Slack é seguro? Como se manter seguro colaborando

Slack chat su mobile
Clique aqui para um resumo deste artigo
O Slack é seguro? Um resumo rápido

Milhões de usuários trocam mensagens e arquivos no Slack todos os anos. Empresas de todos os tamanhos confiam nele para facilitar a colaboração entre colegas, clientes e fornecedores.

O próprio Slack incorpora muitas medidas de segurança de nível empresarial para garantir um ambiente seguro, incluindo certificações de segurança ISO e SOC, certificações de conformidade HIPAA e FINRA e um programa robusto de gerenciamento de dados GDPR.

Os usuários no nível corporativo e individual podem fazer várias coisas para garantir ainda mais a segurança dos dados que enviam no Slack:

  1. Evite compartilhar informações confidenciais, como senhas e práticas comerciais confidenciais.
  2. Use a autenticação de dois fatores (2FA).
  3. Desenvolva protocolos sólidos de integração e desligamento de funcionários.
  4. Treine os funcionários sobre as melhores práticas do Slack.
  5. Use canais para gerenciar o acesso de usuários externos.
  6. Tenha cuidado com as integrações de aplicativos de terceiros.
  7. Aprenda a reconhecer tentativas de phishing.
  8. Instale um bom programa antivírus.

Leia nosso artigo completo abaixo para saber mais sobre a segurança do Slack.

Mais de 8 milhões de pessoas trocam mensagens, arquivos e imagens no Slack todos os dias. Especialmente as empresas de pequeno e médio porte adotaram o Slack desde sua estreia em 2014, principalmente devido à sua facilidade de implementação e uso.

Não são apenas as pequenas empresas que amam o Slack. Quando a IBM selecionou o Slack como a ferramenta oficial de mensagens instantâneas e colaboração para seus mais de 350.000 funcionários, a mudança foi amplamente vista como uma grande vitória na guerra entre Slack e Microsoft Teams.

Mas até que ponto o Slack é realmente seguro? E o que você pode fazer para garantir que as informações enviadas sejam seguras e permaneçam privadas? Seja você um empregador ou funcionário, contaremos tudo o que você precisa saber sobre o Slack e sua segurança.

As preocupações de segurança e privacidade do Slack

A privacidade online e a segurança dos dados enviados pela plataforma são preocupações legítimas, independentemente de você estar usando o Slack para computador ou o aplicativo Slack em um dispositivo móvel. Felizmente, o Slack tem alguns sistemas e políticas decentes para manter seus dados privados seguros.

Como o Slack gerencia os dados

slack logo

O Slack não desleixa quando se trata de proteger dados. A empresa usa segurança de nível empresarial para atender aos requisitos globais de conformidade e proteger as informações do Slack.

A empresa obteve uma série de certificações relacionadas à segurança, incluindo ISO/IEC 27001, 27017, 27018 e 27701, SOC 2, SOC3, APEC for Processors e APEC for Controllers. Além disso, o Slack é compatível com HIPAA e FINRA. A empresa também implementou um programa de conformidade GDRP.

O Slack criptografa dados em repouso e em trânsito. Ele também oferece outros recursos de segurança para proteger dados confidenciais, como autenticação de dois fatores, limites de duração de sessão e gerenciamento de sessão. No entanto, ele não usa criptografia de ponta a ponta, pois eles desejam dar aos administradores a capacidade de acessar a comunicação para fins comerciais.

Como Slack gerencia ameaças de segurança

Além das robustas medidas de segurança do Slack mencionadas acima, a empresa combate a ameaça de cibercriminosos por meio de seu programa de recompensas de bugs do Slack. Isso significa que qualquer pessoa pode relatar vulnerabilidades encontradas no Slack e receber uma recompensa por isso. O Slack pode trabalhar para corrigir os pontos fracos e fortalecer o software. O programa de recompensas por bugs incentiva a identificação de falhas de segurança do Slack antes de serem exploradas.

