Home office e riscos cibernéticos: como evitar o vazamento de dados

Alguém de vocês já imaginou que viveria este isolamento social?! Ou mesmo que um vírus seria tão letal ao ponto de mudar toda uma dinâmica mundial?!

Toda esta nova situação decorrente da pandemia do COVID-19 serve, principalmente, para corroborar o que tanto defendemos: que a transformação digital é essencial para nos diferenciarmos no mercado. Encarar soluções tecnológicas como facilitadores do cotidiano empresarial faz toda a diferença.

A transformação digital é essencial para nos diferenciarmos no mercado.  

Claro, toda mudança repentina gera um desconforto porque o aprendizado requer um tempo para amadurecimento. Mas a palavra da vez é resiliência, ou seja, a capacidade de nos adaptarmos de forma mais rápida frente à mudança. Por isso, muitas empresas tiveram de se adaptar rapidamente, adotando o regime de home office para continuar sua operação diária.

A palavra da vez é resiliência, ou seja, a capacidade de nos adaptarmos de forma mais rápida frente à mudança.

Os gestores precisam eliminar a crença de que não seria possível obter os mesmos resultados e produtividade do modelo “mais tradicional” de trabalho com os times distantes. Devido à situação de exceção, a tomada de decisão deve ser mais rápida e mais assertiva. A recorrente publicação de medidas provisórias e decretos governamentais não nos permite recorrer ao famoso trade-off, ou seja, uma tomada de decisão morosa por medo de perder algo importante.

Essencial, contudo, nessa nova dinâmica, inclusive para que se garanta um trabalho remoto mais produtivo e seguro, que as empresas adotem medidas de segurança da informação para mitigar os riscos cibernéticos advindos dos equipamentos utilizados pelos empregados e para evitar o vazamento de informações pessoais dos colaboradores, clientes e de terceiros. Uma política estruturada de home office revela-se, assim, determinante para a mitigação de possíveis infrações cometidas pelos colaboradores.

No desiderato de ilustrar de maneira simples como as empresas podem evitar riscos cibernéticos e consequentemente o vazamento de dados das organizações, apresentamos a seguir algumas sugestões de como os dados pessoais dos colaboradores, clientes e de terceiros podem ser protegidos.

As empresas devem adotar medidas de segurança da informação para mitigar os riscos cibernéticos advindos dos equipamentos utilizados pelos empregados e para evitar o vazamento de informações pessoais dos colaboradores, clientes e de terceiros.

Algumas empresas disponibilizam todo um suporte para o empregado trabalhar de forma remota, entregando notebook configurado e protegido contra ameaças externas. Porém, a maior parte dos trabalhadores realiza suas atividades com um computador de uso próprio, em que a preocupação é somente com wireless de qualidade e antivírus, muitas vezes, gratuito.

Segundo estudo desenvolvido pela Kaspersky com a consultoria CORPA, 75% dos latino-americanos possuem um notebook somente para trabalhar e, entre essas pessoas, 30% se conectam em redes WiFi públicas quando estão fora do escritório. Das pessoas que utilizam rede sem fio aberta, apenas 8% afirma conectar via rede virtual privada (VPN).

O mesmo estudo evidenciou que 44% dos entrevistados trabalham em locais com política de segurança corporativa sobre uso de smartphones e tablets, enquanto 35% estão em empresas sem nenhuma regra nesse sentido e 21% desconhece se há algum direcionamento implantado:

“O Coronavírus não apenas está colocando a saúde das pessoas em cheque, como também está sendo usado como isca por cibercriminosos para propagação de malware. Se por um lado o aumento do trabalho remoto ajuda a proteger a saúde dos trabalhadores, por outro, criminosos tentam tirar proveito do interesse por informações sobre a doença, ocultando arquivos maliciosos em documentos supostamente relacionados a este surto. Enquanto estivermos preocupados com as ameaças à saúde, é possível que surjam mais e mais golpes”, explica Dmitry Bestuzhev, diretor da equipe de pesquisa e análise para a América Latina da Kaspersky (Fonte: https://www.kaspersky.com.br/blog/coronavirus-dicas-home-office/14497/).

“O Coronavírus não apenas está colocando a saúde das pessoas em cheque, como também está sendo usado como isca por cibercriminosos para propagação de malware”.
Dmitry Bestuzhev, Kaspersky

Como assegurar, então, que esses computadores não sofrerão ataques maliciosos?! Na verdade, não há como certificar 100% de segurança quando se trata da rede mundial de computadores. Entretanto, há algumas medidas simples que as empresas devem orientar sua equipe para que riscos cibernéticos e violação de dados sejam evitadas, como uma política de home office com informações, por exemplo, de como se dará a recuperação de documentos e informações se a relação trabalhista terminar, ou, ainda, quais as medidas que os colaboradores devem adotar para proteger o patrimônio da companhia ou mesmo quais tipos de prevenção utilizar.

