março 31, 2020

[Segurança] Como evitar as Fake News

O pessoal da PhishX fez um pequeno material, bem objetivo, sobre Como evitar uma Fake News.

Vale a pena dar uma olhada, e resumidamente, eles dão as dicas abaixo:
  • Verifique a credibilidade do autor: é um site confiável, conhecido, com boa reptação?
  • Mesmo notícias verdadeiras, podem não ser 100% precisas, pois podem ser tendenciosas ou ter um viés político. Fuja!
  • Verifique os fatos! Busque fontes confiáveis para verificar se a informação é verdadeira!
  • Preste atenção nas armadilhas: notícias velhas ("recicladas", postadas como se fossem relacionadas a um assunto recente), chamadas provocativas ou exageradas para atrair a atenção,  erros gramaticais ou links falsos;
  • Leia a notícia com cuidado, por completo, e com análise crítica.
O mais importante de tudo é: "nunca compartilhe uma fake news!". Se você recebeu uma notícia e identificou que ela é falsa, avise o remetente sobre isso e não passe ela adiante.


Há várias formas de validar se uma notícia é verdadeira ou não (como a dica acima das "armadilhas"), e uma forma simples é procurar pelo título ou tema da notícia no Google - normalmente os primeiros resultados da busca já trazem a verdade. Além disso, existem vários sites que ajudam a identificar e validar as fake news mais comuns:
PS: Pequena atualização e ajustes em 06/04.

PS/2 (27/04): Veja também essa notícia: Coronavírus: sete fake news que circulam nas redes sociais.

março 30, 2020

[Segurança] Curso Análise de Malware Online (AMO)

O canal Papo Binário, do Fernando Mercês, acabou de lançar a primeira aula do curso online, gratuito, de "Análise de Malware Online".


O AMO (Análise de Malware Online) é um treinamento básico gratuito publicado no canal do Papo Binário no YouTube, graças ao suporte dos apoiadores do canal. A ideia é capacitar me conhecimentos básicos, para formar um analista de malware júnior, que possa atuar com análise em empresas ocupando cargos na área de análise de malware, resposta à incidentes, SOC, analista forense, entre outros.

Para fazer o curso é necessário ter conhecimento prévio de uso de máquinas virtuais, programação em C e de engenharia reversa, mas isso não é problema! No canal Papo Binário tem, gratuitamente, os vídeos dos cursos completos de Curso de Engenharia Reversa Online (CERO) (24 aulas) e o Curso Programação Moderna em C (20 aulas). Também tem o ebook gratuito "Fundamentos de Engenharia Reversa".

O curso foi possível pois o Mercês lançou uma campanha de apoios para ajudar nos custos de manutenção do canal, e a campanha foi super bem recebida pela comunidade :)

março 27, 2020

[Segurança] Memes de conscientização sobre o Coronavírus

Para ajudar a conscientizar usuários sobre os cuidados de segurança a serem tomados durante a pandemia de Coronavírus, eu resolvi criar alguns memes.

Eu foquei em 2 temas:
  • Não compartilhe fake news: esse é um dos grandes problemas hoje em dia. As mensagens falsas e desencontradas sobre a pandemia e possíveis formas de prevenção e cura tem sido compartilhadas frequentemente em grupos de whatsapp, o que causa confusão de desinformação. Sempre avalie muito bem uma mensagem antes de compartilhar, e sempre prefira usar fontes confiáveis. O Ministério da Saúde e a Organização Mundial da Saúde criaram páginas específicas para esclarecer sobre a epidemia (coronavirus.saude.gov.br e www.who.int/emergencies/diseases/novel-coronavirus-2019, respectivamente). São ótimas fontes;
  • Não coloque a mão no rosto e não clique em links: Que tal juntar as duas dicas mais importantes de higiene e "ciber higiene", para o mundo físico e virtual? Para evitar contaminação com o Coronavírus, precisamos lavar constantemente as mãos e nunca tocar na face. Para não cair em golpes de phishing, incluindo aqueles com tema do Coronavírus, a principal dica é não clicar em links.
Veja os resultados abaixo, e fique a vontade para utilizar e compartilhar esses memes.

Não espalhe Fake news! A desinformação também mata!

 

Imagem original: Fusion Medical Animation no unsplash
Meme: em Português, em Inglês

Não espalhe Fake news! Consulte sites confiáveis!

 

Imagem original: Fusion Medical Animation no unsplash
Meme: em Português, em Inglês (esse é o link completo para o site da OMS)

Não coloque a mão no rosto! Não clique em links!