Muitas vulnerabilidades importantes foram identificadas por meio do programa de recompensas, e o Slack as corrigiu antes de serem exploradas. Desde o início do programa, o Slack concedeu mais de US$ 900.000 a pesquisadores de segurança que identificaram possíveis vulnerabilidades na plataforma Slack.

Como Slack lida com as demandas do governo

Justice lady with legal scale and sword icon

A política de privacidade do Slack afirma que eles não divulgam voluntariamente informações aos governos. No entanto, eles atenderão às solicitações decorrentes de um processo legal válido. Isso significa que a empresa armazena informações e as divulgará se obrigada por lei.

Mas quem ou o que está incluído em um processo legal válido? A frase se refere a qualquer pessoa envolvida em litígios, o que inclui qualquer um de seus concorrentes que processam você ou sua empresa. Eles podem pedir ao tribunal que obrigue o Slack a entregar as informações contidas em seus canais do Slack. Isso pode incluir informações críticas que você não deseja que seu concorrente tenha. Este cenário de pesadelo é muito improvável de acontecer, mas não totalmente impossível.

Em geral, a ideia de que a comunicação interna do seu negócio pode ser lida por outras pessoas não é boa, mesmo que seja necessária em alguns casos. Todo ano, o Slack emite um relatório de transparência que resume todas as divulgações relacionadas a solicitações válidas de processos judiciais. Embora o número de divulgações seja pequeno, dados confidenciais foram compartilhados.

Seus bate-papos do Slack são privados?

Do ponto de vista do funcionário, você pode estar menos preocupado com a vulnerabilidade dos dados confidenciais da sua empresa e mais preocupado com a privacidade de suas informações pessoais no Slack.

Tal como acontece com a maioria das ferramentas corporativas, comece com a suposição de que tudo o que você faz é salvo e revisto pelo seu chefe, pelo chefe dele ou pelo departamento de RH. O Slack não está isento dessa suposição.

No entanto, você pode verificar facilmente como e quais informações sua organização salva. Veja como:

  1. Na área de trabalho do Slack, acesse seu perfil e clique em Mais > Configurações da conta. Você é redirecionado para uma página do Slack.
  2. Clique em Sobre este espaço de trabalho no lado esquerdo da tela (talvez seja necessário abrir o “Menu” primeiro).
  3. Clique em Retenções e exportações.
  4. Em Quais dados meus administradores podem acessar? é uma descrição das informações que podem ser recuperadas.
  5. Você pode acessar o link Saiba mais para ver todas as opções disponíveis para salvar e recuperar dados.

Screenshot of the 'What data can my admins access?' page on the Slack website

A diferença entre canais públicos, canais privados e mensagens diretas é especialmente importante aqui. Os administradores podem exportar dados apenas dos canais públicos abertos, enquanto seus DMs e os canais privados bloqueados não podem ser compartilhados fora dos participantes dessas conversas. Mesmo assim, lembre-se de que é sempre fácil fazer capturas de tela, mesmo de mensagens privadas.

Como regra geral, é uma boa prática evitar enviar qualquer coisa por escrito que você não gostaria de tornar público. É sempre melhor guardar os comentários sarcásticos sobre seu chefe ou reclamações sobre um cliente para o happy hour depois do trabalho no pub local.

Como se manter seguro no Slack

Mesmo com as medidas de segurança utilizadas, o Slack ainda é um serviço baseado em nuvem. Como tal, é vulnerável a determinados cibercriminosos. Aqui estão oito maneiras de maximizar sua segurança e mitigar suas preocupações com a privacidade do Slack.

1. Não compartilhe informações confidenciais

Nunca divulgue senhas ou outras informações sensíveis ou confidenciais no Slack. Isso inclui o envio de arquivos que contenham informações privadas da empresa ou do cliente.

Se você precisar fornecer informações de senha a um colega, use um aplicativo de gerenciamento de senhas. O 1Password oferece uma opção útil para as equipes compartilharem senhas em toda a empresa. Outras informações confidenciais e sensíveis devem ser enviadas por meio de canais internos mais seguros que não sejam facilmente descobertos por hackers ou como vítima de uma ordem judicial.

