Migalhas de Peso

Segurança da informação e proteção de dados no home office

Os riscos existentes são bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador. Tudo isso pode resultar no roubo de informações confidenciais da empresa.

28/1/2020

1 - Introdução

O trabalho na modalidade “home office” (na tradução seria “em casa”, mas na prática pode significar em qualquer outro lugar fora da empresa) foi incluído na CLT – Consolidação das Leis Trabalhistas -, nos artigos 75-A a 75-E, pela lei 13.467/17, com a finalidade de regulamentar essa nova realidade laboral – que, diga-se de passagem, já existia, mas não era regulamentada  -.

Trata-se de uma importante medida para compatibilizar as esferas profissional e pessoal, em busca de um melhor equilíbrio geral da qualidade de vida dos trabalhadores. Por outro lado, pode ser também medida de economia financeira para as organizações.

Por sua vez a LGPD (Lei Geral de Proteção de Dados) - lei 13.709/18 - é a legislação brasileira que regula as atividades de tratamento de dados pessoais, em uma realidade de maior proteção desse tipo de dado.

No contexto laboral e corporativo, a LGPD se aplica à toda a equipe e é necessária especial atenção quando se trabalha em home office - também chamado “trabalho remoto” -.

Se os colaboradores manipulam as informações de suas casas (ou de outros lugares onde escolham trabalhar), as empresas não têm, a princípio, um controle tão amplo sobre a segurança existente no local onde home-office é executado, o que leva a temores pela perda ou roubo de dados.

O medo é lógico, pois um ambiente doméstico pode ser muito mais vulnerável que o corporativo, onde o software dos servidores oferece maiores garantias de segurança.

Os riscos existentes são, na realidade, bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador. Tudo isso pode resultar no roubo de informações confidenciais da empresa.

Dito isto, trabalhar em casa não precisa ser sinônimo de perigo. É necessário estabelecer um protocolo que estabeleça regras para trabalhar em casa ou fora do escritório.

2 - Dúvidas recorrentes

Em sequência abordarei diversas dúvidas recorrentes:

2.1 - Quais são os riscos de uma violação de dados ao trabalhar em casa?

O trabalho remoto expõe os dados pessoais tratados pela empresa a uma diversidade de dados distinta daquela existente no ambiente corporativo.

Um exemplo simples: um membro da equipe está trabalhando em casa e é interrompido pelo vizinho que quer emprestado uma xícara de açúcar (sim, um clichê, mas é suficiente para o propósito de ensinar). O membro da equipe fecha a tampa do laptop, bloqueia a tela ou oculta o computador enquanto responde à solicitação de seu vizinho? 

Lembre-se, se uma pessoa não autorizada puder acessar o computador, isso seria classificado como violação de dados. Então, para o trabalho remoto é necessário estabelecer regras para situações como essas.

2.2 - Como mitigar os riscos de uma violação de dados em casa?

Essa proteção pode ocorrer de várias maneiras: bloquear a tela após o não uso por um período determinado - e um minuto é um bom ponto de partida-; se os trabalhadores remotos estiverem usando serviços em nuvem ou VPN - Rede privada virtual, do inglês Virtual Private Network, que é uma rede de comunicações privada -, o departamento de TI poderá configurar o monitoramento do dispositivo, incluindo mapeamento geográfico, verificações de invasão de dispositivos - como dispositivos USB sendo conectados - ou bloqueando as informações para que elas não possam ser salvas da nuvem para a “unidade local C, por exemplo. 

Além disso, as informações também podem ser criptografadas para que, mesmo que o dispositivo seja extraviado, os dados não possam ser acessados e lidos.

2.3 - Atenção à documentação física é importante?

Ficamos tão focados na computação e na segurança de TI que tendemos a esquecer como a documentação física também pode ser vulnerável.  

Vejamos algumas das perguntas (e respostas) importantes:

2.4 - Os funcionários podem levar para casa os registros em papel?

A perda de registros em papel pode ser uma violação de privacidade de dados. Depende muito do tipo de registro que está sendo levado para casa.

