Coworking e segurança da informação: o que exigir do espaço

Por que segurança em coworking é tema crítico

Coworking é, por definição, ambiente compartilhado. Pessoas de empresas diferentes circulam pelo mesmo corredor, dividem a mesma copa, usam a mesma rede de WiFi, conversam ao alcance auditivo umas das outras. Essa partilha é parte do valor do modelo — comunidade, networking, redução de custo — mas também é a origem dos principais riscos de segurança da informação.

Para empresas que tratam dados de clientes (qualquer empresa sujeita à LGPD), códigos proprietários, informações financeiras ou propriedade intelectual sensível, o ambiente compartilhado não pode ser tratado como detalhe. Vazamentos, exposição involuntária de dados, conversas captadas e equipamentos comprometidos são cenários reais documentados em incidentes de mercado.

A boa notícia é que o risco é gerenciável. Coworkings sérios têm políticas de segurança, infraestrutura adequada e disponibilidade para assinar acordos contratuais protetivos. Empresas que sabem o que pedir conseguem operar com nível de risco equivalente ao de um escritório próprio. Empresas que não pedem operam com falsa sensação de segurança.

Riscos típicos em ambiente de coworking

Antes de listar controles, vale entender o que se está protegendo. Seis cenários cobrem a maior parte dos riscos.

Shoulder surfing

Vizinho de mesa enxerga a tela do colaborador. Dependendo do conteúdo (dados de cliente, código, planilha financeira), o risco vai de constrangimento a vazamento real. Mitigação: filtro de privacidade na tela (privacy screen filter), posicionamento consciente da mesa.

WiFi compartilhado inseguro

Rede WiFi mal configurada (sem isolamento entre usuários, com criptografia fraca, com senha compartilhada amplamente) permite ataques man-in-the-middle e captura de tráfego. Mitigação: VPN corporativa obrigatória, validação do padrão de criptografia (WPA3 ou WPA2 enterprise), rede separada para clientes corporativos.

Documentos físicos esquecidos

Impressões deixadas na impressora compartilhada, papéis sobre a mesa após o colaborador sair, post-its com senhas. Mitigação: pull printing (impressão liberada por código), política de mesa limpa, descarte de papel em trituradora.

Acesso físico não autorizado

Pessoa de outra empresa entra na sala privativa sem autorização, ou acesso de visitantes não é registrado. Mitigação: controle de acesso por cartão ou biometria, registro de entrada de visitantes, câmeras em áreas comuns.

Conversas captadas

Reuniões em área aberta, chamadas telefônicas em volume alto, brainstorm na copa. Mitigação: salas de reunião privativas reservadas, fones de ouvido obrigatórios em chamadas, política de discrição.

Comprometimento da rede do operador

O próprio coworking sofre ataque (ransomware, invasão), e dados de clientes corporativos são afetados indiretamente. Mitigação: contrato com cláusula de notificação obrigatória de incidente em 24 horas, exigência de plano de resposta documentado, isolamento da rede corporativa via VPN.

Checklist de avaliação antes de assinar

Antes de homologar um coworking para uso corporativo, a empresa deve avaliar quatro dimensões. Use o checklist a seguir como base para conversa com o operador.

Controles físicos

Controle de acesso por cartão ou biometria nas portas? Recepção 24 horas ou apenas em horário comercial? Câmeras nos corredores e áreas comuns (mas não dentro de salas privativas)? Salas com fechadura individual? Registro digital de entrada de visitantes? Local seguro para armazenamento de documentos sensíveis (cofre ou armário com chave)?

Controles tecnológicos

WiFi criptografado em WPA3 ou WPA2 enterprise? Rede separada para clientes corporativos (não compartilhada com visitantes do café ou de eventos)? VPN corporativa permitida e suportada na rede? Isolamento de tráfego entre usuários? Política de senha de WiFi (rotação, complexidade)?

Controles de processo

NDA assinado pelo operador e por todos os funcionários do coworking que têm acesso às áreas onde a empresa opera? Política documentada de tratamento de dados de clientes? Plano de resposta a incidentes com prazos de notificação? Treinamento periódico da equipe de operação em segurança e privacidade?

Controles LGPD

Coworking tem DPO (Encarregado de Dados Pessoais) identificado? Está disposto a assinar DPA (Data Processing Agreement) específico? Tem mapeamento de processamento de dados pessoais? Garante direitos dos titulares (acesso, correção, exclusão)? Aceita auditoria periódica?

Cláusulas críticas no contrato

O contrato com o coworking deve incluir cláusulas específicas de segurança e privacidade. As mais importantes formam um bloco que pode ser negociado em conjunto, geralmente como anexo ao contrato principal.

