Cibersegurança Checklist: Usuários de Internet

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos. 

Público alvo

Qualquer pessoa conectada à Internet se beneficiará da quase totalidade deste checklist, ainda que tenha sido desenvolvido com foco em profissionais de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

 Autenticação de usuários: Logins e Senhas

– Utilizar um Gerador de Senhas e um Gerenciador de Senhas, que gera senhas aleatórias e seguras, armazena todos os seus dados de login e senha e os preenche automaticamente nos diversos websites, liberando o usuário de ter que decorar suas senhas (Saiba mais em FAQ do Usuário de Internet, Questões 6 e 7). Recomendamos o LastPass, que tem excelente versão gratuita e possui ambos (gerador e gerenciador de senhas). Outra opção de grande aceitação no mercado é o 1Password.

– Não utilizar logins repetidos (como e-mails) ou padrão (como “admin”), especialmente para a conta de administrador de websites e sistemas. Para usuários de Gerenciadores de Senha, que têm seus dados preenchidos automaticamente pelo software, adote como login uma outra senha diferente para cada conta que possuir (sistemas, redes sociais, comércios eletrônicos, serviços, etc.). Exemplo:

Usuário de login: %ZDSh95SDPR*T4BY@EkC
Senha: tzNbuH4zM8LW#a4Azk#!

– Não utilizar sempre o mesmo e-mail em todos os cadastros, sendo aconselhável adotar um e-mail separado para cadastros profissionais e outro para cadastros pessoais, em geral mais arriscados que os profissionais.

– Não utilizar senhas óbvias, como palavras conhecidas, sequências (letras, números, etc.), o seu login ou e-mail, variações do seu nome, empresa, GLAM, assunto do website, gostos e preferências, datas especiais, etc.

– Selecionar senhas fortes, preferencialmente geradas randomicamente por Geradores de Senha (Recomendamos o LastPass, vide questão 6 do FAQ do Usuário de Internet), contendo mais de 12 caracteres, maiúsculas, minúsculas, caracteres especiais e números espalhados ao longo da senha, não agrupados no começo ou no fim.

– Se não puder criar uma senha complexa, porque necessita decorá-la, escolha uma senha composta por cinco palavras totalmente desconexas (uma “senha frase”). Uma “passphrase” é melhor do que uma senha insegura (Vide FAQ do Usuário de Internet, Questão 8, para aprender a criar senhas memorizáveis seguras).

– Selecionar senhas que sejam tecladas com ambas as mãos, dificultando a sua obtenção por observação externa (shoulder surfing).

– Nunca repetir uma senha ou variações similares dela. Em caso de hackeamento, o invasor terá acesso a vários dos seus serviços de uma só vez.

– Nunca reaproveitar senhas antigas.

– Nunca compartilhar uma conta: cada usuário deve ter seu login e senha.

– Nunca permitir que programas armazenem suas senhas na memória (limpar Histórico do navegador para deletar as eventualmente já salvas). Desmarque a opção de sugerir salvar senhas no navegador da Internet, dentre outros softwares. Substitua esta prática pela utilização de um Gerenciador de Senhas, como mencionado acima, que preenche login e senha automaticamente. (Vide FAQ do Usuário de Internet, Questão 7)

– Sempre que possível, ocultar a senha ao digitar (selecionar a opção em que a senha aparece na forma de bolinhas ou asteriscos, não visível na tela). Caso digite a senha em algum campo visível, por engano, alterar a senha logo em seguida.

– Modificar a senha a cada seis meses ou em caso de alguma suspeita de vazamento, substituindo a senha antiga por uma outra senha forte original. (Vide FAQ do Usuário de Internet, Questão 9)

– Utilizar autenticação de dois fatores (2FA), sempre que disponível. (Vide FAQ do Usuário de Internet, Questão 10)

– Não configurar o sistema da GLAM para que envie senhas temporárias aos usuários por e-mail e procedimentos similares. Caso seja necessário criar uma senha temporária (por exemplo: o usuário perdeu a senha anterior), o procedimento deve ser feito pelo Administrador e o usuário, imediatamente em seguida, deve trocar a senha temporária para uma senha forte original.

– Sempre sair das contas (logout) ao terminar de utilizar um website, sistema ou serviço on-line. Não permanecer logado sem necessidade.

Segurança dos dispositivos: computadores, laptops e tablets

– Não acessar e-mails, redes sociais da GLAM, painel de controle do WordPress, gerenciador de coleções, dentre outros sistemas relevantes, em dispositivos públicos ou desconhecidos.

– Proteger os dispositivos com senha forte de acesso.

– Sempre utilizar programas originais, baixados dos websites oficiais. Nunca instalar “piratas”.

