Guidebook | Cartilha

Working

Anywhere

Seja no home office, trabalho remoto alocado no cliente ou até mesmo no escritório da sua empresa, esse Guidebook contém as boas práticas de Segurança da Informação essenciais para você trabalhar de qualquer lugar sem ter dores de cabeça.

Também contém algumas soluções para as empresas e profissionais de TI/SI terem em mente na hora de implementar uma política de home office e trabalho remoto.

Senhas.

Palavra-chave.

Password.

Hoje em dia, os dois principais incidentes que giram em torno de senhas e contas hackeadas são o bruteforce (software utilizado por cibercriminosos para descobrir uma senha) e vazamentos de informação, que podem ser de uma base de dados exposta de uma empresa ou então um leve descuido no recebimento de e-mails de phishing (veremos isso mais a frente).

O primeiro passo, então, é ter uma senha forte, que precisa seguir a seguinte receita:

Letras MAIÚSCULAS e minúsculas



Números (0123456789)



Caractere Especial (@!#$%&*)

Ter no mínimo 8 dígitos



Não ser uma senha repetida

“Como ter imaginação para criar tanta senha?”

Para isso, nós temos o seguinte método para criar senhas fortes que não precisa de tanta criatividade ou imaginação:

1. Escolha uma palavra ou frase, algo que você goste ou deseje. Como exemplo, vou usar a palavra “sexta-feira”.

2. Troque alguma das letras por números e símbolos, assim, a nossa simples “sexta-feira” se transforma em $ext@ -f&1r4’.

3. Quanto mais longa for a senha, mais forte será. Então, de “sexta-feira” poderíamos evoluir para “eu adoro sexta-feira”, ou melhor, “&u@d0r0$3xt4-f&1r4”.



“Mas é muita senha para decorar!”

Para não dependermos só da memória e da criatividade, existem programas chamados Gerenciadores de Senhas que possuem recursos de criar, salvar e compartilhar as suas senhas de forma segura.

Os gerenciadores funcionam como um cofre, através de plug-in para navegadores e aplicativo mobile, a aplicação criptografa todas as suas senhas e reconhece apenas os dispositivos autorizados a acessá-la.

Seu acesso ao Gerenciador de Senhas se dá a partir de uma senha mestra, a qual você jamais deva compartilhar com outros. Essa senha mestra irá decifrar a criptografia imposta e dará acesso ao serviço.

Cuide das suas senhas da mesma forma que você cuida da sua escova de dente.

Ou seja, mude suas senhas com regularidade, pelo menos de 3 em 3 meses. Nunca se sabe quando nossos dados podem vazar da base de alguma organização.

Se você quiser saber se seus dados já foram vazados, clique no botão abaixo e conheça o Have I Been Pwned, ou mesmo o Firefox Monitor.

Outro ponto importante é que você não divide sua escova de dentes com outra pessoa, certo? Então, se precisar compartilhar o acesso com alguém, faça pelo Gerenciador de Senhas. Lá é possível fazer isso de forma segura, sem que a pessoa veja a senha, e você pode revogar o acesso quando quiser.

Segundo Fator de Autenticação

Uma forma de proteger ainda mais as suas contas é ativando o Segundo Fator de Autenticação, também conhecido como 2FA ou Two Factor Authentication.

Autenticação é o processo de verificação da sua identidade e, assim, da sua permissão ou não de acesso a um sistema, plataforma ou conta. As autenticações podem se dar por algo que você saiba (como login e senha), algo que você seja (como sua digital ou scan da íris), ou algo que você tenha (como um celular ou token).

Ter o duplo fator de autenticação ativado quer dizer que duas etapas serão necessárias para a verificação da sua identidade. Na hora de entrar na sua conta, você receberá um código por e-mail, SMS ou via aplicativo autenticador em que você “escaneia” um QR Code com seu celular para liberar o login.

Clique nos botões abaixo para saber como ativar o Segundo Fator de Autenticação:

Ferramentas corporativas também possuem 2FA

Não são só redes sociais que possuem segundo fator de autenticação. Se você pesquisar nos FAQs das ferramentas corporativas que sua empresa usa, a maioria utiliza do 2FA como método de autenticação.

