Segurança da informação e proteção de dados no home office

1 - Introdução

O trabalho na modalidade “home office” (na tradução seria “em casa”, mas na prática pode significar em qualquer outro lugar fora da empresa) foi incluído na CLT – Consolidação das Leis Trabalhistas -, nos artigos 75-A a 75-E, pela lei 13.467/17, com a finalidade de regulamentar essa nova realidade laboral – que, diga-se de passagem, já existia, mas não era regulamentada  -.

Trata-se de uma importante medida para compatibilizar as esferas profissional e pessoal, em busca de um melhor equilíbrio geral da qualidade de vida dos trabalhadores. Por outro lado, pode ser também medida de economia financeira para as organizações.

Por sua vez a LGPD (Lei Geral de Proteção de Dados) - lei 13.709/18 - é a legislação brasileira que regula as atividades de tratamento de dados pessoais, em uma realidade de maior proteção desse tipo de dado.

No contexto laboral e corporativo, a LGPD se aplica à toda a equipe e é necessária especial atenção quando se trabalha em home office - também chamado “trabalho remoto” -.

Se os colaboradores manipulam as informações de suas casas (ou de outros lugares onde escolham trabalhar), as empresas não têm, a princípio, um controle tão amplo sobre a segurança existente no local onde home-office é executado, o que leva a temores pela perda ou roubo de dados.

O medo é lógico, pois um ambiente doméstico pode ser muito mais vulnerável que o corporativo, onde o software dos servidores oferece maiores garantias de segurança.

Os riscos existentes são, na realidade, bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador. Tudo isso pode resultar no roubo de informações confidenciais da empresa.

Dito isto, trabalhar em casa não precisa ser sinônimo de perigo. É necessário estabelecer um protocolo que estabeleça regras para trabalhar em casa ou fora do escritório.

2 - Dúvidas recorrentes

Em sequência abordarei diversas dúvidas recorrentes:

2.1 - Quais são os riscos de uma violação de dados ao trabalhar em casa?

O trabalho remoto expõe os dados pessoais tratados pela empresa a uma diversidade de dados distinta daquela existente no ambiente corporativo.

Um exemplo simples: um membro da equipe está trabalhando em casa e é interrompido pelo vizinho que quer emprestado uma xícara de açúcar (sim, um clichê, mas é suficiente para o propósito de ensinar). O membro da equipe fecha a tampa do laptop, bloqueia a tela ou oculta o computador enquanto responde à solicitação de seu vizinho? 

Lembre-se, se uma pessoa não autorizada puder acessar o computador, isso seria classificado como violação de dados. Então, para o trabalho remoto é necessário estabelecer regras para situações como essas.

2.2 - Como mitigar os riscos de uma violação de dados em casa?

Essa proteção pode ocorrer de várias maneiras: bloquear a tela após o não uso por um período determinado - e um minuto é um bom ponto de partida-; se os trabalhadores remotos estiverem usando serviços em nuvem ou VPN - Rede privada virtual, do inglês Virtual Private Network, que é uma rede de comunicações privada -, o departamento de TI poderá configurar o monitoramento do dispositivo, incluindo mapeamento geográfico, verificações de invasão de dispositivos - como dispositivos USB sendo conectados - ou bloqueando as informações para que elas não possam ser salvas da nuvem para a “unidade local C, por exemplo. 

Além disso, as informações também podem ser criptografadas para que, mesmo que o dispositivo seja extraviado, os dados não possam ser acessados e lidos.

2.3 - Atenção à documentação física é importante?

Ficamos tão focados na computação e na segurança de TI que tendemos a esquecer como a documentação física também pode ser vulnerável.  

Vejamos algumas das perguntas (e respostas) importantes:

2.4 - Os funcionários podem levar para casa os registros em papel?

A perda de registros em papel pode ser uma violação de privacidade de dados. Depende muito do tipo de registro que está sendo levado para casa.

Normalmente, isso pode incluir:

• Faturas

As faturas de vendas ou compras podem ser levadas para casa para processamento - geralmente são de comerciantes que usam seus próprios nomes e endereços (que podem identificar claramente pessoas vivas) ou clientes que compram em um endereço residencial.

• Currículos e registros de entrevistas

Estes podem ser arquivos de candidatos para avaliação para entrevista ou compromisso. A menos que eles simplesmente contenham números de identificação internos, eles conterão muitas informações pessoais.

• Relatórios de avaliação

Podem haver relatórios de avaliação de equipes escritos em casa.

• Registros financeiros

Declarações de tributos e outros registros financeiros.