– Instalar potente antivírus, malware/spyware e firewall. Recomendamos McAfee.

– Manter todos os programas e aplicativos atualizados, em especial sistema operacional, antivírus e navegador.

– Deletar todos os softwares e aplicativos que não estejam sendo utilizados, permanecendo somente com o essencial, usado com frequência.

– Deletar versões antigas de softwares que permitem instalações duplicadas, ficando somente com a mais recente.

– Trocar os dispositivos sempre que os mesmos não ofereçam condições de comportar versões mais atualizadas do sistema operacional e demais softwares.

– Acionar atualizações e varreduras automáticas do seu antivírus e demais softwares essenciais.

– Realizar inspeções com regularidade nos equipamentos, pelo menos uma vez por ano.

– Instalar filtros de privacidade nas telas dos equipamentos (como 3M Privacy Filters), que dificultam a visualização da tela por quem está ao lado, prevenindo roubo de dados e senhas por observação (shoulder surfing).

– Cobrir entradas de USB e câmeras com fita adesiva, quando não estiverem sendo utilizadas, impedindo que invasores tenham fácil acesso presencial ou remoto ao dispositivo. Sugestão para cobrir câmeras: post it tipo “flags”.

– Esvaziar a lixeira do computador e demais dispositivos sempre que deletar itens, excluindo-os de forma permanente.

– Acompanhar presencialmente os serviços de manutenção nos equipamentos, sempre que possível. No caso de computadores desktop, solicitar manutenção na residência ou instituição, contratando empresa e/ou profissional de confiança.

Segurança nos Celulares

– Proteger o celular e os principais aplicativos com senhas diferentes (6 dígitos com caracteres variados) ou dados biométricos. Evitar datas e números óbvios.

– Ativar bloqueio automático após 2 minutos sem uso do dispositivo. Evitar deixá-lo sem supervisão nos ambientes de trabalho.

– Desativar Bluetooth e Wi-fi quando não estiver utilizando, especialmente em ambientes públicos.

– Encriptar o conteúdo dos celulares, bem como de seus backups na nuvem, de modo com que seus dados não possam ser extraídos sem a senha de criptografia, que deve ser uma senha única e forte. Isto é especialmente importante caso o dispositivo seja furtado.

–  Apesar de nenhuma empresa no mercado ser plenamente confiável e verdadeiramente respeitosa com nossos dados, iPhones são considerados pelos especialistas mais seguros do que equipamentos com Android. Dê preferência a equipamentos Apple se puder. (Vide FAQ do Usuário de Internet, Questão 11)

– Manter o sistema operacional e os aplicativos dos celulares sempre atualizados. Instalar um antivírus, no caso de celulares com Android.

– Baixar somente os aplicativos indispensáveis, sempre das lojas oficiais (Apple Store, Google Play, etc.) ou fontes extremamente confiáveis. Acompanhar se estes não mudaram de dono, passando para mãos de proprietários mal intencionados que adquirem softwares, plugins e apps de sucesso no mercado para fins ilícitos, alterando-os após a compra.

– Conceder permissões aos aplicativos somente quando imprescindível, como acesso às fotos, microfone e localização. Selecionar, ainda, a opção “somente quando o aplicativo estiver em uso”, sempre que disponível.

– Desabilitar geotagging (marcação geográfica) das fotos e vídeos do celular e/ou remover estes metadados das imagens antes de publicá-las na Internet. Somente publique localizações em redes sociais quando não estiver mais no local.

– Utilizar aplicativos de mensagens criptografados, como Signal (primeira opção), Telegram ou iMessage do iPhone (Vide FAQ do Usuário de Internet, Questão 12).

– Ficar atento aos fóruns e grupos nos quais é incluído nas redes sociais e nos aplicativos de mensagem, bem como ao que compartilha nestes ambientes. (Vide FAQ do Usuário de Internet, Questão 13)

– Para assuntos sensíveis, priorizar reuniões presenciais. Reuniões virtuais podem ser gravadas pelos participantes ou mesmo interceptadas por crackers, como ocorrido com o app Zoom (GAGLIONI, 2020; PAUL, 2020). Recomendamos Skype.

– Ambientes físicos também são facilmente grampeáveis, portanto, escolha um local não óbvio para conversar os assuntos mais importantes. Tenha em mente que hoje em dia é muito fácil para qualquer um gravar uma reunião, portanto, leve o fato em consideração.

– Se não for possível uma reunião presencial, telefonar ou utilizar chats criptografados privados com tempo de autodestruição, que não salvam as mensagens na nuvem (somente no dispositivo) e as destroem após um período determinado. Evite vídeos e áudios, dê preferência para texto.