Alguns exemplos de ferramentas corporativas com 2FA:

Slack

Trello

Adobe

Coloque senhas nos seus dispositivos.

Agora que você sabe criar uma senha forte e usar o Segundo Fator de Autenticação, coloque uma senha para entrar no seu computador e smartphone.

Caso você esteja ausente ou perca seu celular, ter uma senha evita que pessoas consigam usar seu dispositivo sem seu consentimento.

Mas é para botar senha, preferencialmente longa, nada de pin ou padrão de desenho.

{

Ah, mas o meu marido, esposa, filho, sogra, pai, papagaio também usa o mesmo computador.

Para criar um perfil de usuário novo,
você pode seguir esse tutorial:

Microsoft Windows

Apple / MacOS

Linux

Olhe em volta antes de trabalhar com informações confidenciais.

Essa dica é mais para você que está fazendo trabalho remoto em lugares públicos (como restaurantes, hotéis, aeroportos etc.) ou que trabalha em escritórios abertos e co-working.

Ao trabalhar com informações consideradas sensíveis ou confidenciais (relatórios com métricas, informações de outros colaboradores, contratos), verifique se há pessoas em volta que possam estar olhando a tela do seu computador.



Caso você esteja em um lugar com alto tráfego de pessoas, tente se posicionar contra uma parede, evitando que pessoas possam ficar atrás de você.

Por fim, não converse sobre assuntos sigilosos em locais públicos, como transporte público, elevadores, carros de aplicativo ou então naquele momento descontraído na hora do cafezinho.



"Você deseja salvar o login?" Melhor não.

Agora que você já tem uma senha forte e o Segundo Fator de Autenticação, não use a opção “Salvar o login” ou “Login automático”.

Com essa função habilitada, só facilita que pessoas mal-intencionadas consigam acessar a sua conta quando você estiver ausente do seu dispositivo.

Não deixe para depois a atualização que você pode fazer agora.

Os cibercriminosos constroem seus ataques de duas formas:



Explorando vulnerabilidades humanas, como pessoas que têm senhas fracas, que clicam em e-mails de phishing, que baixam arquivos maliciosos ou que possuem dados desatualizados em bases vazadas.



Explorando vulnerabilidades de tecnologia, que, em boa parte, se devem a aplicativos e sistemas desatualizados.

Então, assim que uma versão mais nova do sistema operacional ou do aplicativo for lançada, não deixe a atualização para mais tarde. Essas atualizações atuam corrigindo vulnerabilidades identificadas nos sistemas para evitar com que cibercriminosos explorem essas falhas.

Backup de hoje é um problema a menos de amanhã.

Outro ponto importante que não podemos deixar para depois é o backup dos arquivos na nuvem. Dessa forma, caso seu computador ou smartphone seja comprometido por um incidente cibernético ou até mesmo estrague, dê defeito.

{

Fazer backup dá maior preguiça.
Imagina fazer todo dia.

Para driblar esse problema, na maioria dos serviços de armazenamento em nuvem existe a sincronização automática com a área de trabalho. Ou seja, você só deixa seus arquivos na pasta que aos pouquinhos a aplicação vai fazendo o backup para você.

Para ativar a sincronização automática, veja os seguintes tutoriais:

Microsoft / One Drive

Google Drive

Dropbox

Aplicativo ou

Big Brother?

Sabe quando você instala um aplicativo que pede acesso aos seus contatos, câmera, galeria de imagens ou sua localização?

Existem muitos casos em que essas permissões podem ser abusivas, não tendo nenhuma relação com a atividade-fim exercida pelo aplicativo.

Por exemplo, você instala um aplicativo de despertador. No processo de instalação, o aplicativo pede para ter acesso a sua agenda de contatos e a seus históricos de ligação e mensagens, sua galeria de fotos, o que causa um certo estranhamento, tendo em vista que são informações totalmente desnecessárias para a finalidade do aplicativo.

Do mesmo modo, alguns questionários e testes de redes sociais requisitam acesso a toda a sua lista de amigos, histórico de interações, dentre outros dados não relevantes para sua execução , mas que são interessantes para os desenvolvedores e empresas que buscam fazer publicidade com seus dados, como ocorreu no caso da Cambridge Analytica no Facebook.