 

Imagem original: H Shaw no unsplash
Meme: em Português, em Inglês

Não coloque a mão no rosto! Não clique em links! (versão com o Bolsonaro)



Imagem original: Retirada da Internet
Meme: em Português

Eu criei os memes acima usando imagens bem legais que eu peguei no site unsplash, que tem excelentes imagens gratuitas (inclusive eles já tem coleções para o COVID-19 e pandemia!). Usei o gerador de meme online do site Meme Generator.

Atualização em 03/04: Eu criei mais um meme, aproveitando uma imagem triste que circulou na imprensa e nas redes sociais, das covas abertas no cemitério de Vila Formosa (SP), aguardando as vítimas do COVID-19

Durante a pandemia fake news também mata!

  

Imagem original: Retirada da Internet
Meme: em Português, em Inglês


PS: Achei várias imagens bem legais no unsplash, como essas abaixo (com os devidos créditos):



[Segurança] CAIS-Alerta: Recomendações de segurança durante trabalho remoto em período de isolamento - COVID-19

O pessoal do Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa (RNP) publicou recentemente um alerta com recomendações de segurança durante trabalho remoto em período de isolamento, causado pela pandemia do COVID-19.

Devido a relevância do assunto, eu resolvi transcrever aqui o alerta:

O CAIS, através deste alerta, vem comunicar ao público algumas recomendações de segurança a serem observadas durante o período de trabalho remoto, motivado por ações de prevenção adotadas pelas organizações ao contágio de seus colaboradores pelo COVID-19 (novo Coronavírus).

#USO DE COMPUTADORES PESSOAIS E CORPORATIVOS
Apesar de adotarem trabalho remoto, nem todas as organizações dispõem de computadores para uso fora de suas respectivas dependências físicas a todos os seus colaboradores, resultando em que alguns destes talvez precisem utilizar seus próprios computadores e Internet pessoais para realizarem suas atividades. Recomendamos que os colaboradores se certifiquem de manter sempre atualizado o sistema operacional de seus computadores, bem como também as bases de dados mais recentes dos seus respectivos softwares antimalwares. Caso a organização tenha disponibilizado o uso de computadores corporativos, siga os mesmos cuidados, regras e procedimentos internos como se estivesse no ambiente de trabalho.

#UTILIZE VPN (REDE VIRTUAL PRIVADA) PARA ACESSAR A INTERNET E SOFTWARES CORPORATIVOS
Seja utilizando rede banda larga pessoal ou compartilhada, seja utilizando redes 3G ou 4G, realize o acesso à Internet e sistemas corporativos - incluindo sistema de e-mail - através de VPN (rede virtual privada) sempre que disponibilizada pela organização. Dessa forma, existe a certeza de que os dados estarão cifrados, ou seja, protegidos contra possíveis acessos não-autorizados por parte de usuários maliciosos durante o tráfego entre sua rede e os servidores da organização.

Apesar de, em geral, ser uma medida de proteção ao tráfego de dados, caso a organização não tiver um sistema de VPN disponível, NÃO utilize qualquer solução disponível na Internet ou em lojas de aplicativos (App Store, Google Play, etc.), pois muitos deles podem ser maliciosos e se utilizarem de técnicas de ataque conhecidas como man-in-the-middle, na qual um atacante pode ter acesso a dados pessoais e corporativos dos usuários que os utilizam. Dê preferência em usar o recurso de VPN de sistemas antimalwares confiáveis instaladas em seu computador, os quais, em sua maioria, já disponibilizam esse recurso dentre as ferramentas que compõem a solução.

Em todo caso, sempre procure orientação da equipe técnica da sua organização para se informar como realizar o acesso de forma segura.

#MENSAGENS FALSAS E PHISHINGs
Em um período onde a busca de informações relacionadas ao COVID-19 é compreensivelmente alta, é preciso ter cuidado com as fontes e conteúdos, de forma a não ser vítima de atacantes que buscam ter acesso a dados pessoais e corporativos. Evite instalar quaisquer aplicativos que prometem informações em tempo real sobre o vírus, confie somente nos apps oficiais, como os da Organização Mundial da Saúde (OMS) e do Ministério da Saúde (MS). Tenha cuidado com falsas mensagens, promoções ou vantagens imperdíveis, principalmente as relacionadas à empresas de delivery (entrega de refeições), operadoras de canais fechados de televisão, companhias aéreas ou outras que porventura estejam em evidência durante o período de crise do COVID-19. Se receber algum SMS, mensagens via aplicativos de mensagens instantâneas (como Whatsapp, Telegram, entre outros), não clique em qualquer link ou preencha qualquer cadastro com dados pessoais sem antes confirmar se são verdadeiras. Sempre desconfie do conteúdo dessas mensagens e cheque se tais promoções ou vantagens realmente existem nos respectivos sites das empresas ou nos canais oficiais de comunicação.