• Arquivos de aconselhamento e litígio (consultoria e contencioso)

Em arquivos relacionados a litígio ou consultorias, os documentos geralmente nomearão pessoas vivas e geralmente fornecerão seus nomes e endereços. Neste tipo de documento entra a maior parte dos trabalhos jurídicos, logo, os riscos para um escritório de advocacia são elevados.

3 - Avaliação de impacto na privacidade de dados

É necessário fazer uma avaliação de impacto na privacidade de dados. Nisto inclui uma avaliação se a documentação possui dados de categorias especiais sobre indivíduos vivos (saúde, opiniões políticas, orientação sexual etc.), ou seja, os chamados “dados sensíveis”.

É necessário avaliar também qual é o risco para a privacidade dos dados se um arquivo for perdido ou extraviado.

Depois de fazer essa avaliação, é necessário considerar:

•     Se apenas partes do arquivo podem ser levadas para casa para reduzir o risco.

•     Se existem outras maneiras de trabalhar que reduziriam ou removeriam o risco de perda de dados em trânsito ou em casa.

•     Se os funcionários são treinados adequadamente sobre como transportar e usar dados pessoais ao removê-los do escritório

Seria imprudente, por exemplo, tirar de dentro do escritório a única cópia em papel de qualquer documento, pois se a pasta for perdida, não há como substituir o material. A perda de papelada ainda é uma violação da LGPD, sendo obrigação do escritório relatar e notificar às pessoas cujos dados foram afetados.

Neste caso então, o ideal é acessar as informações eletronicamente, porém, deve-se ter uma atenção especial quanto à segurança do wi-fi doméstico, já que a vulnerabilidade neste caso é elevada.

4 - Regras de segurança para o trabalho remoto

É necessário definir algumas regras sobre:

• Quem tem permissão para levar a papelada para casa?
• Quais registros são mantidos sobre o que vai (e retorna)?
• Se apenas cópias podem ser removidas ou se os originais podem ser removidos
• Como a documentação deve ser transportada, por exemplo, em uma maleta trancada, não deixada à vista em um carro
• Como o trabalho em casa deve ser configurado

- Espaço físico onde os familiares e visitantes não podem ver a papelada

- Trancado com segurança quando não estiver em uso

• Como relatar um arquivo perdido.

5 - A importância do treinamento da equipe

Os funcionários precisam ser treinados sobre a importância de cuidar ativamente das informações em seu poder. Isso incluiria documentação e procedimentos para quando surgir um problema e como minimizar o impacto. Pense em como seria fácil deixar um telefone celular em um ônibus e, em seguida, pense em todos os contatos que seriam armazenados apenas naquele dispositivo (talvez uma parte do banco de dados da empresa). 

Nessas circunstâncias, a probabilidade de ocorrência de uma violação é real. A questão envolverá considerar todas as possibilidades e ter contingências para as ocorrências e tomar medidas para a prevenção, começando com o treinamento da equipe e o engajamento para evitar violações.

6 - Melhores práticas para trabalho remoto

São importantes precauções para limitar os riscos à segurança enquanto os colaboradores trabalham em casa. Exemplifico algumas delas:

1. Exigência que os funcionários usem uma senha não armazenada para se conectar durante cada sessão, especialmente para acesso à VPN.

2. Aplicar tempos limite razoáveis de sessão para programas ou aplicativos confidenciais. Um usuário não precisa se reconectar depois de caminhar até a cozinha para servir uma xícara de café, mas, ao mesmo tempo, você não pode confiar na segurança de uma sessão que dura o dia todo.

3. Limite o acesso ao programa/ arquivo apenas às áreas absolutamente necessárias para esse colaborador.

4.Reserve o direito de encerrar o acesso dos colaboradores a qualquer momento.

5. Fornecimento de serviços para armazenamento remoto de arquivos e outras tarefas; não confie nas pessoas para usar seus programas e contas pessoais.

7 - Segurança e trabalho remoto: estatísticas e cenários

Neste ponto, apresentarei e examinarei alguns dados e cenários atuais, incluindo as principais ameaças enfrentadas por trabalhadores e organizações que adotam o trabalho remoto.

7.1 - Riscos de segurança gerados às organizações pelos trabalhadores remotos

Pesquisas focadas na segurança de trabalhadores remotos (home office) indicam que as organizações estão cientes dos riscos, mas têm problemas para aplicar políticas e procedimentos de segurança viáveis. Tanto as organizações quanto os trabalhadores remotos sugerem que a complexidade dos softwares utilizados complica a segurança e podem até ser uma barreira ao trabalho remoto produtivo.