Normalmente, isso pode incluir:

As faturas de vendas ou compras podem ser levadas para casa para processamento - geralmente são de comerciantes que usam seus próprios nomes e endereços (que podem identificar claramente pessoas vivas) ou clientes que compram em um endereço residencial.

Estes podem ser arquivos de candidatos para avaliação para entrevista ou compromisso. A menos que eles simplesmente contenham números de identificação internos, eles conterão muitas informações pessoais.

Podem haver relatórios de avaliação de equipes escritos em casa.

Declarações de tributos e outros registros financeiros.

Em arquivos relacionados a litígio ou consultorias, os documentos geralmente nomearão pessoas vivas e geralmente fornecerão seus nomes e endereços. Neste tipo de documento entra a maior parte dos trabalhos jurídicos, logo, os riscos para um escritório de advocacia são elevados.

3 - Avaliação de impacto na privacidade de dados

É necessário fazer uma avaliação de impacto na privacidade de dados. Nisto inclui uma avaliação se a documentação possui dados de categorias especiais sobre indivíduos vivos (saúde, opiniões políticas, orientação sexual etc.), ou seja, os chamados “dados sensíveis”.

É necessário avaliar também qual é o risco para a privacidade dos dados se um arquivo for perdido ou extraviado.

Depois de fazer essa avaliação, é necessário considerar:

•     Se apenas partes do arquivo podem ser levadas para casa para reduzir o risco.

•     Se existem outras maneiras de trabalhar que reduziriam ou removeriam o risco de perda de dados em trânsito ou em casa.

•     Se os funcionários são treinados adequadamente sobre como transportar e usar dados pessoais ao removê-los do escritório

Seria imprudente, por exemplo, tirar de dentro do escritório a única cópia em papel de qualquer documento, pois se a pasta for perdida, não há como substituir o material. A perda de papelada ainda é uma violação da LGPD, sendo obrigação do escritório relatar e notificar às pessoas cujos dados foram afetados.

Neste caso então, o ideal é acessar as informações eletronicamente, porém, deve-se ter uma atenção especial quanto à segurança do wi-fi doméstico, já que a vulnerabilidade neste caso é elevada.

4 - Regras de segurança para o trabalho remoto

É necessário definir algumas regras sobre:

- Espaço físico onde os familiares e visitantes não podem ver a papelada

- Trancado com segurança quando não estiver em uso

5 - A importância do treinamento da equipe

Os funcionários precisam ser treinados sobre a importância de cuidar ativamente das informações em seu poder. Isso incluiria documentação e procedimentos para quando surgir um problema e como minimizar o impacto. Pense em como seria fácil deixar um telefone celular em um ônibus e, em seguida, pense em todos os contatos que seriam armazenados apenas naquele dispositivo (talvez uma parte do banco de dados da empresa). 

Nessas circunstâncias, a probabilidade de ocorrência de uma violação é real. A questão envolverá considerar todas as possibilidades e ter contingências para as ocorrências e tomar medidas para a prevenção, começando com o treinamento da equipe e o engajamento para evitar violações.

6 - Melhores práticas para trabalho remoto

São importantes precauções para limitar os riscos à segurança enquanto os colaboradores trabalham em casa. Exemplifico algumas delas:

1. Exigência que os funcionários usem uma senha não armazenada para se conectar durante cada sessão, especialmente para acesso à VPN.

2. Aplicar tempos limite razoáveis de sessão para programas ou aplicativos confidenciais. Um usuário não precisa se reconectar depois de caminhar até a cozinha para servir uma xícara de café, mas, ao mesmo tempo, você não pode confiar na segurança de uma sessão que dura o dia todo.

3. Limite o acesso ao programa/ arquivo apenas às áreas absolutamente necessárias para esse colaborador.

4.Reserve o direito de encerrar o acesso dos colaboradores a qualquer momento.

5. Fornecimento de serviços para armazenamento remoto de arquivos e outras tarefas; não confie nas pessoas para usar seus programas e contas pessoais.

7 - Segurança e trabalho remoto: estatísticas e cenários

Neste ponto, apresentarei e examinarei alguns dados e cenários atuais, incluindo as principais ameaças enfrentadas por trabalhadores e organizações que adotam o trabalho remoto.