Da mesma forma, evite compartilhar mensagens relacionadas ao COVID-19 que já não tenham sido confirmadas por fontes oficiais. Sempre procure checar os fatos das informações recebidas (fact-checking) antes de repassá-las adiante. Evitar repassar informações falsas irá contribuir para manter a calma e realizar com exatidão todas as recomendações de medidas preventivas, bem como também as reativas em caso de infecção.

#TRANSAÇÕES FINANCEIRAS POR MEIOS ELETRÔNICOS
Tenha muito cuidado com transações eletrônicas, como pagamentos pela Internet, operações com cartão de crédito, acesso a sites e aplicativos de bancos. Cheque quantas vezes forem necessárias a veracidade de aplicativos, sites e boletos, bem como os certificados de autenticidade das lojas de e-commerce antes de realizar compras utilizando cartões de crédito (checar a existência do cadeado ao lado da barra de endereços e se as informações do certificado correspondem ao da respectiva loja virtual).

O CAIS recomenda a todos que sigam todas as orientações de segurança da informação disponibilizadas pela sua organização e, em caso de dúvidas, procurem as  respectivas equipes de TIC. Desejamos a todos um ótimo e tranquilo período de trabalho remoto, seguindo todos os cuidados e prevenções, sejam elas físicas ou virtuais, que o momento atual requer de cada colaborador.



[Segurança] Criando uma cultura de segurança

Durante a RSA Conference deste ano, o Lance Spitzner apresentou uma palestra sensacional, sobre como criar uma cultura de segurança na sua empresa: "Leading Change: Building a Security Culture of Protect, Detect and Respond". Os slides e o vídeo da apresentação dele estão disponíveis online (incluindo um vídeo curtinho com o resumo), e vale muito a pena assistir!


O Lance é um dos monstros sagrados do mercado de InfoSec. Nos anos 90/2000 ele era um guru do CheckPoint FW-1, a solução de Firewall mais popular desde aquela época, e depois ganhou mais destaque quando criou o Honeynet Project.

Outros vídeos bem legais:

março 26, 2020

[Segurança] Essencial 8

O pessoal da Australian Signals Directorate (ASD) criou uma lista bem interessante com os principiais controles de segurança para mitigar incidentes. Dos 37 controles, organizados em 5 grupos, 8 deles foram classificados como "essenciais", e por isso pararam a ser chamados simplesmente de "Essential 8".

Eu achei a lista bem interessante e uma ótima recomendação de controles mínimos que todas empresas deveriam seguir. São eles:
  1. Application whitelisting
  2. Patch applications
  3. Configure Microsoft Office macro settings
  4. User application hardening
  5. Restrict administrative privileges
  6. Patch operating systems
  7. Multi-factor authentication
  8. Daily backups

Para saber mais:

março 25, 2020

[Carreira] Top Women in Cybersecurity - Latin America 2020

As comunidades LATAM Women in Cybersecurity (WOMCY) e Women in Security & Resilience Alliance (WISECRA) se juntaram para lançar um concurso público para criar a lista ‘Top Women in Cybersecurity - Latin America 2020’. Esta iniciativa foi lançada oficialmente no Dia Internacional da Mulher, 8 de março de 2020, e as inscrições vão até o dia 8 de maio.


A premiação "Top Women in Cybersecurity - Latin America" pretende reconhecer as mulheres líderes atuais do mercado em ciber segurança que fizeram contribuições significativas no setor e abriram caminho para as gerações futuras de profissionais. A lista inclui profissionais em todos os segmentos da segurança, desde comercial e marketing até engenharia e serviços técnicos.

A área de segurança tem um grande potencial para as mulheres, devido a grande falta de profissionais em todo o mundo e a grande diferença entre homens e mulheres trabalhando na área. Segundo um estudo do International Information System Security Certification Consortium (ISC)², as mulheres representam apenas 24% da força de trabalho em ciber segurança e a falta de profissionais nesse segmento já atingiu quase 4 milhões em todo o mundo. Provavelmente esse déficit profissional, o famoso "apagão de talentos", seria muito menor se as mulheres representassem 50% do mercado.

Eu não sou muito fã desses concursos e listas de melhores profissionais da área, mas nesse caso, é uma iniciativa com ótimas intenções. Afinal, quanto mais mulheres tiverem posição de destaque em segurança, maior a probabilidade de atrair outras mulheres para o mercado. Ao reconhecermos essas profissionais, ajudamos também a promover uma maior diversidade na área.