Para melhor ilustrar, seguem algumas indicações para instalação de ferramentas nas máquinas dos colaboradores:

– Firewall para filtrar todo o tráfego de acesso da rede da empresa;
– Antispam para conter atividades de phishing (consiste em fraude online para furtar senhas e informações pessoais) e e-mails não desejados;
– DLP (Data Loss Prevetion) que impede o empregado de compartilhar informações sensíveis para terceiros apartes da relação negocial;
– Web Filter para bloquear o acesso a sites incoerentes;
– Restrição de acesso no sistema corporativo, visando somente permitir ao pessoal estratégico o acesso a informações sensíveis, como também limitar o acesso ao sistema e arquivos para cada colaborador conforme sua função específica;
– Antivírus de qualidade;
– Softwares de Vulnerabilidades para rastreio de logs, visando identificar possíveis ameaças;
– Implementar uma política de senha forte (a partir de 10 caracteres, alternando entre números, letras e símbolos);
– VPN (Virtual Private Network) com duplo fator de autenticação para proteger os arquivos da companhia.

A CISA (Cybersecurity and Infrastructure Security Agency) publicou uma pesquisa para alertar a comunidade sobre a ação de criminosos nesse período de pandemia pelo COVID-19, a qual relata que foram criados 4 mil domínios com o tema “coronavírus”, sendo grande parte deles maliciosos para campanhas de phishing (e-mails falsos), promovendo golpes e ataques na Internet (Fonte: US Department of Homeland Security – CISA, CheckPoint).

A partir disso, destacamos a importância de uma política de home office estruturada com todas essas informações para que os colaboradores compreendam que não devem clicar em links desconhecidos nem abrir e-mails com informações suspeitas, muito menos compartilhar informações sensíveis e de propriedade da empresa para terceiros desconhecidos da relação comercial.

Os colaboradores devem adotar medidas de segurança para proteger sua rede residencial, o que é infinitamente mais simples do que uma comercial, para garantir um trabalho remoto mais seguro e eficaz, pois não é interessante ser pego de surpresa por um ataque malicioso.

Outro ponto relevante trata da segurança dos dados pessoais. Com a publicação da LGPD, Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018, que ainda não está em vigência no nosso país, a temática da privacidade e proteção de dados pessoais vem atingindo um patamar de atenção na nossa sociedade.

Nesse sentido, os Ministérios Públicos dos Estados, especialmente o do Distrito Federal, órgãos de defesa do consumidor (DECON/PROCONs) e o SENACON (Secretaria Nacional do Consumidor) do Ministério da Justiça vêm autuando algumas organizações acerca do vazamento de informações pessoais de seus clientes.

Essas autoridades estão cobrando que as empresas informem como ocorre a dinâmica do tratamento de dados pessoais dentro da organização, como esses dados são utilizados e compartilhados com terceiros, e principalmente quais as medidas de segurança da informação para evitar o data breach, ou seja, a violação dos dados pessoais decorrentes de ataques de hackers ou outros meios maliciosos, ou até mesmo por ausência de uma política de segurança estruturada e implementada por seus funcionários.

Medidas de segurança da informação para evitar o data breach, ou seja, a violação dos dados pessoais decorrentes de ataques de hackers ou outros meios maliciosos, ou até mesmo por ausência de uma política de segurança estruturada e implementada por seus funcionários.

Em 2019, o MPDFT (Ministério Público do Distrito Federal e Territórios), por meio da Unidade Especial de Proteção de Dados Pessoais e Inteligência Artificial (Espec), solicitou explicações à VIVO sobre a guarda e proteção dos dados de seus clientes, e inovou ao requisitar da operadora de telefonia a elaboração de um relatório de impacto de proteção de dados pessoais. Isso aconteceu antes mesmo de a LGPD estar em vigor.

As organizações que tratam dados pessoais devem saber que, no nosso ordenamento, há legislações, como o Marco Civil da Internet e o Código de Defesa do Consumidor, que dão fundamento a tais decisões, sem mesmo haver uma legislação de proteção de dados e de privacidade atuante. (Fonte: https://www.mpdft.mp.br/portal/pdf/Acao_Civil_Publica_Vivo_Ads_Black.pdf).

Por isso, essas autoridades, como o MPDFT, já exercem uma atuação com o intuito de salvaguardar os direitos dos titulares dos dados pessoais antes mesmo de haver uma legislação específica em vigência que trate do tema, como a LGPD. Logo, as empresas devem antecipar-se as questões de vazamento de dados pessoais para que não sejam surpreendidas com situações desagradáveis, já explicadas acima como data breach.

Agora, levando essa situação de vazamento de dados pessoais para outro patamar, como, por exemplo, o vazamento de informações sensíveis e sigilosas das empresas, importante salientar que ataques hackers estão cada vez mais profissionais, com o uso de tecnologia de ponta por meio de criptografia. Muitas companhias já se viram desesperadas ao serem surpreendidas com a invasão de seus sistemas operacionais por criminosos, que converteram todas essas informações em códigos indecifráveis, e o valor pedido para o resgate desses dados se deu em bitcoins, que, quando convertidos, giravam em torno de milhões de reais.

Dessa forma, acreditamos que o investimento em treinamento e comunicação a todos da organização para se tomar o devido cuidado com as informações estratégicas da empresa e com os dados pessoais de clientes e parceiros é imprescindível para que essas situações desagradáveis não aconteçam. E a melhor forma de se organizar essa comunicação se dá por meio de uma política de home office estruturada e de fácil compreensão.

Uma política de home office estruturada e de fácil compreensão, portanto, auxiliará as empresas a se protegerem contra ataques maliciosos e vazamento de informações estratégicas.

 

 

Camila Lôbo, Advogada da Abreu, Barbosa e Viveiros Advogados, especialista em Proteção de Dados e Privacidade pelo INSPER/SP e em Direito Digital e Compliance pela Faculdade IBMEC/Damásio.