Guidebook | Cartilha
Working
Anywhere
Seja no home office, trabalho remoto alocado no cliente ou até mesmo no escritório da sua empresa, esse Guidebook contém as boas práticas de Segurança da Informação essenciais para você trabalhar de qualquer lugar sem ter dores de cabeça.
Também contém algumas soluções para as empresas e profissionais de TI/SI terem em mente na hora de implementar uma política de home office e trabalho remoto.
Senhas.
Palavra-chave.
Password.
Caractere Especial (@!#$%&*)
“Como ter imaginação para criar tanta senha?”
1. Escolha uma palavra ou frase, algo que você goste ou deseje. Como exemplo, vou usar a palavra “sexta-feira”.
2. Troque alguma das letras por números e símbolos, assim, a nossa simples “sexta-feira” se transforma em $ext@ -f&1r4’.
3. Quanto mais longa for a senha, mais forte será. Então, de “sexta-feira” poderíamos evoluir para “eu adoro sexta-feira”, ou melhor, “&u@d0r0$3xt4-f&1r4”.
“Mas é muita senha para decorar!”
Para não dependermos só da memória e da criatividade, existem programas chamados Gerenciadores de Senhas que possuem recursos de criar, salvar e compartilhar as suas senhas de forma segura.
Os gerenciadores funcionam como um cofre, através de plug-in para navegadores e aplicativo mobile, a aplicação criptografa todas as suas senhas e reconhece apenas os dispositivos autorizados a acessá-la.
Seu acesso ao Gerenciador de Senhas se dá a partir de uma senha mestra, a qual você jamais deva compartilhar com outros. Essa senha mestra irá decifrar a criptografia imposta e dará acesso ao serviço.
Cuide das suas senhas da mesma forma que você cuida da sua escova de dente.
Se você quiser saber se seus dados já foram vazados, clique no botão abaixo e conheça o Have I Been Pwned, ou mesmo o Firefox Monitor.
Segundo Fator de Autenticação
Autenticação é o processo de verificação da sua identidade e, assim, da sua permissão ou não de acesso a um sistema, plataforma ou conta. As autenticações podem se dar por algo que você saiba (como login e senha), algo que você seja (como sua digital ou scan da íris), ou algo que você tenha (como um celular ou token).
Ter o duplo fator de autenticação ativado quer dizer que duas etapas serão necessárias para a verificação da sua identidade. Na hora de entrar na sua conta, você receberá um código por e-mail, SMS ou via aplicativo autenticador em que você “escaneia” um QR Code com seu celular para liberar o login.
Ferramentas corporativas também possuem 2FA
Alguns exemplos de ferramentas corporativas com 2FA:
Coloque senhas nos seus dispositivos.
Caso você esteja ausente ou perca seu celular, ter uma senha evita que pessoas consigam usar seu dispositivo sem seu consentimento.
Mas é para botar senha, preferencialmente longa, nada de pin ou padrão de desenho.
você pode seguir esse tutorial:

Olhe em volta antes de trabalhar com informações confidenciais.
Ao trabalhar com informações consideradas sensíveis ou confidenciais (relatórios com métricas, informações de outros colaboradores, contratos), verifique se há pessoas em volta que possam estar olhando a tela do seu computador.
"Você deseja salvar o login?" Melhor não.
Agora que você já tem uma senha forte e o Segundo Fator de Autenticação, não use a opção “Salvar o login” ou “Login automático”.
Com essa função habilitada, só facilita que pessoas mal-intencionadas consigam acessar a sua conta quando você estiver ausente do seu dispositivo.
Não deixe para depois a atualização que você pode fazer agora.
Backup de hoje é um problema a menos de amanhã.
Outro ponto importante que não podemos deixar para depois é o backup dos arquivos na nuvem. Dessa forma, caso seu computador ou smartphone seja comprometido por um incidente cibernético ou até mesmo estrague, dê defeito.
Fazer backup dá maior preguiça.
Imagina fazer todo dia.
Para driblar esse problema, na maioria dos serviços de armazenamento em nuvem existe a sincronização automática com a área de trabalho. Ou seja, você só deixa seus arquivos na pasta que aos pouquinhos a aplicação vai fazendo o backup para você.
Para ativar a sincronização automática, veja os seguintes tutoriais:
Aplicativo ou
Big Brother?
Existem muitos casos em que essas permissões podem ser abusivas, não tendo nenhuma relação com a atividade-fim exercida pelo aplicativo.
Por exemplo, você instala um aplicativo de despertador. No processo de instalação, o aplicativo pede para ter acesso a sua agenda de contatos e a seus históricos de ligação e mensagens, sua galeria de fotos, o que causa um certo estranhamento, tendo em vista que são informações totalmente desnecessárias para a finalidade do aplicativo.
Como anda a sua exposição nas redes sociais?
Tenha perfil privado.
Saiba como ter um perfil privado:
Pense no que você compartilha e com quem.
Considere tudo o que você postar – incluindo itens que são limitados somente a “amigos” ou “amigos de amigos” – tudo que você posta na Internet colabora para construir uma imagem sobre a sua pessoa.