As candidatas serão avaliadas por um painel diversificado de jurados, composto por dez executivos da América Latina, e as vencedoras serão anunciadas em meados de junho deste ano nas redes sociais da WOMCY e WISECRA. As candidaturas devem ser feitas enviando o formulário de inscrição disponível em espanhol, inglês ou português até 8 de maio de 2020.

Para se inscrever, acesse: Top Women in Cybersecurity.

março 24, 2020

[Segurança] Coronavírus e os riscos de ciber ataques

Os ciber criminosos já estão se aproveitando da pandemia do Coronavírus (COVID-19) para fazer fraude :(

Os principais golpes utilizando o tema do Coronavírus incluem campanhas de phishing (por email, SMS ou por redes sociais)  para a captação de dados pessoais ou para a infeção dos smartphones das vítimas, os aplicativos falsos, com trojan, que se fazem passar por mapas em tempo real sobre a pandemia, além de ataques DDoS, esquemas de fraude digital para captura de dados de cartão, coleta de donativos ou cobrança de serviços.

Já existem diversos relatos e notícias de que os cibercriminosos estão usando o Coronavírus como tema para seus golpes de engenharia social, incluindo mensagens e sites maliciosos (phishing). Além disso, já foram identificados sitesaplicativos falsos para celular para disseminar trojans. Alguns relatórios da indústria estimam que milhares de novos domínios maliciosos, com o tema do Coronavírus, surgem todos os dias: entre 14 e 18 de Março, foram criados 3.600 nomes de domínio suspeitos, contendo a palavra "coronavirus".

Diversas mensagens de phishing tem sido espalhadas pelas redes sociais e aplicativos de comunicação instantânea, como o WhatsApp, aproveitando-se da busca de informações e do medo da população para incentivá-los a clicar em links maliciosos. Segundo uma pesquisa da PSafe, divulgada pelo portal TechTudo e pelo 6 Minutos, essas mensagens falsas circulam no WhatsApp há pelo menos dez dias e já atingiram 2 milhões de usuários no Brasil.

O phishing com uma falsa promoção da Netflix e o que oferece uma falsa distribuição de álcool gel da AMBEV foram os que eu vi circulando com mais frequência. Mas vários outros temas tem sido explorados.

  

   

 

OBS: Os EUA também estão sofrendo com as fraudes ao programa de seguro desemprego deles.

Em outro caso que circulou bastante, do phishing prometendo o auxílio cidadão para trabalhadores autônomos, eu vi uma versão da mensagem com o link encurtado e outra com o link fake original:

  

Segundo a Akamai, uma campanha falsa prometendo o auxílio emergencial fez mais de 850 mil vítimas em 2 semanas!

A propósito, há inúmeros relatos de fraudes relacionados ao benefício de auxílio emergencial fornecido pelo governo. Esses golpes incluem inscrições no benefício feito com dados de terceiros, inscrições por pessoas que não seriam elegíveis ao benefício (por exemplo, por já estarem empregadas - inclusive servidores públicos), e inclusive, fraudes no acesso ao aplicativo (Caixa Tem), em que criminosos conseguem acessar o app com os dados da vítima e desviar o benefício. Segundo estimativas da Caixa, divulgadas no final de Junho deste ano, as fraudes em saques de pagamentos do auxílio emergencial deram prejuízo de mais de R$ 60 milhões à Caixa Econômica Federal! A Controladoria-Geral da União (CGU) identificou mais de 160 mil possíveis casos de fraudes no recebimento do auxílio emergencial.

OBS: Você sabe, né? Antes de clicar em um link encurtado pela bit.ly, copie o link, cole ele e adicione um "+" no final. Isso vai mostrar as informações sobre o link e qual é a URL para a qual você será redirecionado.


Segundo uma reportagem do Jornal Extra, dados da PSafe indicam que esse golpe do ovo de páscoa fez 560 mil vítimas em apenas três dias!

Mas convenhamos... sacanagem mesmo, é compartilhar phishing oferecendo cerveja grátis! Esse até eu teria clicado! Em menos de 4 horas, já tinha feito mais de 1000 mil vítimas (e eu conheço uma pessoa que clicou!).


Já estão até mesmo explorando o tema do Coronavírus para mandar mensagem falsa em nome dos bancos!!!


Também circulam mensagens falsas por e-mail em nome da Organização Mundial da Saúde, com arquivo malicioso em anexo.


Para identificar uma mensagem suspeita, siga as mesmas dicas de sempre: verifique se o nome no link é um site válido e ref ao site que promete ser, busque por erros de português, e acima de tudo, desconfie sempre de grandes vantagens e promoções. E, acima de tudo: não dúvida, não clique no link e não compartilhe com mais ninguém!!!