2. Utilize autenticação de dois fatores

É sempre uma boa ideia usar a autenticação de dois fatores (2FA) para login. Ao usar o 2FA, você pode fazer login no Slack usando sua senha e um código de verificação recebido em seu telefone. Essa autenticação multifator dificulta muito o acesso ao Slack apenas com credenciais de login.

Você pode configurar a 2FA no Slack por meio de um app de autenticação ou mensagem de texto SMS seguindo estas etapas:

  1. Vá para o seu perfil, clique em “Mais” e vá para “Configurações da conta“.
  2. Clique em “Expandir” ao lado de “Autenticação de dois fatores” e escolha “Configurar autenticação de dois fatores”.
  3. Digite sua senha e clique em “Confirmar senha“.
  4. Escolha “Usar um aplicativo” ou “Mensagem de texto SMS“, dependendo do seu método preferido.
  5. Siga as instruções para conectar seu aplicativo (por meio de um código QR) ou número de telefone.
  6. Digite o código recebido por mensagem de texto ou pelo aplicativo e pressione “Verificar código“. Agora você pode fazer login usando 2FA.

Lembre-se de que este é o processo para configurar a verificação em duas etapas apenas em uma conta de usuário. Se você quiser fazer isso em toda a sua empresa, certifique-se de que todos os seus funcionários ativem essa opção.

Para empresas que já usam um protocolo de logon único, o 2FA também pode ser usado para segurança adicional.

3. Configure um sistema para gerenciar a integração e desligamento de funcionários

Slack-picture-homepage

Para empregadores maiores, um dos maiores desafios é acompanhar quais funcionários têm acesso ao Slack. Para evitar o acesso indesejado de funcionários que não estão mais na empresa e garantir que os novos funcionários tenham acesso oportuno aos dados, é importante ter um processo documentado para acesso ao Slack.

Certifique-se de que alguém em sua organização seja responsável por conceder e negar acesso ao Slack no momento em que houver uma mudança na força de trabalho.

Ao manter o acesso correto e atualizado ao Slack, os empregadores evitam o risco de que ex-funcionários acessem e usem o Slack de maneira inadequada.

4. Treine os usuários nas práticas recomendadas do Slack

As empresas que usam o Slack para colaboração devem dedicar algum tempo para garantir que todos os funcionários entendam as políticas de uso do Slack da empresa. Uma maneira de simplificar esse processo é aplicar suas políticas corporativas de segurança de e-mail ao Slack.

No entanto, é preciso mais do que apenas escrever a política em algum lugar. As empresas devem incluir o treinamento do Slack no processo de integração dos funcionários. Eles também devem oferecer cursos de atualização periodicamente para garantir que as informações permaneçam em mente.

5. Use canais para gerenciar o acesso de usuários externos

Se você estiver colaborando com clientes ou fornecedores no Slack, limite o acesso amplo às informações da empresa criando canais. Você pode usar o Slack Connect para convidá-los e controlar as informações que eles podem acessar.

Certifique-se de saber exatamente a quais canais privados e públicos as pessoas de fora têm acesso. Exclua o canal quando o projeto estiver concluído e o acesso externo desaparecerá.

6. Tenha cuidado com as integrações de aplicativos de terceiros

O Slack oferece vários aplicativos para integração, incluindo Google Drive e Dropbox. Com esta conveniência vem um risco adicional. Com cada aplicativo de terceiros conectado ao Slack, o potencial de vulnerabilidade aumenta. O Slack é tão seguro quanto a segurança de seu aplicativo vinculado mais fraco.

Embora as integrações mais populares sejam geralmente seguras, é aconselhável manter essas conexões no mínimo. Os administradores devem ser os únicos a aprovar essas integrações. Isso elimina a possibilidade de os funcionários adicionarem aplicativos de terceiros arriscados por conta própria.

7. Cuidado com tentativas de phishing

Assim como o e-mail, o Slack não é imune a ataques de phishing. Em 2017, hackers enviaram mensagens falsas do Slackbot para um grupo de entusiastas de criptomoedas no Slack. Essas mensagens os direcionavam para um site falso solicitando informações financeiras. As mensagens diretas do Slack também são um método de phishing favorito para alcançar usuários incautos do Slack.