Explicarei isso abaixo, mas alguns dos principais riscos de segurança que os trabalhadores remotos representam para as organizações são:

1. Incapacidade de impor segurança
2. Falta de comprometimento com as melhores práticas de segurança
3. Comportamento arriscado por parte dos trabalhadores remotos

Apresentarei alguns dos números e fatos relacionados a estas questões mencionadas.

7.1.1 - Incapacidade de impor segurança ao trabalho remoto

Com base em uma pesquisa da Apricorn de 2018, 95% das empresas do Reino Unido ainda estavam lutando para se adaptarem na relação segurança/ trabalho remoto. Algumas das principais conclusões foram:

• 1/3 das organizações afirma ter experimentado uma perda ou violação de dados como resultado direto do trabalho remoto.
• Mais da metade das empresas pesquisadas disse que a maior preocupação com os trabalhadores remotos é a complexidade das tecnologias e software que eles usaram e a incapacidade de protegê-los de maneira eficaz.
• Apenas cerca de metade das organizações impõe criptografia de dados em dispositivos de trabalhadores remotos.
• As regras que proíbem o uso de dispositivos removíveis (como pen drives e HDs externos) são difíceis de aplicar.

7.1.2 - Falta de comprometimento dos colaboradores com as melhores práticas de segurança

Uma pesquisa de 2018 da  Imation Corp com 1.000 trabalhadores remotos no Reino Unido e na Alemanha descobriu que a grande maioria não estava preocupada em perder dados comerciais confidenciais. Aqui está o que foi descoberto:

• 1/3 admitiu ter perdido os dispositivos em um local público.
• 25% admitiram violar as políticas de segurança para trabalhar remotamente.
• Menos de seis em cada 10 entrevistados disseram que sua organização tinha uma política de trabalho remota.
• 44% dos entrevistados disseram que os dados nunca foram criptografados quando retirados do escritório.
• Mais de 40% sugeriram que não tinham as ferramentas certas para trabalhar remotamente.
• Três em cada 10 trabalhadores remotos admitiram que não protegiam seus dados com senhas.

7.1.3 - Segurança e trabalho remoto: comportamento de risco dos colaboradores

Uma pesquisa da Cisco de 2008 , conduzida pela InsightExpress , empresa de pesquisa de mercado com sede nos EUA, descobriu que trabalhadores remotos (55% dos entrevistados) eram mais negligentes em relação à segurança e menos vigilantes na prática de comportamento on-line seguro por acreditar que a Internet estava se tornando mais segura. Além disso, 56% dos empregadores estavam preocupados com isso. Alguns comportamentos de risco que os trabalhadores remotos admitiram incluir:

• Abrir e-mails e anexos de fontes desconhecidas ou suspeitas: 27% dos trabalhadores norte-americanos relataram essa atividade.
• Uso de computadores e dispositivos de trabalho para questões pessoais. Essa é uma tendência crescente em todo o mundo, mesmo quando os trabalhadores admitiram que era um comportamento inaceitável.
• Permitir que pessoas que não são colaboradoras da empresa peguem emprestado computadores e dispositivos de trabalho para uso pessoal: 39% dos trabalhadores remotos na China reconheceram que sim.
• Seqüestro de conexões de internet sem fio dos vizinhos:12% dos trabalhadores remotos admitiram esse comportamento arriscado e antiético.
• Acesso de arquivos de trabalho com dispositivos pessoais não protegidos por TI: 76% dos trabalhadores remotos na China confessaram ter feito isso.

8 - Riscos de segurança para trabalhadores remotos

Descrição detalhada de como os trabalhadores remotos preocupados com a segurança em todo o mundo se dizem, apesar dos riscos à segurança que enfrentam (Fonte: Cisco)

Os trabalhadores remotos geralmente não têm o mesmo suporte ou infraestrutura que os funcionários que trabalham na empresa desfrutam. Os detalhes serão especificados abaixo, mas alguns dos principais riscos de segurança para trabalhadores remotos são:

1. Vulnerabilidades online

2. Utilização de novas ferramentas

3. Vulnerabilidade de dados pessoais

4. Redes sociais e de negócios

Vamos analisar cada uma dessas questões em detalhes.

8.1 - Vulnerabilidades online

O principal risco para os trabalhadores é a vulnerabilidade de seus dados ao compartilhá-los online. Em um escritório convencional, os funcionários se comunicam em reuniões no local e fazem brainstorm no bebedouro, enquanto no mundo home office, a maioria dos contatos entre funcionários e trabalhadores é online.

Trabalhar através de wi-fi público expõe dados a espiões cibernéticos oportunistas que podem espionar dados transferidos e roubar logins e senhas particulares, entre outras coisas.