Além dos ataques de phishing, outro caso que foi muito divulgado na mídia foi de aplicativos falsos para Android que supostamente seria um mapa da contaminação, mas na verdade eram trojans. Há vários deles espalhados por aí, como no caso do app "Coronavirus Tracker"(ou COVID-19 Tracker), disponibilizado pelo site malicioso "coronavirusapp[.]site", que contém um ransomware para sequestrar o celular da vítima (veja mais detalhes aqui). A boa noticia, nesse caso, é que o desenvolvedor do ransomware não ofuscou a chave utilizada para desbloquear o dispositivo!



  


O pessoal da empresa Lookout reportou o caso do "corona live 1.1", um app para Android que promete ser um mapa baseado no site criado pela universidade the Johns Hopkins. Mas, na verdade, esse app tem o spyware SpyMax, uma ferramenta usada para monitorar o uso do celular.

Segundo dados da Avast, divulgados pelo Terra, a empresa detectou 35 aplicativos maliciosos relacionados ao Covid-19 no mundo todo, que incluíam ransomwares ou trojans bancários. O interessante é que, segundo eles, esses apps maliciosos estão sendo distribuídos por SMS ou links na web - nenhum deles foi colocado nas lojas oficiais, como a Play Store do Google. Entretanto, segundo uma reportagem do portal The Hacker News, a BitDefender diz ter encontrado 579 aplicativos na Google Play em 01 de Janeiro que tinham a palavra "coronavirus" em seu manifesto. Dessas, 9 eram Trojans e 10 foram classificadas pela BitDefender como "Riskware".


Fique atento:
Cuidado: não clique nestes links nem baixe estes apps, pois você pode ter seu smartphone comprometido por um malware.


Até mesmo o Departamento de Saúde e Serviços Humanos dos Estados Unidos (Department of Health and Human Services / HHS) sofreu um ataque distribuído de negação de serviços (DDoS) após uma campanha com o objetivo de espalhar o pânico durante a pandemia do COVID-19.

Além de tudo o que eu citei acima, ainda temos também as mensagens com fake news sobre o Coronavírus circulando nas redes sociais e aplicativos de comunicação. Tais mensagens espalham a desinformação e são um risco para a sociedade. Afinal, em tempos de estresse e grande busca por informações, as pessoas são facilmente atraídas por mensagens mais  sensacionalistas. Para evitar essas mensagens falsas, sempre busque fontes oficiais ou sites confiáveis, de credibilidade. O próprio Ministério da Saúde criou uma página exclusiva para validar as informações que tem sido compartilhadas sobre o novo coronavírus: https://www.saude.gov.br/fakenews.

Por último, a imagem abaixo circulou em vários grupos no WhatsApp, aparentemente sobre um site fake que exigia os dados do cartão de crédito em troca de um teste se o usuário tem o Coronavírus. Mas de tão tosco, é difícil acreditar que o golpe seja verdadeiro.


Essa proliferação de golpes é preocupante pois a população está bem vulnerável. Além de estar propensa a buscar informações sobre o tema, a migrações dos usuários do ambiente corporativo para o home office os torna mais vulneráveis num primeiro momento. Essa enorme quantidade de pessoas trabalhando em casa, a maioria delas pela primeira vez, geralmente utilizam suas redes domésticas que são muito mais inseguras do que a infra-estrutura tecnológica que existe no escritório. Como muitas empresas estão sendo obrigadas a adotar a prática de trabalho remoto e home office, para tentar minimizar a possibilidade de infecção de seus colaboradores, vale a pena dar uma olhada nessas dicas de segurança.

Segundo informações da Federal Trade Comission (FTC) dos Estados Unidos, os golpes relacionadas à epidemia do novo coronavírus (COVID-19) totalizaram em perdas de US$ 4,7 milhões, baseado nas mais de 7,8 mil denúncias recebidas pela FTC até 31 de Março desse ano. O Departamento de Justiça dos EUA recebeu mais de 3.600 denúncias de fraudes relacionadas ao COVID-19 até 21 de Abril. Muitos desses golpes eram operados por sites que anunciavam vacinas e curas falsas. A Carbon Black estima que em Março houve um aumento de 148%, em relação ao mês anterior, nos ataques de ransomware, e eus eles podem ser relacionados com temas relacionadas ao coronavírus e direcionados a empresas com funcionários em home-office.