A maioria das pessoas sabe reconhecer tentativas de phishing que chegam em sua caixa de entrada de e-mail, mas mensagens diretas perigosas que recebem em tecnologias mais recentes, como o Slack, as deixam menos suspeitas. Os hackers capitalizam esse limite inferior de suspeita para enganar usuários desavisados a divulgar informações confidenciais. Estar ciente dos truques frequentemente usados em phishing já pode diminuir o risco aqui.

8. Use um bom programa antivírus

Sempre que você estiver online, existe o risco de malware infectar seu dispositivo. Este também é o caso do Slack. É muito fácil clicar acidentalmente em um link incompleto ou que um funcionário abra um anexo duvidoso. Quando isso acontece, há uma grande chance de que o conteúdo mal-intencionado acabe em um computador individual ou em um servidor de toda a organização. A proteção antivírus sólida identifica essas ameaças rapidamente e age para erradicá-las antes que criem problemas maiores.

Para saber mais sobre como um programa antivírus pode ajudar você a ficar mais seguro on-line e encontrar um que funcione para você, confira nossas recomendações sobre o melhor software antivírus de 2021.

Considerações finais

O Slack é uma ferramenta extremamente popular para comunicação e colaboração instantâneas. No entanto, os benefícios do Slack também vêm com riscos de segurança.

Para empresas e indivíduos que usam o Slack, é importante estar atento às ameaças de segurança e tomar medidas para minimizá-las. Evite enviar informações confidenciais no Slack. Use a autenticação de dois fatores para uma camada adicional de segurança de login. Mantenha um controle rígido sobre quem tem acesso ao Slack.

As etapas básicas de segurança combinadas com os rigorosos protocolos de segurança do Slack tornam o Slack seguro e um meio eficiente de colaboração e comunicação.

O Slack é seguro? Perguntas frequentes

Quer saber mais sobre o Slack e sua segurança? Confira nosso FAQ. Se você tiver uma pergunta que não foi respondida abaixo, deixe um comentário e responderemos o mais rápido possível.

O Slack usa medidas de segurança de nível empresarial para proteger a integridade dos dados enviados e salvos. Eles também são compatíveis com FINRA e HIPAA e possuem um programa robusto de conformidade com GDPR em vigor. Ainda assim, qualquer serviço de software baseado em nuvem é vulnerável a um ataque cibernético, e o Slack não está isento.

Os usuários podem tomar medidas adicionais para proteger suas informações, como usar autenticação de dois fatores, não enviar informações confidenciais por meio de mensagens do Slack e ter cuidado com possíveis tentativas de phishing enviadas no Slack.

Se seu chefe ou o departamento de recursos humanos podem visualizar suas mensagens diretas do Slack depende de como eles configuraram o Slack. Geralmente, é uma boa prática evitar colocar qualquer coisa por escrito que você não gostaria de tornar público.

Leia nosso artigo completo para obter instruções sobre como verificar facilmente o que sua empresa está monitorando no Slack.

Não, o Slack não usa criptografia de ponta a ponta. Embora ele criptografe seus dados em trânsito e em repouso, ele o faz apenas para proteger as informações de forças externas. Usar criptografia de ponta a ponta significaria que ninguém, exceto o remetente e o destinatário, pode acessar o conteúdo. No Slack, empregadores e administradores podem verificar seus funcionários. Em outras palavras, com o Slack, você não pode ter certeza de que seu chefe não está lendo suas mensagens.

Em julho de 2021, a Salesforce se tornou proprietária do Slack e o incorporou ao pacote de software corporativo Salesforce. O Salesforce é uma ferramenta de gerenciamento de relacionamento com o cliente que também oferece outros aplicativos complementares, incluindo atendimento ao cliente, automação de marketing, análise e desenvolvimento de aplicativos. A Salesforce está sediada em São Francisco, Califórnia.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.