– Desativar as notificações de mensagens em telas bloqueadas, que podem ser utilizadas para obter senhas de autenticação de dois fatores, dentre outros dados que aparecem na tela para qualquer um acessar mesmo com o celular bloqueado.

– Familiarizar-se com recursos de busca e bloqueio dos celulares, para agir imediatamente em casos de perda ou roubo.

– Possuir dois equipamentos celulares (e não dois chips no mesmo equipamento), sendo um deles para uso amplo profissional e outro com número pouco divulgado, de acesso restrito. Esta recomendação é especialmente importante para diretores de GLAM. A instituição deveria custear para o diretor um celular profissional. Instalar os aplicativos mais sensíveis e importantes no celular mais restrito. (Vide FAQ do Usuário de Internet, Questão 14)

– Ao adquirir um celular usado ou desfazer-se do seu equipamento atual, deletar todo o conteúdo e restaurar as configurações de fábrica.

Segurança no Trabalho

–  Sair das contas ou bloquear o acesso ao computador sempre que deixar a mesa de trabalho, mesmo que por alguns minutos, especialmente em escritórios coletivos.

– Não aceitar ajuda de estranhos: suporte, fabricantes, terceirizados ou funcionários desconhecidos, tentando realizar ações (como instalações) que não foram previamente agendadas pela instituição.

– Se receber telefonema de alguma empresa ou parceiro fazendo solicitações, retornar a ligação e telefonar para o número que tem costume de se comunicar com eles.

– Ficar próximo da impressora aguardando o serviço, especialmente equipamentos de uso coletivo ou manuseado por terceiros, principalmente quando se tratar de material sigiloso ou importante (por exemplo: planos e cronogramas de transporte de obras de arte de um museu para outro). Configurar a liberação da cópia mediante senha, se disponível.

– Nunca conversar assuntos sensíveis ou sigilosos no café do museu ou locais próximos da instituição, onde é comum encontrar a equipe almoçando e lanchando. Engenheiros sociais (golpistas) procuram estes lugares para ouvir conversas e coletar informações sigilosas.

– Não descartar documentos e papéis contendo informações importantes (como senhas antigas) no lixo da instituição, mas fazê-lo em outro local, promovendo antes a sua completa destruição, evitando coletas indevidas (dumpster diving). Caso não possua um equipamento fragmentador tipo “confete”, descarte os pedaços em lixos de locais diferentes.

– Não descartar DVDs, CDs e computadores antigos sem antes destruir/deletar conteúdo. Destrua completamente a mídia e a descarte nos lixos apropriados para dispensa de equipamentos eletrônicos.

Segurança nas Redes Sociais

– Supervisionar detalhes internos divulgados pela equipe de comunicação da instituição nas redes sociais, como montagens de exposições, restauro de obras, etc. (Vide FAQ do Usuário de Internet, Questão 15)

– Ficar atento com “brincadeiras” nas redes sociais, especialmente desafios diversos (cite o nome dos seus animais de estimação, colégio que estudou, etc.), pois podem ser utilizados posteriormente para confirmar dados ou tentar adivinhar senhas. Além disto, estes dados vão compor o dossiê que as empresas possuem a seu respeito. Não vale a pena conceder o e-mail para spammers em troca de uma brincadeira.

– Rever configurações de privacidade nas redes sociais, bem como formar listas de contatos separadas para cada tipo de postagem. No Facebook, por exemplo, é possível classificar os amigos adicionados (melhores amigos, conhecidos, pessoas do trabalho, profissionais de museu, etc.) e postar somente para aquele grupo específico pré-configurado. Também é possível mudar a privacidade de todas as publicações antigas de uma só vez, alterando-a para “somente amigos”.

Segurança na comunicação por E-mails

– Utilizar provedores de e-mails que não escaneiam as mensagens, armazenam dados e encaminham propagandas personalizadas (como o Gmail). Recomendamos configurar em sua empresa de hospedagem de confiança e-mails institucionais utilizando o domínio da GLAM (seunome@nomedomuseu.org).

– Desconfiar caso receba e-mails direcionados à você sobre assuntos que desconhece, respostas para solicitações que não fez, dentre outras correspondências estranhas envolvendo o seu nome: sua identidade pode ter sido furtada (identity theft) ou seu e-mail pode ter sido falsificado (e-mail spoofing).

– Fornecer somente dados imprescindíveis à terceiros. Não fornecer e-mail, celular, CPF ou outros dados sensíveis para lojas, websites, etc. a menos que tenha plena confiança no serviço e na política de privacidade da empresa. Se não deseja receber mensagens ou e-mails de determinado website ou empresa, não faz sentido fornecer estes dados.

– Ativar filtros de spam em e-mails e comentários de website.