O Hacktivismo também é uma ameaça, uma vez que ele se alimenta de crises econômicas e sociais.A tendência é que os protestos online e cyber ataques surjam e se proliferem na medida em que os efeitos negativos resultantes da pandemia se espalharem pelo mundo, como elevado número de mortes, pressão social e, principalmente, recessão econômica. No Youtube é possível encontrar vários videos de protesto sobre o Coronavírus, produzidos por diferentes células do Anonymous. Por exemplo, no dia 07 de Abril, uma célula do grupo Anonymous publicou um vídeo nas redes sociais (veja também no Youtube) acusando a Organização Mundial de Saúde de ter sido incompetente e corrupta no tratamento da pandemia. Dias antes, publicaram um vídeo criticando o Bill Gates.


Outro golpe que foi reportado recentemente pelo G1 (e veja resumo no Mente Binária), é o surgimento de "live" (as populares transmissões online) falsas. Essas "live fakes" em canais do YouTube reproduzem uma live oficial de algum artista conhecido, mas além de roubar a audiência dos artistas, também estão divulgando dados falsos para receber doações, que supostamente seriam destinadas a ajudar as vítimas da pandemia.

Para saber mais:

PS: Pequena atualização em 25/03 e duas atualizações em 26/03.

PS/2 (25/03): A Domaintools disponibilizou uma lista com os domínios maliciosos utilizados para golpes com tema do Coronavírus: "Free COVID-19 Threat List - Domain Risk Assessments for Coronavirus Threats". Eles prometem manter essa lista atualizada.

PS-3: Atualizado em 27/03, com o screenshot do phishing em nome do Banco do Brasil. Atualizado em28/03 com mais 2 exemplos de phishing.

PS 4: (01/04) O pessoal da Tempest criou uma página para centralizar informações sobre golpes relacionados ao Coronavirus, incluindo um repositório com os IOCs das ameaças identificadas pela Tempest (atualizado a cada 30 minutos): https://www.tempest.com.br/home/covid19/

PS 5: (02/04) A RedBelt criou uma página para disponibilizar informações sobre ciber ataques relacionados a pandemia, incluindo um infográfico bem caprixado e um relatório com os principais ataques cibernéticos mapeados por eles, descrevendo o que é, métodos de distribuição, funcionamento e, principalmente, formas de detecção.

PS 6: (03/04) O Fábio Assolini publicou vários tweets com exemplos de golpes virtuais recentes, recebidos por SMS, WhatsApp e e-mail. Veja, por exemplo, esses aqui, aqui, aqui e aqui.



 

PS 7: Post atualizado em 06/04, com informações sobre hacktivismo. Até o momento, identifiquei vários vídeos de protesto no Youtube, mas nenhum ciber ataque.

PS 8 (07/04): Durante essa live, a advogada Dra. Gisele Truzzi fala sobre a importância de proteção de dados nesse cenário de pandemia. Veja também esse vídeo sobre fake news e fraudes eletrônicas.


PS 9: Pequena atualização em 08/04. Além disso, a Polícia Federal soltou uma nota de alerta para ameaças cibernéticas durante a crise do Covid-19. Lista de referências reorganizadas em 09/04. Atualizado em 15/04.

PS 10: Mais uma atualização em 18/04. Além disso, vale destacar que, mesmo com a pandemia e algumas empresas sendo obrigadas a demitir seus profissionais, o mercado de trabalho nas áreas de tecnologia e segurança da informação continua aquecido. As empresas que possuem vagas em aberto estão aproveitando para ir atrás dos profissionais desligados. Veja esse artigo da Globo.com: Covid-19 provoca onda de contratações de profissionais de tecnologia; veja cargos em alta.

PS 11 (18/04): Passei aqui para lembrar que eu criei uma página aqui no blog para centralizar algumas informações e links importantes sobre a pandemia do Coronavírus (COVID-19).

PS 12: Post atualizado em 23, 27 e 29/04. Atualizado em 07, 14, 19, 21 e 27/05. Atualizado em 08, 09, 15, 16, 22 e 23/06, e também em 08, 20 e 22/07. Atualizado em 05/08.

março 19, 2020

[Segurança] Template de Política para Trabalho Remoto

Ainda na carona da adoção do home office por causa da pandemia de Coronavírus, os nossos amigos da Daryus disponibilizaram, online e gratuitamente, um excelente "Template de Política de Home Working", que pode ajudar as empresas a formalizar essa iniciativa - ou mesmo revisar suas políticas atuais.

O documento, disponível em PDF, inclui diversas sugestões de diretrizes, incluindo temas como frequência de utilização, condição de participação, tópicos sobre gestão de desempenho e controle de ponto, além de responsabilidades do empregado e seu gestor imediato.

