipamento é sagrado”, adverte. “O filho do colaborador não pode usar o aparelho para assistir a uma aula online, por exemplo. Isso traz o risco de acesso a sites indevidos, de abertura de anexos contaminados de e-mails ou de cliques em links maliciosos com a consequente exposição do dispositivo — que é uma ferramenta importante de trabalho.”

Antes de esses cenários se tornarem reais, o ideal é que sejam implantadas práticas de segurança digital que minimizem os riscos, como:

• monitoramento abrangente, contínuo e em tempo real de ameaças e atividades suspeitas nos dispositivos;
• avaliação de conformidade e riscos dos equipamentos;
• uso de cofre de senhas e segundo fator de autenticação que permitam acesso rápido, simples e seguro;
• aplicação de soluções de monitoramento e prevenção de vazamento de dados.

6 – Falta de ação frente a sinais de ameaças e ataques

Com o trabalho remoto, cada localização do colaborador se torna uma filial da companhia. Com isso, a gestão da segurança da informação fica muito mais complexa: em vez de monitorar um local, é preciso monitorar dezenas ou centenas. Nesse contexto, algumas ameaças podem passar despercebidas. Por isso, é essencial que a organização acompanhe e identifique ameaças, bem como atue para remediá-las com estratégias automatizadas.

O monitoramento do equipamento de trabalho é uma prática que garante a segurança cibernética do colaborador quando ele está fora do escritório. “Assim, é possível identificar de forma proativa a ocorrência de tentativas de ataque, bem como proteger as informações corporativas da empresa”, detalha Suzuki.

7 – Ausência de controle sobre identidades e acessos 

Garantir que as informações de uma empresa não serão acessadas indevidamente já era um grande desafio para as organizações antes da pandemia. Agora, o gerenciamento de identidades e acessos é ainda mais importante.

Durante o ciclo de vida de um colaborador, é preciso garantir que ele tenha os acessos corretos enquanto estiver na empresa (com atenção especial aos momentos em que for promovido ou mudar de função) e que suas permissões sejam excluídas quando for desligado. “Isso ajuda a evitar o risco de acessos indevidos e vazamentos de dados”, reforça Oliveira.

8 – Carência de acesso seguro para os colaboradores 

Um dos mecanismos usados no home office é a rede privada virtual (Virtual Private Network – VPN), uma conexão que permite acesso remoto aos sistemas internos da organização. Essa técnica ajuda a garantir a segurança de dados, mas é preciso que ela esteja preparada para que toda a empresa trabalhe remotamente.

Alguns cuidados precisam ser considerados na estruturação da VPN. Veja:

• utilizar controles para avaliar o risco de ameaças de dispositivos que tentem entrar na VPN;
• bloquear aparelhos comprometidos;
• tornar obrigatória a autenticação multifator;
• garantir que os colaboradores não tenham acesso direto a segmentos de redes produtivas.

9 – Pouco cuidado com a privacidade de dados 

Ao avaliar as opções de sistemas para permitir que os colaboradores atuem em home office, muitas empresas não consideram a privacidade dos dados. É fundamental que o provedor utilizado não venda os dados associados à companhia (referentes a colaboradores, clientes e parceiros).

10 – Atenção insuficiente à rede de internet doméstica

Quando se instala internet em casa, é muito importante lembrar de trocar a senha padrão que vem no roteador. Um vizinho mal-intencionado pode facilmente adivinhar o código deixado pela operadora a partir do nome da rede, que também é padronizado. Por isso, alterar esses dados é fundamental para evitar acessos indevidos a esse ambiente.

Suzuki reforça que, na segurança da informação, o pessoal e o profissional estão muito próximos e os comportamentos de um influeciam o outro. Ele comenta que educar indivíduos que já têm alguns conhecimentos — e, consequentemente, vícios — é desafiador e, por isso, a conscientização é essencial. “O colaborador precisa compreender que a proteção evita que ele cometa irregularidades”, diz. “Quando ele entende o risco, passa a seguir as orientações.”