[Segurança] Dicas de Segurança para o Home Office

Com as empresas migrando massivamente para o trabalho remoto, por causa da pandemia de Coronavírus, os profissionais acabam expostos a diversos riscos de segurança, como sumarizado no infográfico abaixo da Digital Shadows:

Veja abaixo algumas dicas mais relevantes para proteger os trabalhadores em home office:

• Equipamentos e infra-estrutura em casa
• Use dois computadores separados: um para o trabalho e outro para uso doméstico;
• Use as ferramentas (softwares) fornecidos pela empresa, assim você garante suporte e que elas estão de acordo com as necessidades de segurança da compania;
• Certifique-se que seus equipamentos e ferramentas de rede local e de segurança estão bem configuradas. Por exemplo, troque as senhas originais dos equipamentos e use senhas fortes, não permita acesso administrativo a partir da Internet, bloqueie os acessos de entrada e saída que não sejam necessários, oculte o nome (SSID) da sua rede Wi-Fi e coloque senha, etc;
• Se possível, segmente a sua rede doméstica: use uma rede Wi-Fi para trabalho, outro para a familia e uma terceira para visitantes, assim você minimiza o risco de um computador com problemas impactar os demais;
• Certifique-se que as instalações elétricas da casa são seguras, aterradas e/ou com uso de estabilizador.
• A iluminação e os níveis de ruído do seu ambiente de home office devem ser adequados para o trabalho;
• Conectividade
• Use uma conexão internet de boa qualidade;
• Evite ao máximo usar redes Wi-Fi públicas. Além de inseguras, podem ser facilmente comprometidas por ciber criminosos;
• Use a VPN da empresa para acessar recursos corporativos;
• Lugares públicos
• Quando estiver em lugar público, cuidado sempre a sua volta, para que ninguém veja o que você está fazendo;
• Nunca deixe seus equipamentos sozinhos, desbloqueados;
• Videoconferência
• Use as ferramentas de comunicação homologadas para as conversas e ligações entre os colegas e com o time;
• Evite fazer reuniões remotas em viva-voz. Assim você evita que outras pessoas ouçam sua conversa;
• Cuidados básicos de segurança
• Cuide das suas senhas (senhas fortes, segundo fator de autenticação, gerenciador de senhas, etc), sempre mantenha seus sistemas (computadores, smartphones, etc) atualizados, se possível ative o auto-update; etc;
• Mais do que nunca, o phishing é uma preocupação séria. Em casa, o risco de distração é maior, e por isso, maior a chance de abrir uma mensagem suspeita;
• Muito cuidado ao compartilhar documentos da empresa. Use somente os meios oferecidos pela empresa e não utilize outros meios não autorizados, como Google Drive, Dropbox, etc;
• Tome cuidado redobrado com as informações da empresa, mesmo estando em casa: cuidado com as informações que aparecem na sua tela e procure um lugar reservado ao falar no telefone ou participar de vídeo conferências.

Sempre tome cuidado e fique atento. Em caso de dúvidas, entre em contato com o time de TI ou de segurança da sua empresa e peça ajuda.

Vale lembrar que as empresas também tem muito trabalho para fazer:

• Criar, ou revisar, uma política para trabalho remoto (home office), incluindo aspectos de segurança e decisões estratégicas como se a empresa vai oferecer algum reembolso de despesas específicas (como link internet) ou algum benefício (doação de equipamento, por exemplo);
• Investir em ferramentas de criptografia, incluindo para comunicação segura (VPN) e proteção dos dados nos computadores móveis (criptografia de disco);
• Uso de segundo fator de autenticação em todas as contas corporativas e para a VPN;
• Ferramentas de proteção para o computador remoto (endpoint), incluindo anti-vírus, criptografia, proxy, etc;
• Ações de conscientização sobre boas práticas para o trabalho remoto, além de recomendações de segurança e sobre os riscos específicos. Também devem reforçar suas campanhas de prevenção a phishing e cuidados com fake news.

Veja mais:

• [Infographic] Threat Model of a Remote Worker
• Home Safe: 20 Cybersecurity Tips for Your Remote Workers
• Dicas para o trabalho remoto seguro (PhishX)
• Cibersegurança no home office em tempos de coronavírus: uma questão de corresponsabilidade (Tempest)
• O CAIS, da RNP, lançou um alerta com recomendações de segurança ao realizar trabalho remoto: CAIS-Alerta: Recomendações de segurança durante trabalho remoto em período de isolamento - COVID-19;
• A Capgemini lançou um estudo sobre novas ameaças e desafios de Cyber Security por conta do COVID e da migração para trabalho remoto;
• O pessoal da Daryus disponibilizou um Template de Política de Home Working
• A Proofpoint disponilibizou gratuitamente um kit para campanhas de conscientização sobre trabalho em home office, com relatórios, dicas de como proteger seu Wi-Fi doméstico e um pequeno conjunto de posters;
• A Redbelt criou uma página para disponibilizar informações sobre ciber ataques relacionados a pandemia, incluindo um relatório com os principais ataques cibernéticos mapeados por eles;
• A Tempest criou uma página para centralizar informações sobre golpes relacionados ao Coronavirus, incluindo um repositório com os IOCs (atualizado a cada 30 minutos);
• Eles também disponibilizaram um material com 5 cuidados importantes de segurança para as videoconferências;
• Veja esse artigo do Bruce Schneier: Work-from-Home Security Advice
• Meus posts anteriores:
• Coronavírus e os riscos de ciber ataques
• Como evitar as Fake News
• Template de Política para Trabalho Remoto
• Coronavírus - o que as empresas devem fazer

PS: Esse post foi baseado nesse meu artigo, de 2019: "Dicas de segurança para trabalho remoto".

PS/2: Publiquei uma versão desse artigo no LinkedIn.

PS-3: Post atualizado em 07 e 16/04.