O template tem vários pontos interessantes, tais como como:
  • Todos os colaboradores em Trabalho Remoto deverão cumprir a jornada estabelecida em seu contrato de trabalho;
  • Os profissionais sujeitos a controle de ponto não estão autorizados a realizar horas-extras no dia em que estiverem em Home Office;
  • O colaborador em Trabalho Remoto deve permanecer disponível para contato durante a jornada normal de trabalho.
Eu, particularmente, só não gostei do uso da expressão "Home Working". Prefiro "Trabalho Remoto", "Teletrabalho" ou, simplesmente, o bom e velho "Home Office".

Também vale a pena dar uma olhada na publicação do NIST sobre esse tema: "NIST Special Publication 800-46 Revision 2 - Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security"

março 18, 2020

[Cidadania] Coronavírus - o que as empresas devem fazer

Com a pandemia do Coronavírus (COVID-19) se expandindo na Europa e no continente americano, a ordem do dia é tentar conter a velocidade de contaminação, para evitar um colapso nos órgãos de saúde.

Neste momento vemos a importância dos Planos de Continuidade de Negócio (PCN), pois eles servem justamente para preparar as empresas a enfrentarem situações adversas ao negócio. O PCN deveria indicar quais são os processos críticos para a empresa, as áreas e colaboradores envolvidos e, principalmente, o que é necessário para garantir o funcionamento da empresa.

Eu, particularmente, sugiro que as empresas sigam os passos abaixo para lidar com a prevenção ao Coronavírus no ambiente de trabalho (melhor ainda se já tivessem planejado e se preparado para isso antecipadamente):
  1. Ampla orientação aos colaboradores, de forma clara e transparente, através de um canal de comunicação exclusivo. Orientações podem incluir:
    • Informações rápidas sobre o que é o Coronavírus e os principais sintomas apresentados pelas pessoas infectadas;
    • Ampla divulgação das principais formas de prevenção;
    • Como proceder em caso de suspeita de infecção: quem reportar, períodos sugeridos de quarentena, orientações para os colaboradores próximos, etc;
    • Como proceder caso seja necessário procurar um hospital, uma unidade de saúde ou mesmo o ambulatório médico da empresa, em caso de manifestação de sintomas. Fornecer também o telefone de contato do RH e do plantão do plano de saúde;
    • Como identificar e evitar as fake news divulgadas em redes sociais;
    • Os procedimentos a adotar no caso de eventos e viagens;
    • Use apenas fontes confiáveis: compartilhe os dados e informações oferecidos pelo Ministério da Saúde;
  2. Estabelecer um canal de comunicação com fornecedores e clientes;
  3. Compartilhar informações importantes sobre o tema através da intranet, e-mail e cartilha;
  4. Garantir a limpeza apropriada do ambiente de escritório:
    • Aquisição e disponibilização de álcool gel em ambientes comuns, com a divulgação de instruções de uso aos colaboradores;
    • Reforço da equipe de limpeza para higienização frequente das áreas comuns;
  5. Acompanhamento da evolução da doença por meio de um comitê de crise, interno e multidisciplinar, composto por integrantes das áreas operacional, medicina do trabalho e administrativa, RH, comunicação, jurídico e tecnologia, para definir as estratégias, necessidades de prevenção e comunicação, e para orientar os funcionários;
  6. Restringir a circulação de visitantes no escritório, limitando a realização de reuniões e eventos;
  7. Fazer reuniões on-line, por videoconferência, evitando reuniões presenciais;
  8. Cancelar os eventos e reuniões internas e externas;
  9. Suspenção temporária de viagens locais e internacionais;
  10. Implantação do regime de home office para os colaboradores com possibilidade de acesso remoto.

As empresas estão sendo obrigadas a se adaptar ao fenômeno conhecido como "lockdown", o bloqueio parcial ou total da circulação de pessoas em diversas cidades e países. Diversos governos já determinaram ações para evitar a aglomeração de pessoas e, assim, tentar conter o avanço do contágio do coronavírus, tais como suspender aulas, eventos esportivos, o fechamento de bares, restaurantes e do comércio, além da redução de vôos e de viagens - chegando a ponto de fechar suas fronteiras.

É inevitável, portanto, falar na adoção de home office e políticas de trabalho remoto, mesmo para as empresas que eram reticentes em adotar tais práticas.