– Não acessar nenhum website via link de e-mails, optando por digitar o endereço no navegador quando precisar acessar um link. Links falsos podem revelar a sua localização exata, instalar vírus ou levar à sites “clonados” que parecem originais, mas não são (e-mails phishing).

– Configurar o e-mail para pedir autorização antes de executar qualquer ação: baixar imagens, abrir anexos, liberar Java e JavaScript, etc. 

– Desativar modo de visualização em HTML: não utilizar o programa de e-mails como navegador Web.

– Não responder e-mails de spam, pois isto gera uma confirmação para o spammer de que o e-mail é válido. Caso não tenha feito o cadastro ou desconheça a empresa que encaminhou o spam, deletar o e-mail e bloquear o endereço.

– No caso de empresas sérias no qual tenha feito cadastro prévio, mas deseje interromper o recebimento de e-mails, solicitar o descadastro via link (em geral no rodapé do e-mail). Selecionar com atenção os cadastros e newsletters, por questões de segurança e economia de tempo. Dedicar um e-mail específico para este tipo de correspondência eletrônica, se forem muitas.

– Evitar responder e-mails para todos, quando não for imprescindível, bem como ocultar e-mails ao encaminhar mensagens coletivas. Proteger o e-mail dos demais, que devem retribuir a gentileza.

– Ocultar e-mails em redes sociais nas configurações e disponibilizar um e-mail público institucional diferente do e-mail que utiliza no dia-a-dia.

–  Não depender somente do Gerenciador de Senhas para acessar a senha do e-mail principal de cadastro profissional, pois em uma emergência (exemplo: esquecimento da senha-mestre do seu software gerenciador), este e-mail será necessário para reconfigurar novas senhas nos diversos serviços.

– Anotar em um papel suas senhas principais (senha-mestre do gerenciador de senhas, e-mails principais de cadastro, etc.) e guardá-las em local super seguro e escondido em sua residência.

Segurança ao navegar na Internet

– Utilizar Internet Wi-fi de fonte confiável, não logar em qualquer Wi-fi gratuito disponível na rede. Trocar a senha padrão do roteador por uma senha original e segura.

– Utilizar navegadores que não coletam seus dados e exibem anúncios não solicitados. Recomendamos Brave, FireFox e Safari. Para maior anonimato e comunicação sigilosa, utilizar Tor (pode deixar a navegação mais lenta).

– Utilizar DuckDuckGo, um mecanismo de busca que não armazena seu histórico de navegação e permite maior customização das permissões. Justamente por não coletar seus dados, dentre outras questões, o mecanismo pode não ser tão “eficiente” quanto o Google, mas para a grande maioria das buscas comuns diárias ele atende perfeitamente ao propósito.

– Bloqueie anúncios e rastreadores ao navegar nos websites, por exemplo, com a extensão Ghostery.

– Checar se o website no qual se está logado possui a URL correta (endereço do site, domínio). Sites maliciosos trocam uma ou outra letra da URL e possuem aparência legítima (clones do website original).

– Digitar a URL (endereços) de websites importantes, como banco, comércios eletrônicos, serviços de e-mails, etc. não acessando estes websites por links ou por resultados de busca em mecanismos como Google.

– Caso estranhe alguma coisa em qualquer website no qual esteja navegando, interromper a navegação imediatamente e telefonar para o setor de TI da empresa/instituição, mesmo que a URL esteja correta. Alguns hackeamentos consistem no sequestro do DNS (domínio, endereço) do website ou redirecionamentos (pharming). De posse do endereço legítimo ou de um redirecionamento, o invasor disponibiliza no lugar um website “clone”, na tentativa de capturar dados dos usuários (login, senha, conta bancária, etc.).

– Checar se o website possui conexão encriptada antes de fornecer dados relevantes (como cartão de créditos, dados pessoais, etc.), observando, por exemplo, se aparece um cadeadinho ao lado da URL no navegador. (Vide FAQ do Usuário de Internet, Questão 16, para outras formas de se detectar a criptografia em websites)

Quer avançar mais? Leia:

Internet Segura – Cert.br
National Cyber Security Centre
Relatório e Ranking de Tecnologias da Anistia Internacional
Checklist de Segurança (Clique neste link para ler a fonte original em inglês)

Tem recursos? Contrate:

LastPass Premium (Vide FAQ do Usuário de Internet, Questões 6, 7 e 8)
Dispositivos Apple (Vide FAQ do Usuário de Internet, Questão 11)
McAfee

Referências deste checklist

Referências do projeto Recursos Web para GLAM: Etapa Cibersegurança

Versões

Versão inicial de autoria de Ana Cecília Rocha Veiga.