8.2 - Utilização de novas ferramentas

Os funcionários remotos usam uma variedade de software e hardware que geralmente é diferente do equipamento padronizado nas empresas em que trabalham. Isso significa que não há políticas e procedimentos definidos para proteger o equipamento de qualquer uma das partes. Isso também significa que os trabalhadores geralmente precisam usar ferramentas com as quais não estão familiarizados, diminuindo sua produtividade.

8.3 - Vulnerabilidade de dados pessoais

As pessoas que trabalham remotamente geralmente usam o mesmo software e hardware para gerenciar suas vidas pessoais e profissionais. A perda de um laptop, por exemplo, pode resultar na perda de informações confidenciais para vários clientes e para o trabalhador remoto.

Além disso, as organizações podem achar difícil confiar que os funcionários remotos estejam mantendo o software atualizado. Embora a empresa possa implementar ajustes e atualizações remotamente, o trabalhador remoto pode sentir que sua privacidade e independência estão sendo ameaçadas.

8.4 - Redes sociais e de negócios

A segurança dos trabalhadores remotos pode ser facilmente comprometida nas mídias sociais. Quando um trabalhador remoto compartilha seu status de trabalho e detalhes sobre seus projetos, está pronto para ser alvo de hackers que assumem que seus computadores pessoais são mais facilmente violados do que os de uma organização.

9 - Segurança e trabalho remoto - como gerenciar riscos

A conscientização é o primeiro passo no gerenciamento de segurança para trabalhadores remotos. No entanto, abaixo estão algumas dicas e sugestões de práticas recomendadas.

9.1 - Segurança para trabalhadores remotos

As etapas que os trabalhadores remotos podem executar incluem o seguinte:

• Verifique se os dados do trabalho e as informações pessoais estão separados, de preferência em máquinas diferentes.
• Nunca envie ou abra dados confidenciais por wi-fi público. Não confie em wi-fi ou Bluetooth não seguro e desligue-os quando não estiverem em uso.
• Sempre se conecte a uma rede virtual privada (VPN) para que o tráfego da Internet seja criptografado, principalmente se estiver conectado a uma rede wi-fi pública. Conecte-se à VPN antes de conectar ao wi-fi - até alguns segundos necessários para acessar uma VPN é uma potencial janela de oportunidade para criminosos cibernéticos -.
• É tentador para os trabalhadores remotos usarem as mesmas senhas e logins e marcar a caixa de seleção “Lembrar-me” de seus e-mails, armazenamento e outros aplicativos em nuvem on-line. Um dia regular de "limpeza" para alterar senhas deve ser rotineiro. Proteja senhas da mesma maneira que faria ao usar um caixa eletrônico.
• Use o Find My Device do iOS ou recursos semelhantes em laptops e telefones para ter a chance de recuperar um dispositivo perdido ou roubado.
• Salve dados usando serviços seguros baseados na nuvem, em vez de manter tudo em um laptop.
• Depois de concluir um projeto, verifique se os dados de um cliente foram apagados corretamente após criptografá-los e fazer backup deles em um local seguro. Nunca use dispositivos externos para armazenar dados confidenciais, a menos que sejam criptografados.
• Verifique se todo o software está atualizado.
• Utilize software e ferramentas de segurança, como aplicativos antivírus, firewalls, software de filtragem da web e criptografia de dispositivo.
• O conhecimento geral de segurança pode ajudar a proteger seus dispositivos quando em público. Por exemplo, nunca deixe seu computador sem vigilância em uma cafeteria ou durante uma reunião com um cliente.

9.2 - Segurança para organizações que possuem trabalhadores remotos

Do ponto de vista organizacional, também existem muitas práticas recomendadas para segurança e trabalho remoto:

• Crie políticas e procedimentos de trabalho remoto claros que abranjam o uso de dispositivos como USBs e aqueles usados nas iniciativas  BYOD  - Bring Your Own Device, ou seja, Traga seu Próprio Dispositivo) -.
• Forneça aos trabalhadores ferramentas aprovadas que sejam eficazes do ponto de vista dos trabalhadores, mas que também sejam fáceis de proteger.
• Incentive os funcionários remotos a trabalharem juntos em políticas de segurança, por exemplo, proibições de navegação pessoal na web e envio por e-mail em computadores do trabalho.
• Aplique a criptografia de dados em todos os dispositivos, incluindo os de propriedade do trabalhador. Permita apenas que dispositivos aprovados se conectem às redes da empresa.
• Utilize o software de monitoramento de rede para identificar possíveis ameaças e anomalias no acesso à rede.
• Use uma VPN para proteger todo o tráfego da web que flui através da sua rede, criptografando-o e roteando-o através de um servidor intermediário.
• Mantenha o software atualizado e instale os patches de segurança automaticamente.
• Crie políticas de viagem de segurança cibernética para os funcionários. A Federal Communications Commission (FCC) possui diretrizes de segurança para viajantes internacionais .
• Aplicar autenticação de dois fatores para controlar o acesso ao sistema da empresa.
• Permitir apenas que os funcionários remotos acessem os dados de que precisam e revogar automaticamente o acesso ao concluir o trabalho.

