Shouldering: como orientar colaboradores para evitar vazamento de dados

O vazamento de dados corporativos nem sempre começa com um ataque sofisticado, realizado por um hacker com conhecimento técnico. Muitas vezes, ele ocorre em silêncio, em um café de aeroporto, em um coworking movimentado ou até dentro do próprio escritório. Basta alguém observar a tela de um notebook ou digitar uma senha à vista de terceiros. Essa prática tem nome: shouldering.

Embora pareça inofensiva, a técnica representa um risco real à segurança da informação. Em ambientes híbridos e com equipes circulando entre casa, empresa e espaços públicos, a exposição visual de dados corporativos se tornou parte da rotina. O problema é que nem sempre os colaboradores percebem que estão vulneráveis.

Compreender o que é shouldering e estruturar orientações claras faz diferença direta na proteção de informações sensíveis, na reputação da empresa e na conformidade com normas como a LGPD.Portanto, siga a leitura para saber mais sobre como o conceito e como se proteger!

O que é shouldering?

O shouldering, ou shoulder surfing, é a prática de observar informações confidenciais diretamente na tela de um dispositivo ou durante a digitação de dados, como senhas e códigos de autenticação.

O termo remete ao ato literal de “olhar por cima do ombro”. Pode acontecer quando um terceiro visualiza uma ou mais informações corporativas confidenciais, como:

• senhas digitadas em notebooks ou celulares;
• relatórios financeiros abertos em locais públicos;
• dados de clientes exibidos em telas sem proteção;
• e-mails corporativos acessados em ambientes compartilhados.

Diferentemente de ataques virtuais complexos, o shouldering depende apenas de proximidade física e descuido momentâneo. Não exige conhecimento técnico avançado e nem ferramentas digitais. Um simples olhar atento pode ser suficiente para capturar credenciais de acesso ou informações estratégicas.

Em um cenário de trabalho remoto, reuniões em cafés, aeroportos e eventos se tornaram comuns. Ao mesmo tempo, espaços corporativos adotaram layouts abertos, com mesas compartilhadas e circulação constante de pessoas. Esse contexto ampliou a superfície de exposição visual.

O risco cresce ainda mais quando colaboradores acessam sistemas financeiros, bases de dados de clientes, contratos confidenciais ou dashboards estratégicos em ambientes com circulação de terceiros.

Por que o shouldering representa um risco para as empresas?

O impacto do shouldering vai muito além da curiosidade de um estranho olhando uma tela. Quando informações sensíveis são capturadas, as possíveis consequências são fraudes, acessos indevidos e vazamentos em larga escala.

Imagine um colaborador digitando sua senha de e-mail corporativo em um aeroporto. Uma pessoa ao lado memoriza as credenciais. A partir dali, pode acessar documentos internos, solicitar redefinições de senha em outros sistemas e ampliar o alcance do ataque.

Os riscos mais comuns são os seguintes:

• acesso não autorizado a sistemas internos;
• exposição de dados pessoais de clientes e parceiros;
• violação de contratos de confidencialidade;
• comprometimento da imagem institucional;
• penalidades legais e regulatórias.

No Brasil, casos de vazamento de dados seguem ocupando espaço na imprensa. Esta reportagem  da Exame, por exemplo, destaca o chamado “maior vazamento da história”, que expôs mais de 16 bilhões de informações confidenciais.

Outro fator que contribui para o problema é a falsa sensação de segurança. Empresas investem em firewalls, antivírus e criptografia, mas negligenciam riscos físicos e comportamentais. O resultado é uma brecha silenciosa.

O shouldering costuma ser subestimado porque não deixa rastros evidentes. Não há malware instalado, alerta automático ou notificação do sistema. Quando o problema aparece, o dano já ocorreu.

Como orientar colaboradores para evitar vazamento de dados?

A prevenção começa com orientação clara e contínua. Segurança da informação não é apenas responsabilidade do setor de TI; envolve cada pessoa que acessa dados corporativos.

Algumas práticas ajudam a reduzir o risco de shouldering no dia a dia:

• promover treinamentos periódicos de conscientização sobre riscos físicos e digitais;
• orientar o uso de filtros de privacidade em notebooks e monitores;
• estabelecer políticas claras para trabalho em locais públicos;
• reforçar a importância do bloqueio automático de tela após poucos minutos de inatividade;
• incentivar autenticação multifator em todos os sistemas críticos;
• revisar periodicamente as diretrizes de uso de dispositivos pessoais.

Os treinamentos não devem se limitar a apresentações técnicas. Simulações práticas e exemplos reais tornam o risco mais tangível. Mostrar como uma senha pode ser capturada em segundos gera maior percepção de vulnerabilidade.

Outra medida relevante envolve o posicionamento físico no ambiente de trabalho. Telas voltadas para corredores ou áreas de circulação aumentam a exposição. Ajustes simples na disposição das estações já reduzem significativamente o risco.

O uso de autenticação multifator também reduz o impacto caso uma senha seja observada. Mesmo que a credencial principal seja comprometida, a segunda camada de verificação dificulta o acesso indevido.

É importante ainda orientar sobre comportamentos específicos em ambientes externos, como o acesso a sistemas sensíveis em redes Wi-Fi públicas e o posicionamento estratégico em áreas públicas, como aeroportos, com a tela protegida de olhares laterais.

Já o gestor deve se lembrar que a clareza nas políticas internas ajuda a alinhar expectativas. Quando a empresa formaliza orientações, o colaborador entende que a proteção de dados é parte de sua responsabilidade profissional.

Qual o papel da cultura de segurança da informação na prevenção?

A tecnologia reduz riscos, mas é o comportamento consistente sustenta a proteção ao longo do tempo. É nesse ponto que entra a cultura de segurança da informação.

Empresas que tratam segurança como valor organizacional, e não apenas como obrigação regulatória, apresentam menor incidência de incidentes internos. A cultura influencia decisões cotidianas, como bloquear a tela ao sair da mesa ou evitar abrir relatórios confidenciais em locais inadequados.

Soluções corporativas amplamente utilizadas, como as da SAP Concur, reforçam a importância de governança integrada e controle de acessos.

Plataformas de gestão de despesas e viagens lidam com dados financeiros sensíveis, exigindo políticas claras de uso, autenticação robusta e monitoramento constante.

Ainda assim, nenhuma solução tecnológica substitui o comportamento atento. Um sistema seguro pode ser comprometido se alguém expõe a própria senha em um ambiente público.

Governança, orientação contínua e revisão de procedimentos formam a base de uma estratégia consistente. Empresas que encaram a segurança como parte da estratégia de negócios protegem não apenas dados, mas também reputação e confiança.

O shouldering mostra que nem todo risco vem da internet. Às vezes, ele está ao lado. A diferença entre exposição e proteção está na atenção cotidiana, no alinhamento interno e na construção de uma cultura que valoriza cada detalhe.

Quer proteger seus dados corporativos com técnicas inovadoras? Então, confira as tendências em segurança da informação para 2026!