Para evitar essas permissões abusivas, fique atento a que os aplicativos pedem acesso. Se a permissão não ficar tão clara, procure no Google sobre as Políticas de Privacidade do aplicativo.



Caso alguma dessas requisições para acessar seus dados seja fora do comum ou não faça sentido, não instale o aplicativo e procure saber por que a empresa está pedindo para ter visibilidade dessas informações. Valorize seus dados.

Como anda a sua exposição nas redes sociais?

Já que tocamos no assunto redes sociais, é preciso ter em mente algumas dicas de uso para evitar uma exposição de informação desnecessária, que pode vir a ser prato cheio para cibercriminosos criarem golpes personalizados.

Tenha perfil privado.

Dessa forma, suas informações não estarão públicas para qualquer pessoa, apenas aqueles que são seus amigos. Isso evita que qualquer pessoa possa saber o nome da sua mãe, cachorro ou do seu melhor amigo, informações que normalmente são perguntas de recuperação de senha.

Saiba como ter um perfil privado:

Pense no que você compartilha e com quem.

Antes de postar, se pergunte: eu gostaria de ver esse conteúdo passando na televisão? Talvez seja uma boa você não postar.

Considere tudo o que você postar – incluindo itens que são limitados somente a “amigos” ou “amigos de amigos” – tudo que você posta na Internet colabora para construir uma imagem sobre a sua pessoa.

Crie uma identidade prória.

Não use nomes que o liguem à empresa ou a outras pessoas; faça das redes sociais um espaço que irá apresentar as suas opiniões, e não a de terceiros.

Exemplo de Usuário/Nick não recomendado: Carlos_Empresa.

Evite riscos desnecessários.

Não clique em links que você não tem certeza se são confiáveis.

Materiais que oferecem ajuda financeira, que apresentam vídeos ou fotos de famosos ou que pedem informações bancárias são, em sua maioria, utilizados como proliferadores de ataques virtuais. Desconfie sempre.

Como checar informações e não repassar Fake News.

Antes de sair compartilhando informação pelos quatro cantos da internet ou de mandar aquela notícia no grupo de WhatsApp, é sempre muito bem-vindo checar a procedência dessa informação.

Para saber se uma notícia é falsa ou não:

1. Veja quem escreveu o artigo ou o post. Dá uma checada se o autor é especialista no assunto, se possui uma outra reputação, se é possível verificar a veracidade dessa informação com outras fontes.

2. Objetividade. Questione se a informação está completa ou se alguma coisa está mal contada.

3. Verifique a data de quando o conteúdo foi criado, quando foi atualizado pela última vez e se existem links que não funcionam.

4. Compare com outras fontes. Pesquisar na Internet é sempre mais fácil, mas dá uma olhada também em livros, revistas, artigos acadêmicos.

Em casos de notícias, você pode evitar a desinformação conferindo se a informação daquele veículo (site, jornal online, perfis em redes sociais) é real a partir das agências de checagem de fatos.

Alguns exemplos de sites e agências que fazem checagem de informação:

E, é claro, se alguém te passar alguma fake news, avise a pessoa que a informação é falsa. Nos tempos em que vivemos hoje, uma informação falsa pode causar grandes prejuízos financeiros, reputação e até de saúde.

Se você não anda de carro sem cinto de segurança, por que não seguir boas práticas de navegação segura?

Para começar a falar sobre navegação segura, vamos iniciar pela parte de como você se conecta à Internet.

Não existe Wi-Fi de graça.

Um dos ataques mais eficazes para roubo de informações confidenciais é a partir de redes de Wi-Fi públicas presentes na maioria dos estabelecimentos comerciais, como cafeterias, restaurantes, livrarias, shoppings e aeroportos.

O cibercriminoso intercepta os dados que estão sendo trafegados naquela rede, conseguindo ter visualização clara de logins, senhas e sites que você está acessando, embora eles somente tenham êxito na coleta se algum site ou aplicativo acessado não utilizar HTTPS (protocolo que criptografa dados na Web que fica antes do “www.”).