7.1 - Riscos de segurança gerados às organizações pelos trabalhadores remotos

Pesquisas focadas na segurança de trabalhadores remotos (home office) indicam que as organizações estão cientes dos riscos, mas têm problemas para aplicar políticas e procedimentos de segurança viáveis. Tanto as organizações quanto os trabalhadores remotos sugerem que a complexidade dos softwares utilizados complica a segurança e podem até ser uma barreira ao trabalho remoto produtivo.

Explicarei isso abaixo, mas alguns dos principais riscos de segurança que os trabalhadores remotos representam para as organizações são:

  1. Incapacidade de impor segurança
  2. Falta de comprometimento com as melhores práticas de segurança
  3. Comportamento arriscado por parte dos trabalhadores remotos

Apresentarei alguns dos números e fatos relacionados a estas questões mencionadas.

7.1.1 - Incapacidade de impor segurança ao trabalho remoto

Com base em uma pesquisa da Apricorn de 2018, 95% das empresas do Reino Unido ainda estavam lutando para se adaptarem na relação segurança/ trabalho remoto. Algumas das principais conclusões foram:

7.1.2 - Falta de comprometimento dos colaboradores com as melhores práticas de segurança

Uma pesquisa de 2018 da  Imation Corp com 1.000 trabalhadores remotos no Reino Unido e na Alemanha descobriu que a grande maioria não estava preocupada em perder dados comerciais confidenciais. Aqui está o que foi descoberto:

7.1.3 - Segurança e trabalho remoto: comportamento de risco dos colaboradores

Uma pesquisa da Cisco de 2008 , conduzida pela InsightExpress , empresa de pesquisa de mercado com sede nos EUA, descobriu que trabalhadores remotos (55% dos entrevistados) eram mais negligentes em relação à segurança e menos vigilantes na prática de comportamento on-line seguro por acreditar que a Internet estava se tornando mais segura. Além disso, 56% dos empregadores estavam preocupados com isso. Alguns comportamentos de risco que os trabalhadores remotos admitiram incluir:

8 - Riscos de segurança para trabalhadores remotos

Descrição detalhada de como os trabalhadores remotos preocupados com a segurança em todo o mundo se dizem, apesar dos riscos à segurança que enfrentam (Fonte: Cisco)

Os trabalhadores remotos geralmente não têm o mesmo suporte ou infraestrutura que os funcionários que trabalham na empresa desfrutam. Os detalhes serão especificados abaixo, mas alguns dos principais riscos de segurança para trabalhadores remotos são:

1. Vulnerabilidades online

2. Utilização de novas ferramentas

3. Vulnerabilidade de dados pessoais

4. Redes sociais e de negócios

Vamos analisar cada uma dessas questões em detalhes.

8.1 - Vulnerabilidades online

O principal risco para os trabalhadores é a vulnerabilidade de seus dados ao compartilhá-los online. Em um escritório convencional, os funcionários se comunicam em reuniões no local e fazem brainstorm no bebedouro, enquanto no mundo home office, a maioria dos contatos entre funcionários e trabalhadores é online.

Trabalhar através de wi-fi público expõe dados a espiões cibernéticos oportunistas que podem espionar dados transferidos e roubar logins e senhas particulares, entre outras coisas.

8.2 - Utilização de novas ferramentas

Os funcionários remotos usam uma variedade de software e hardware que geralmente é diferente do equipamento padronizado nas empresas em que trabalham. Isso significa que não há políticas e procedimentos definidos para proteger o equipamento de qualquer uma das partes. Isso também significa que os trabalhadores geralmente precisam usar ferramentas com as quais não estão familiarizados, diminuindo sua produtividade.

8.3 - Vulnerabilidade de dados pessoais

As pessoas que trabalham remotamente geralmente usam o mesmo software e hardware para gerenciar suas vidas pessoais e profissionais. A perda de um laptop, por exemplo, pode resultar na perda de informações confidenciais para vários clientes e para o trabalhador remoto.