10 - Práticas recomendadas de segurança para o computador do trabalho home office

Não precisa custar muito para se ter um trabalho home office com segurança. De fato, é possível configurar um computador e outros dispositivos, como Fort Knox, pelo custo de alguns downloads ou pelo preço de uma refeição para viagem. Aqui estão algumas dicas:

• Criptografe seus dispositivos: a criptografia é absolutamente essencial para dados confidenciais.
• Proteja seu navegador : você pode obter dicas do US-Cert sobre como navegar com segurança.
• Invista em uma VPN.
• Backup: invista em uma solução de backup para os dados de seus clientes. O armazenamento seguro de dados é essencial, mas, ocasionalmente, as coisas dão errado. Em 2012, a popular e geralmente confiável solução de armazenamento on-line do Dropbox foi invadida e mais de 68 milhões de endereços de e-mail e senhas dos usuários foram vazados.
• Usar os recursos dos clientes: Se você não tiver certeza de poder garantir a segurança dos dados confidenciais de um cliente, pode ser interessante pergunte-lhes se você pode ter acesso aos recursos de segurança deles.
• Autenticação de dois fatores: use-a em qualquer lugar, especialmente se você utilizar aplicativos online como BaseCamp ou Dropbox.
• Sensibilização para a segurança: Desconfie das mídias sociais e do que você compartilha sobre seus clientes. Por exemplo, postar uma atualização sobre o que você está trabalhando e para quem pode não ser uma jogada inteligente. Um hacker pode achar interessante fazer "amigo" de você e tentar realizar um “phishing” para obter informações.
• Prevenir possíveis explorações: Um Firewall de Aplicativo da Web (WAF) ou um Sistema de Prevenção de Intrusões (ISP) focado na vulnerabilidade pode ajudar a identificar variantes de exploração e procurar proativamente as mesmas vulnerabilidades de rede que os invasores estão procurando.
• Use proteção antivírus eficaz: você pode baixar software antivírus gratuito para Mac e Windows.

11 - O que o futuro reserva para a segurança do trabalhador remoto?

Em uma análise geral, há boas notícias, dependendo de como você as vê: um relatório da Online Trust Alliance - o “ Relatório sobre tendências de incidentes cibernéticos e violações” - descobriu que 93% das violações de segurança em 2017 poderiam ter sido evitadas.

Quando se trata de trabalhadores remotos, uma das principais coisas que precisa ser feita é criar políticas e procedimentos que abranjam explicitamente a segurança dos trabalhadores remotos e daqueles que trazem seus próprios dispositivos para o trabalho.

Um fator importante é que as políticas precisam ser adaptáveis. Um documento oficial do Trust Wave, Mantenha a calma e traga seu próprio dispositivo , alerta que resolver o problema de segurança móvel com os mesmos processos usados para laptops e PCs não funcionará para BYODs. 

A tecnologia permite que os colaboradores em geral trabalhem em casa de alguma forma. Alguns podem verificar os e-mails de trabalho em seus telefones após o expediente, realizar algumas horas de trabalho no fim de semana ou compartilhar um documento com um colega que está de férias.

A chave para gerenciar a segurança de colaboradores remotos é instituir medidas de segurança aplicáveis no momento, mesmo que custe um pouco de dinheiro antecipadamente, afinal, os criminosos cibernéticos dificilmente irão desistir e um vazamento de dado a partir da criação da LGPD pode significar um grande prejuízo reputacional e financeiro para uma organização.

A verdade é que sou um grande entusiasta do trabalho remoto (home office) e da liberdade por ele gerado, porém, é necessário um conjunto protetivo composto por cultura e tecnologia para que esta liberdade não gere prejuízos significativos tantos para as organizações quanto para as pessoas envolvidas nessa prática.

 _______________

*Marcílio Guedes Drummond é sócio do escritório Marcelo Tostes Advogados. 
  marcilioguedesdrummond  @marciliogd / @advogadodestartups e  Advogadodestartups.