Por garantia, a recomendação é de se usar o 3G/4G em caso de dispositivos móveis ou, se realmente precisar entrar no Wi-Fi, evite acessar serviços críticos, como contas de banco e e-mail, a não ser que você tenha certeza de que o protocolo HTTPS esteja sendo usado e não receba alerta de certificado inválido.

Use uma VPN para conexão segura.

Independentemente de se você trabalha em casa ou em locais públicos, você deveria conhecer e usar uma VPN, do inglês Virtual Private Network. Em português, Rede Privada Virtual. Em grego, Εικονικό ιδιωτικό δίκτυο.

Basicamente, é uma forma de ocultar seus dados de navegação; se você estiver em uma rede protegida, será bem difícil de um cibercriminoso interceptar seus dados.

Quando você está conectado à VPN da sua empresa, você estará sujeito às políticas e camadas de segurança da rede da sua organização, isto é, uma proteção mais elevada do que da sua rede de casa. Então, é bem provável que sites pornô, jogos de azar, entre outros, sejam bloqueados. Não fique triste, é para o seu bem.

Se você trabalha em empresa, talvez você já possua acesso a uma VPN. Converse com o responsável pela TI para saber como conseguir acesso.

Melhorando a segurança do seu navegador.

Preste atenção no HTTPS

Como já vimos anteriormente, o HTTPS é o protocolo que garante a criptografia da comunicação entre você e o site. Você pode vê-lo lá na barra de navegação antes do “www.”, ou em forma de ícone de cadeado.

Então fique de olho nos sites em que você está entrando. Serviços como bancos, lojas virtuais, redes sociais e sites de notícia possuem o HTTPS. Caso você entre em algum site que você conhece e que não tenha o protocolo, verifique a URL. Você pode estar entrando em algum site falso.

Vale frisar que o cadeado no site não é uma absoluta certeza de que o site é legítimo. O HTTPS serve para atestar credibilidade de que os dados trafegados no site são seguros, mas não é uma garantia definitiva.

Propagandas & Pop-ups

Uma forma de disseminar vírus pela Internet é através de pop-ups e propagandas em banners de sites. Essa prática é chamada de Adware, e você pode evitá-la desativando os pop-ups do seu navegador e instalando um plug-in (extensão) chamado Adblock.

Como bloquear pop-ups:

Ative a função navegação segura

Com essa funcionalidade ativada, o seu navegador irá te avisar quando você está entrando em algum site que pode ser considerado malicioso, que seja usado em golpes de phishing ou que seja para disseminar vírus.

Como ativar a navegação segura:

Busque por vírus no seu computador

Longe dessa dica querer substituir o uso de um antivírus, porém é bom você saber e usar também essa funcionalidade que está no seu navegador.

Você pode fazer essa busca e limpeza por arquivos maliciosos no seu computador e celular da seguinte forma:

Chrome

Phishing.

Também conhecido como o “golpe do e-mail falso.

Os cibercriminosos se aproveitam da sua falta de atenção e desconhecimento para enviar comunicações fraudulentas muito parecidas com as usadas por empresas reais com o intuito de roubar credenciais de suas vítimas, informações sensíveis, cartões de crédito e até a sua conta no WhatsApp.

Vai além de fraudes financeiras, phishing é uma boa porta de entrada para incidentes cibernéticos maiores e podem se materializar tanto por e-mail quanto por mensagens de WhatsApp, Telegram ou SMS.

Por exemplo, se a vítima submete suas credenciais corporativas ou baixa um arquivo malicioso, o cibercriminoso consegue uma brecha para invadir o ambiente digital da empresa, conseguindo infectar a rede com malwares (vírus) ou então roubando dados de clientes e outras informações sensíveis.



No caso de phishings enviados por e-mail

1. Confira o e-mail de remetente

Confira se o e-mail do remetente da mensagem é compatível com o utilizado pela empresa. Uma forma de fazer essa verificação é procurar na sua caixa de entrada um e-mail que você saiba que é real e cheque se o domínio do remetente é o mesmo, utilize e-mails de confirmação de cadastro, esqueci a senha ou newsletter como exemplos.

2. Busque por erros ortográficos

Normalmente os cibercriminosos utilizam e-mails com erros ortográficos. Repare se no nome da empresa há letras repetidas.