Inicialmente a estratégia de contenção do Coronavírus nas empresas começa por manter no escritório somente as funções essenciais e os demais colaboradores em esquema de trabalho remoto, progredindo até um cenário de fechamento total do escritório. Por isso, muitas empresas estão sendo obrigadas a adotar a prática de home office, para tentar minimizar a possibilidade de infecção de seus colaboradores - que pode acontecer no escritório ou no deslocamento (principalmente para quem utiliza transporte público). Algumas estratégias incluem:
  • Qualquer colaborador com suspeita de contaminação e de sintoma deve ficar em casa e trabalhar remotamente. Normalmente sugere-se um período de quarentena de 7 dias para suspeitas de potencial contato ou 14 dias para suspeitas de infecção;
  • Home office facultativo para todos os colaboradores em grupo de risco (de idade avançada ou com algum quadro de imunodeficiência), quem não se sentir confortável em ir ao escritório, para s que fazem grande deslocamento em transporte público ou se isso facilitar a rotina (por exemplo, para aqueles que devem manter os filhos em casa por causa do fechamento das escolas);
    • Inicie o regime de home office para os colaboradores da área de tecnologia, que normalmente está mais acostumado com isso, seguido pelos times administrativos;
    • Com colaboradores trabalhando remotamente. é possível liberar posições no escritório e realocar demais colaboradores para reduzir a concentração de pessoas;
  • Fazer uma escala de rodízio,  por exemplo ao manter metade do time no escritório e outra metade em home office em dias alternados;
  • Manter apenas uma pessoa de cada time no escritório, de plantão, enquanto os demais trabalham remotamente;
  • Colocar toda a empresa em home office também é uma opção.
É importante lembrar que o risco de contaminação não está apenas no ambiente de trabalho. Eu acredito que o maior risco ocorre durante os deslocamentos de casa até o escritório (e na volta), principalmente para quem utiliza transporte público, que acaba entrando em contato involuntariamente com centenas ou milhares de pessoas.

As empresas que até o momento não tinham política de trabalho remoto vão sofrer um pouco inicialmente, pois nem os funcionários nem os gestores estão acostumados a trabalhar nesse regime. Além de tecnologia, é necessário investir em processos e no treinamento e cultura das pessoas.

Diversas empresas de tecnologia estão oferecendo versões gratuitas de seus serviços e produtos para apoiar as empresas que precisaram investir emergencialmente em home office (como a CISCO, PaloAlto e RSA, entre diversas outras). Algumas empresas podem ser obrigadas a alugar notebooks para seus funcionários que atualmente utilizam desktops, embora eu já tenha ouvido relatos de que empresas de aluguel de equipamentos estão sem estoque!

Embora a idéia de trabalho remoto assuste alguns gestores, é melhor evitar a presença de funcionários como forma de prevenção do que não contar com eles em caso de infecção!

Para saber mais:

PS: Pequena atualização em 20/03.

PS/2: Nova atualização em 20/3: O pessoal da Campus Party publicou uma dica simples sobre como higienizar e desinfetar o ambiente de casa e o local do home office. Dá uma olhadinha:

PS-3: Pequena atualização em 25/03, para incluir um link para um artigo da EFF.

PS 4: (26/03) O CAIS, da RNP, publicou um texto com recomendações de segurança ao realizar trabalho remoto durante esse período de isolamento solidário, em precaução ao Covid-19. Veja em http://url.rnp.br/?8KdgE.

PS 5: (01/04) O pessoal da Tempest criou uma página para centralizar informações sobre golpes relacionados ao Coronavirus, incluindo um repositório com os IOCs das ameaças identificadas pela Tempest (atualizado a cada 30 minutos): https://www.tempest.com.br/home/covid19/

PS 6: (02/04) A Redbelt criou uma página para disponibilizar informações sobre ciber ataques relacionados a pandemia, incluindo um relatório com os principais ataques cibernéticos mapeados por eles, descrevendo o que é, métodos de distribuição, funcionamento e, principalmente, formas de detecção.

PS 7: (06/04) Olha que legal essas dicas para quem precisa montar uma campanha online de arrecadação: Doações, segurança e solidariedade online

PS 8 (16/04): A Capgemini lançou um estudo sobre novas ameaças e desafios de Cyber Security por conta do COVID e da migração para trabalho remoto. A Proofpoint disponilibizou gratuitamente um kit para campanhas de conscientização sobre trabalho em home office, com relatórios, dicas de como proteger seu Wi-Fi doméstico e um pequeno conjunto de posters.

PS 9 (18/04): Mesmo com a pandemia e algumas empresas sendo obrigadas a demitir seus profissionais, o mercado de trabalho nas áreas de tecnologia e segurança da informação continua aquecido. As empresas que possuem vagas em aberto estão aproveitando para ir atrás dos profissionais desligados. Veja esse artigo da Globo.com: Covid-19 provoca onda de contratações de profissionais de tecnologia; veja cargos em alta

PS 10: Post atualizado em 19/05 e 22/06.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.