Além disso, as organizações podem achar difícil confiar que os funcionários remotos estejam mantendo o software atualizado. Embora a empresa possa implementar ajustes e atualizações remotamente, o trabalhador remoto pode sentir que sua privacidade e independência estão sendo ameaçadas.

8.4 - Redes sociais e de negócios

A segurança dos trabalhadores remotos pode ser facilmente comprometida nas mídias sociais. Quando um trabalhador remoto compartilha seu status de trabalho e detalhes sobre seus projetos, está pronto para ser alvo de hackers que assumem que seus computadores pessoais são mais facilmente violados do que os de uma organização.

9 - Segurança e trabalho remoto - como gerenciar riscos

A conscientização é o primeiro passo no gerenciamento de segurança para trabalhadores remotos. No entanto, abaixo estão algumas dicas e sugestões de práticas recomendadas.

9.1 - Segurança para trabalhadores remotos

As etapas que os trabalhadores remotos podem executar incluem o seguinte:

9.2 - Segurança para organizações que possuem trabalhadores remotos

Do ponto de vista organizacional, também existem muitas práticas recomendadas para segurança e trabalho remoto:

10 - Práticas recomendadas de segurança para o computador do trabalho home office

Não precisa custar muito para se ter um trabalho home office com segurança. De fato, é possível configurar um computador e outros dispositivos, como Fort Knox, pelo custo de alguns downloads ou pelo preço de uma refeição para viagem. Aqui estão algumas dicas:

11 - O que o futuro reserva para a segurança do trabalhador remoto?

Em uma análise geral, há boas notícias, dependendo de como você as vê: um relatório da Online Trust Alliance - o “ Relatório sobre tendências de incidentes cibernéticos e violações” - descobriu que 93% das violações de segurança em 2017 poderiam ter sido evitadas.

Quando se trata de trabalhadores remotos, uma das principais coisas que precisa ser feita é criar políticas e procedimentos que abranjam explicitamente a segurança dos trabalhadores remotos e daqueles que trazem seus próprios dispositivos para o trabalho.

Um fator importante é que as políticas precisam ser adaptáveis. Um documento oficial do Trust Wave, Mantenha a calma e traga seu próprio dispositivo , alerta que resolver o problema de segurança móvel com os mesmos processos usados para laptops e PCs não funcionará para BYODs. 

A tecnologia permite que os colaboradores em geral trabalhem em casa de alguma forma. Alguns podem verificar os e-mails de trabalho em seus telefones após o expediente, realizar algumas horas de trabalho no fim de semana ou compartilhar um documento com um colega que está de férias.

A chave para gerenciar a segurança de colaboradores remotos é instituir medidas de segurança aplicáveis no momento, mesmo que custe um pouco de dinheiro antecipadamente, afinal, os criminosos cibernéticos dificilmente irão desistir e um vazamento de dado a partir da criação da LGPD pode significar um grande prejuízo reputacional e financeiro para uma organização.

A verdade é que sou um grande entusiasta do trabalho remoto (home office) e da liberdade por ele gerado, porém, é necessário um conjunto protetivo composto por cultura e tecnologia para que esta liberdade não gere prejuízos significativos tantos para as organizações quanto para as pessoas envolvidas nessa prática.

 _______________

*Marcílio Guedes Drummond é sócio do escritório Marcelo Tostes Advogados
  marcilioguedesdrummond  @marciliogd / @advogadodestartups e  Advogadodestartups.

 

 

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

A relação da segurança da informação e perícia em informática com lei geral de proteção de dados (LGPD)

21/10/2019
Migalhas Quentes

Home office deve manter condições de segurança da CIPA, diz advogada

9/1/2018

Artigos Mais Lidos

Cobrança do IR do doador em adiantamento da herança?

13/11/2024

A PEC da ilusão

13/11/2024

Diferenças entre LTDA X SA e ao anteprojeto de reforma do CC

13/11/2024

A recente decisão do STJ e o direito dos lojistas de shopping center em propor isoladamente a ação de exigir contas dos encargos locatícios

13/11/2024

Análise das modalidades de aumento do capital social: Conceitos e aplicações

14/11/2024