3. Fique de olho em domínios genéricos

Outro erro comum é o uso de domínios genéricos, como empresa@outlook ou @gmail. A maioria das empresas sérias possui domínios próprios, que consistem em @nomedaempresa.

4. Como a mensagem se dirige a você?

Repare em como a mensagem se dirige a você. Em grande parte dos casos, nas mensagens que são phishing é comum que não haja um pronome de tratamento claro. Como assim?

Hoje as empresas utilizam sistemas automatizados que fazem envio de e-mail, e esses sistemas permitem personalizações para cada cliente, como “Olá, Sr. João” ou “Cara, Maria”. Essa dica também é válida para SMS e WhatsApp.



Phishings que chegam no seu smartphone

Que são enviados via SMS, WhatsApp ou outros aplicativos de mensgem instantânea.

Fique de olho no número da mensagem.

Confira o número do remetente. Empresas grandes como companhias de telefone, bancos, plano de saúde, aplicativos de delivery de comida e afins utilizam sistemas automatizados de mensagem nos quais os números de envio são reduzidos, como 29007, 30264.

Se o número de envio aparentar ser um número de telefone normal, fique alerto, pois a chance de ser um phishing é bem alta.



Como proceder se você encontrar um phishing.

Analisou o remetente, viu que é falso? Podemos já considerar que a mensagem tem fortes indícios de ser phishing.

O próximo passo será reportar para o time de segurança da empresa e depois marcar a mensagem como phishing no seu provedor de e-mail.

Google / Gmail

Microsoft / Outlook

{

Putz. Caí no phishing. O que eu faço?

É comum descuidos acontecerem e ficarmos receosos ou envergonhados em reportar um incidente, mas, se você caiu no phishing:

1. Acione o time de cibersegurança da sua empresa o mais rápido possível para que o controle a possíveis danos seja feito o quanto antes.

2. Se você clicou no link e preencheu um formulário falso, infelizmente esses dados estão sob a posse de algum cibercriminoso. O ideal, nesse caso, é trocar senhas para evitar que sua conta possa ser explorada para outros fins.

Scams.

Também conhecido como o famigerado Golpe.

Scams são golpes aplicados por cibercriminosos que têm como objetivo extorquir a vítima, seja por chantagem ou doação.

Você já deve conhecer o e-mail do príncipe nigeriano ou golpe do falso sequestro. Esses são bons exemplos que ilustram o que é um scam.

Agora, em época de Covid-19, já tivemos golpes como: golpistas que se passam por coletores de exame para cometer assaltos até um golpe que já atingiu 1 milhão de pessoas, prometendo Netflix de graça.

Como identificar Scams?

Para evitar scams, a principal dica é: procure no Google o assunto do e-mail ou tema da mensagem
junto com a palavra scam.

Exemplo: “Príncipe Nigeriano scam” ou “Mercado Livre golpe”

Os resultados na maioria das vezes vão te mostrar que o golpe já é bastante difundido na internet.

Como reportar Scams.

Reporte como phishing, para seu provedor de e-mail identificar o remetente como malicioso e impedir que mais mensagens dele cheguem para outras pessoas.



Bloqueie o remetente do e-mail ou número de telefone para que você não receba mais mensagens.

“Promoção 90% de desconto.”

Scam em redes sociais.

Se jogarmos no Google “Promoção falsa redes sociais”, vamos encontrar diversos golpes com finalidades diferentes:

• Promoção falsa com roubo de dados sensíveis, como CPF, RG, data de nascimento e endereço.

• Promoção que pede compartilhamento de algum perfil ou link falso.

• Descontos “incríveis” que para ter acesso ao cupom é preciso entrar em um site específico e fazer um cadastro.

Para evitar scams em redes sociais,
fique atento com:

1. Perfil verificado

Se a marca for conhecida e não tiver o selo azul de perfil verificado, fique atento, pois as chances de ser um perfil falso são bem grandes.

2. Não clique em links externos

Se a promoção pedir para você entrar em algum site específico ou clicar em algum link, entre no site oficial da empresa através do Google e confira se a promoção é real.

Se você achar algum perfil falso disseminando golpes, não esqueça de denunciar para que mais gente não seja afetada:

Instagram

Facebook

Twitter

Para os profissionais de TI e Segurança da Informação.