Cláusula de confidencialidade. O coworking compromete-se a não divulgar a terceiros informações sobre a presença, identidade dos colaboradores, natureza dos dados tratados ou clientes da empresa contratante.

Cláusula de tratamento de dados pessoais (DPA). O coworking atua como operador de dados pessoais nos termos da LGPD, restringindo o tratamento ao estritamente necessário para a operação do espaço, mantendo registros, garantindo segurança e cooperando em pedidos de titulares.

Cláusula de notificação de incidente. Qualquer incidente de segurança que possa afetar dados da empresa contratante deve ser comunicado em até 24 horas após a detecção, com plano de contenção e cronograma de remediação.

Cláusula de auditoria. A empresa contratante tem direito de auditar — diretamente ou por meio de terceiro independente — os controles de segurança do operador, com periodicidade mínima anual e em caso de incidente relevante.

Cláusula de responsabilidade. O coworking responde por danos causados por negligência, descumprimento contratual ou falha em controles documentados. Limites de responsabilidade devem ser razoáveis e proporcionais ao valor do contrato.

Cláusula de subcontratação. O operador não pode subcontratar serviços que envolvam acesso a áreas da empresa contratante (limpeza, segurança, manutenção) sem autorização prévia e sem que os subcontratados assinem termos equivalentes.

Política corporativa para uso do coworking

Controles do operador não bastam. A empresa precisa de política interna que governe o comportamento dos colaboradores no espaço compartilhado. Os seis pontos a seguir formam o núcleo mínimo.

Uso obrigatório de VPN corporativa para acesso a qualquer sistema interno, mesmo conectado ao WiFi do coworking. A VPN cifra o tráfego e isola do tráfego compartilhado da rede.

Uso obrigatório de fone de ouvido em chamadas. Vale para chamadas internas e externas. Evita captação de conversas por vizinhos de mesa.

Filtro de privacidade na tela (privacy screen) para colaboradores que tratam dados sensíveis. Custa cerca de R$ 150 a R$ 400 por unidade, ROI imediato em redução de risco.

Política de mesa limpa: documentos, dispositivos e anotações não ficam à vista quando o colaborador sai da mesa, mesmo que por minutos. Tela com bloqueio automático em 5 minutos.

Dados sensíveis só em sala privativa. Tratamento de dados pessoais de clientes, informações financeiras, código proprietário e propriedade intelectual confidencial não acontecem em área compartilhada.

Reporte imediato de qualquer incidente percebido (perda de dispositivo, tela vista, conversa captada, intrusão). O canal de reporte deve ser claro e a postura da empresa deve incentivar reporte sem punição.

Classificação de dados por nível de exposição aceitável

Nem todo dado corporativo pode ser tratado em qualquer espaço. Classificar a informação por nível de sensibilidade e mapear onde cada nível pode ser tratado torna a política operacional.

Dados públicos (material de marketing, conteúdo já publicado, apresentações genéricas): podem ser tratados em qualquer área, inclusive em mesa compartilhada e hot desk. Sem restrição adicional.

Dados internos (relatórios operacionais, comunicação interna sem dados pessoais ou financeiros sensíveis): tratáveis em mesa fixa ou em hot desk com filtro de privacidade. VPN obrigatória.

Dados confidenciais (contratos com clientes, planejamento estratégico, dados financeiros consolidados): tratáveis apenas em sala privativa com fechadura, com tela protegida e equipamento corporativo gerenciado por MDM.

Dados restritos (dados pessoais sensíveis nos termos da LGPD, código fonte de produto, segredos comerciais, dados regulados): em coworking, apenas em sala privativa exclusiva com acesso por cartão, e mesmo assim a empresa deve avaliar se o coworking é o local apropriado — em muitos casos, escritório próprio ou home office com infraestrutura adequada é mais seguro.

Quando coworking não é adequado

Em alguns cenários, segurança da informação inviabiliza ou desaconselha fortemente o uso de coworking, mesmo com todos os controles disponíveis.

Operações reguladas com requisitos específicos de ambiente (instituições financeiras com áreas reguladas pelo Banco Central, operações de saúde com dados de pacientes sob regulação específica, contratos com cláusulas explícitas de espaço dedicado) podem ter restrições contratuais ou regulatórias que excluem coworking.

Operações com volume alto de dados pessoais sensíveis (centrais de atendimento de planos de saúde, operações de cobrança com massa de CPFs, operações de crédito com decisão automatizada) demandam ambiente controlado que coworking, mesmo premium, dificilmente entrega.

Operações que envolvem propriedade intelectual estratégica em desenvolvimento (P&D crítica, projetos de inovação com sigilo competitivo) merecem espaço dedicado mesmo quando a empresa adota coworking para outras áreas. O risco de exposição compete com o ganho de flexibilidade.