Crie uma identidade prória.
Exemplo de Usuário/Nick não recomendado: Carlos_Empresa.
Evite riscos desnecessários.
Materiais que oferecem ajuda financeira, que apresentam vídeos ou fotos de famosos ou que pedem informações bancárias são, em sua maioria, utilizados como proliferadores de ataques virtuais. Desconfie sempre.
Como checar informações e não repassar Fake News.
1. Veja quem escreveu o artigo ou o post. Dá uma checada se o autor é especialista no assunto, se possui uma outra reputação, se é possível verificar a veracidade dessa informação com outras fontes.
2. Objetividade. Questione se a informação está completa ou se alguma coisa está mal contada.
3. Verifique a data de quando o conteúdo foi criado, quando foi atualizado pela última vez e se existem links que não funcionam.
4. Compare com outras fontes. Pesquisar na Internet é sempre mais fácil, mas dá uma olhada também em livros, revistas, artigos acadêmicos.
Se você não anda de carro sem cinto de segurança, por que não seguir boas práticas de navegação segura?
Não existe Wi-Fi de graça.
O cibercriminoso intercepta os dados que estão sendo trafegados naquela rede, conseguindo ter visualização clara de logins, senhas e sites que você está acessando, embora eles somente tenham êxito na coleta se algum site ou aplicativo acessado não utilizar HTTPS (protocolo que criptografa dados na Web que fica antes do “www.”).
Por garantia, a recomendação é de se usar o 3G/4G em caso de dispositivos móveis ou, se realmente precisar entrar no Wi-Fi, evite acessar serviços críticos, como contas de banco e e-mail, a não ser que você tenha certeza de que o protocolo HTTPS esteja sendo usado e não receba alerta de certificado inválido.
Use uma VPN para conexão segura.
Basicamente, é uma forma de ocultar seus dados de navegação; se você estiver em uma rede protegida, será bem difícil de um cibercriminoso interceptar seus dados.
Quando você está conectado à VPN da sua empresa, você estará sujeito às políticas e camadas de segurança da rede da sua organização, isto é, uma proteção mais elevada do que da sua rede de casa. Então, é bem provável que sites pornô, jogos de azar, entre outros, sejam bloqueados. Não fique triste, é para o seu bem.
Se você trabalha em empresa, talvez você já possua acesso a uma VPN. Converse com o responsável pela TI para saber como conseguir acesso.
Melhorando a segurança do seu navegador.
Preste atenção no HTTPS
Então fique de olho nos sites em que você está entrando. Serviços como bancos, lojas virtuais, redes sociais e sites de notícia possuem o HTTPS. Caso você entre em algum site que você conhece e que não tenha o protocolo, verifique a URL. Você pode estar entrando em algum site falso.
Vale frisar que o cadeado no site não é uma absoluta certeza de que o site é legítimo. O HTTPS serve para atestar credibilidade de que os dados trafegados no site são seguros, mas não é uma garantia definitiva.
Propagandas & Pop-ups
Ative a função navegação segura
Busque por vírus no seu computador
Você pode fazer essa busca e limpeza por arquivos maliciosos no seu computador e celular da seguinte forma:
Phishing.
Também conhecido como o “golpe do e-mail falso.
Os cibercriminosos se aproveitam da sua falta de atenção e desconhecimento para enviar comunicações fraudulentas muito parecidas com as usadas por empresas reais com o intuito de roubar credenciais de suas vítimas, informações sensíveis, cartões de crédito e até a sua conta no WhatsApp.
Por exemplo, se a vítima submete suas credenciais corporativas ou baixa um arquivo malicioso, o cibercriminoso consegue uma brecha para invadir o ambiente digital da empresa, conseguindo infectar a rede com malwares (vírus) ou então roubando dados de clientes e outras informações sensíveis.
No caso de phishings enviados por e-mail

1. Confira o e-mail de remetente
2. Busque por erros ortográficos
3. Fique de olho em domínios genéricos
4. Como a mensagem se dirige a você?
Hoje as empresas utilizam sistemas automatizados que fazem envio de e-mail, e esses sistemas permitem personalizações para cada cliente, como “Olá, Sr. João” ou “Cara, Maria”. Essa dica também é válida para SMS e WhatsApp.
Phishings que chegam no seu smartphone
Que são enviados via SMS, WhatsApp ou outros aplicativos de mensgem instantânea.
Fique de olho no número da mensagem.
Se o número de envio aparentar ser um número de telefone normal, fique alerto, pois a chance de ser um phishing é bem alta.
Como proceder se você encontrar um phishing.
Analisou o remetente, viu que é falso? Podemos já considerar que a mensagem tem fortes indícios de ser phishing.
O próximo passo será reportar para o time de segurança da empresa e depois marcar a mensagem como phishing no seu provedor de e-mail.
1. Acione o time de cibersegurança da sua empresa o mais rápido possível para que o controle a possíveis danos seja feito o quanto antes.