Depois de todas essas dicas voltadas para os usuários finais, é importante que as organizações também possuam infraestrutura e boas práticas que minimizem os riscos, tanto de vulnerabilidades tecnológicas, quanto de erros calcados no elemento humano.

Segundo o Data Breach Cost 2019 da IBM, certa de 75% dos incidentes cibernéticos começam por erros humanos. Então o que podemos fazer para minimizar esses riscos?

VPN

Garantir uma conexão confiável e segura é um dos primeiros passos que as empresas precisam dar na hora de adotar políticas de trabalho remoto.

Para isso, as VPNs são uma excelente solução para colaboradores que estão fora dos limites corporativos. Por meio de criptografia da comunicação, permitem uma conexão segura para computadores e smartphones mesmo de redes públicas ou que não possuem nenhuma garantia de segurança.

Além disso, quando os colaboradores estão conectados à rede VPN da sua organização, ficam sujeitos às mesmas políticas e regras da rede corporativa, isto é, a partir da tecnologia de filtro de conteúdo, eles passam a estar com níveis de segurança muito mais elevados do que em suas redes domésticas.

Filtro de Conteúdo & Configuração de Tráfego

Isso faz parte de uma tecnologia que serve como um complemento para ajudar o colaborador a navegar de forma segura, evitando previamente que acesse sites maliciosos ou conteúdo potencialmente inseguro.

Autenticação Segura

Dentro deste tópico, há dois pontos que os times de TI/SI precisam se atentar:

O primeiro é ter uma solução de Fator Duplo de Autenticação para acesso a sistemas de e-mails e ferramentais da empresa, dificultando ainda mais que um golpe de bruteforce ou que vazamento de dados sejam aproveitados para roubar credenciais de acesso.

O segundo ponto é ter uma Política de Senhas. Além das boas práticas de como criar e fazer a gestão de senhas, ter uma política obrigatória de mudança de senhas com regularidade e com pré-requisitos garante que todos os usuários possuam senhas fortes.

Gestão de Permissão & Direito de Acesso

Somado às soluções de Autenticação Segura, ter Políticas de Classificação da Informação e tecnologias que facilitem a Gestão de Permissão é uma forma de evitar que usuários não autorizados tenham possiblidade de ter informações confidenciais da empresa ou permissões de um perfil Administrador.

Empresas que não possuem nenhuma dessas duas soluções Classificação de Informação e Gestão de Permissão possuem um risco ainda maior caso a credencial de um colaborador qualquer seja vazada, facilitando o escalonamento de roubo de informações confidenciais e sensíveis.

Programa de Conscientização de SI

Como vimos no relatório da IBM, o erro humano precisa ser levado em consideração na hora de se montar um plano de resiliência cibernética.

Para tratar do risco humano, um programa de conscientização precisa ter ações sistemáticas, ser baseado em métricas de comportamento humano e possuir conteúdos de fácil entendimento e que se encaixe no modelo de aprendizado de cada usuário.

Um programa de conscientização eficiente (e que esteja em conformidade com LGPD, GDPR e as principais certificações de segurança da informação do mercado) vai além de campanhas de phishing, palestras pontuais ou uma semana da cibersegurança.

O programa em si é consistente em suas ações ao longo do tempo e em sua continuidade, possibilitando o mapeamento de usuários/áreas de risco, reciclagem de colaboradores que não demonstram conhecimento de boas práticas de segurança e conscientização de novos colaboradores que estão entrando na empresa. Assim, se constrói e promove uma cultura de cibersegurança na organização.

Sua empresa está preparada para o Home Office?

Se você quiser saber se a empresa está preparada para adotar o home office de forma segura, a PROOF está oferecendo um assessment de risco GRATUITO.

Clique aqui para saber mais

Quer saber mais sobre a PROOF?

Se você quiser saber mais sobre soluções e serviços de segurança da informação, como Programas de Conscientização de Usuários, Monitoração de Incidentes Cibernéticos ou de Infraestrutura de TI:

Fale com nossos especialistas

Onde estamos

Brasil:
Rio de Janeiro
Espírito Santo
São Paulo
Minas Gerais
Distrito Federal

Portugal:
Lisboa