2. Se você clicou no link e preencheu um formulário falso, infelizmente esses dados estão sob a posse de algum cibercriminoso. O ideal, nesse caso, é trocar senhas para evitar que sua conta possa ser explorada para outros fins.
Scams.
Também conhecido como o famigerado Golpe.
Você já deve conhecer o e-mail do príncipe nigeriano ou golpe do falso sequestro. Esses são bons exemplos que ilustram o que é um scam.
Agora, em época de Covid-19, já tivemos golpes como: golpistas que se passam por coletores de exame para cometer assaltos até um golpe que já atingiu 1 milhão de pessoas, prometendo Netflix de graça.
Como identificar Scams?
Para evitar scams, a principal dica é: procure no Google o assunto do e-mail ou tema da mensagem
junto com a palavra scam.
Exemplo: “Príncipe Nigeriano scam” ou “Mercado Livre golpe”
Os resultados na maioria das vezes vão te mostrar que o golpe já é bastante difundido na internet.
Como reportar Scams.
“Promoção 90% de desconto.”
Scam em redes sociais.
Se jogarmos no Google “Promoção falsa redes sociais”, vamos encontrar diversos golpes com finalidades diferentes:
• Promoção falsa com roubo de dados sensíveis, como CPF, RG, data de nascimento e endereço.
• Promoção que pede compartilhamento de algum perfil ou link falso.
• Descontos “incríveis” que para ter acesso ao cupom é preciso entrar em um site específico e fazer um cadastro.
Para evitar scams em redes sociais,
fique atento com:
1. Perfil verificado
Se a marca for conhecida e não tiver o selo azul de perfil verificado, fique atento, pois as chances de ser um perfil falso são bem grandes.
2. Não clique em links externos
Se a promoção pedir para você entrar em algum site específico ou clicar em algum link, entre no site oficial da empresa através do Google e confira se a promoção é real.
Se você achar algum perfil falso disseminando golpes, não esqueça de denunciar para que mais gente não seja afetada:
Para os profissionais de TI e Segurança da Informação.
Depois de todas essas dicas voltadas para os usuários finais, é importante que as organizações também possuam infraestrutura e boas práticas que minimizem os riscos, tanto de vulnerabilidades tecnológicas, quanto de erros calcados no elemento humano.
Segundo o Data Breach Cost 2019 da IBM, certa de 75% dos incidentes cibernéticos começam por erros humanos. Então o que podemos fazer para minimizar esses riscos?
VPN
Para isso, as VPNs são uma excelente solução para colaboradores que estão fora dos limites corporativos. Por meio de criptografia da comunicação, permitem uma conexão segura para computadores e smartphones mesmo de redes públicas ou que não possuem nenhuma garantia de segurança.
Além disso, quando os colaboradores estão conectados à rede VPN da sua organização, ficam sujeitos às mesmas políticas e regras da rede corporativa, isto é, a partir da tecnologia de filtro de conteúdo, eles passam a estar com níveis de segurança muito mais elevados do que em suas redes domésticas.
Filtro de Conteúdo & Configuração de Tráfego
Autenticação Segura
O primeiro é ter uma solução de Fator Duplo de Autenticação para acesso a sistemas de e-mails e ferramentais da empresa, dificultando ainda mais que um golpe de bruteforce ou que vazamento de dados sejam aproveitados para roubar credenciais de acesso.
O segundo ponto é ter uma Política de Senhas. Além das boas práticas de como criar e fazer a gestão de senhas, ter uma política obrigatória de mudança de senhas com regularidade e com pré-requisitos garante que todos os usuários possuam senhas fortes.
Gestão de Permissão & Direito de Acesso
Empresas que não possuem nenhuma dessas duas soluções Classificação de Informação e Gestão de Permissão possuem um risco ainda maior caso a credencial de um colaborador qualquer seja vazada, facilitando o escalonamento de roubo de informações confidenciais e sensíveis.
Programa de Conscientização de SI
Para tratar do risco humano, um programa de conscientização precisa ter ações sistemáticas, ser baseado em métricas de comportamento humano e possuir conteúdos de fácil entendimento e que se encaixe no modelo de aprendizado de cada usuário.
Um programa de conscientização eficiente (e que esteja em conformidade com LGPD, GDPR e as principais certificações de segurança da informação do mercado) vai além de campanhas de phishing, palestras pontuais ou uma semana da cibersegurança.
O programa em si é consistente em suas ações ao longo do tempo e em sua continuidade, possibilitando o mapeamento de usuários/áreas de risco, reciclagem de colaboradores que não demonstram conhecimento de boas práticas de segurança e conscientização de novos colaboradores que estão entrando na empresa. Assim, se constrói e promove uma cultura de cibersegurança na organização.
Sua empresa está preparada para o Home Office?
Quer saber mais sobre a PROOF?
Onde estamos
Brasil:
Rio de Janeiro
Espírito Santo
São Paulo
Minas Gerais
Distrito Federal
Portugal:
Lisboa
Redes Sociais
© Copyright 2020 - PROOF. Todos os direitos reservados.