O trabalho remoto, que teve de ser adotado às pressas por muitas empresas durante a pandemia, passa a ser uma realidade para boa parte das organizações. Nesse cenário, muitas companhias se apressaram para manter o funcionário produzindo, porém sem a devida análise de gap na segurança da informação. Algumas empresas já sinalizaram que seguirão esse modelo até 2021, enquanto outras resolveram adotá-lo sem previsão de retorno ao modelo tradicional.
A grande questão nesse momento de ruptura é que, ainda que se garanta constância na qualidade das entregas e suporte para acessar e-mails e informações de maneira remota, o aumento do risco cibernético não pode ser deixado de lado. Muitas empresas começaram a se dar conta disso e agora enfrentam o desafio de manter a rede desses funcionários segura e proteger os dados que estão em poder da companhia, sejam eles próprios ou de terceiros.
A equipe da Etek NovaRed tem acompanhado esse cenário de perto. Por isso vamos apresentar nesse post os principais riscos do trabalho remoto para os negócios e as boas práticas de organizações que têm se destacado.
Três fatores que fazem o trabalho remoto ser um risco cibernético
A maciça e apressada migração de pessoas e empresas para o mundo virtual ampliou a superfície dos ataques cibernéticos. Caso queira entender qual é a situação dentro da sua operação, tente responder afirmativamente as seguintes perguntas: você é capaz de dizer com certeza de onde cada colaborador da sua companhia está atuando neste momento; todos trafegam em uma rede segura e por meio de dispositivos protegidos; e eles têm plena consciência dos riscos cibernéticos que correm e como eles podem impactar nos negócios?
Os hackers sabem que, para garantir a continuidade dos negócios, muitas organizações priorizaram a disponibilização de ferramentas e infraestrutura mínima para os colaboradores, deixando a segurança da informação em segundo plano. Por isso, agora que já passamos pelo período de migração, recomendamos revisar três fatores básicos de alto risco:
- Endpoints
Dentro do escritório era possível acompanhar em tempo real os endpoints que acessavam a rede corporativa, entre os quais tablets, notebooks ou celulares. Ao menor sinal de risco cibernético, era possível colocar em prática ações corretivas imediatas. No ambiente doméstico, porém, fica difícil garantir esse imediatismo, principalmente em ambientes nos quais não se realizou análise de gap de segurança da informação. Nesse caso, a recomendação é contar com uma solução de cloud computing que gerencie os endpoints remotamente.
- Redes públicas
Tipicamente, os dados de uma organização circulam por uma rede interna com links dedicados, soluções de segurança da informação e sem a necessidade de que os dados trafeguem pela internet. Com a migração para o home office, a superfície de ataque de uma empresa se expandiu para o wi-fi doméstico da casa dos colaboradores. Nesse caso, é possível reduzir o risco cibernético por meio de quatro medidas: revisar os perfis de acesso; revogar direitos de acesso indesejados ou expirados; forçar o estabelecimento de conexões privadas (VPNs) para acesso aos dados da empresa; e forçar o uso de múltiplo fator de autenticação (os famosos tokens).
- Colaboradores
O volume de e-mails maliciosos com assuntos relacionados à pandemia aumentou de maneira brutal nos últimos meses. Na mesma proporção, cresceu a vulnerabilidade dos seres humanos, que estão em constante busca por informações sobre a Covid-19. É importante revisar as políticas de bloqueio de phishing e suas variantes, além de promover ações de conscientização dos colaboradores sobre as ameaças e o risco cibernético que elas representam para os negócios.
Cinco características de empresas que estão protegidas
Empresas que já navegavam pela Transformação Digital ou tinham, pelo menos, tinham um plano bem estruturado prestes a ser implantado enfrentaram menos dificuldades na migração para o trabalho remoto, com destaque para as que:
- Têm estratégias alinhadas entre CIOs, CSOs, Board e Conselheiros
Quando CISOs e CIOs se aproximem da área de Governança Corporativa para entender detalhes sobre os riscos cibernéticos existentes na organização, toda a organização ganha com: aumento da capacidade de respostas a emergências e crises dentro da empresa; alinhamento das ações de tecnologia e segurança da informação com as estratégias do negócio; e mais apoio/ patrocínio para os projetos de cibersegurança. Além disso, é importante trazer para essas reuniões de alinhamento o Encarregado de Dados, cadeira criada por exigência da Lei Geral de Proteção de Dados (LGPD), cujo profissional se reporta ao conselho administrativo ou tem um assento garantido entre os membros do grupo.
- Assumem sua parte de responsabilidade no quesito segurança na nuvem
Há serviço de qualidade nas nuvens públicas, privadas e híbridas, mas desde os ambientes estejam adequadamente configurados. Além disso, é sempre importante lembrar que, por contrato, os provedores de nuvem garantem apenas a estabilidade do ambiente e determinado nível de segurança, enquanto a total proteção dos dados nela armazenados são de responsabilidade de quem contrata o serviço de cloud. Na dúvida, conte com o apoio de profissionais especializados em cloud computing e cloud security para manter o seu negócio longe do risco cibernético.
- Valorizam o conceito de segurança e privacidade por design
Com o avanço da empresa na jornada da Transformação Digital, cresce a adesão a aplicações, seja para possibilitar compras online, permitir a consulta de informações ou executar determinados processos empresariais na internet. Na escolha do melhor fornecedor, as empresas mais maduras sempre se certificam de que o desenvolvedor considerou o item segurança da informação na esteira de desenvolvimento da aplicação. Elas entendem que esse quesito é tão importante quanto a performance, a qualidade do código e a urgência para que a aplicação entre em funcionamento.
- Só usam dispositivos em compliance com as normas de SI
Em companhias que entendem as informações como um ativo e reconhecem os prejuízos de um ataque, os colaboradores só podem acessar a rede corporativa por meio de dispositivos homologados pela equipe de segurança da informação e controlam o cumprimento dessa diretriz por meio de soluções de tecnologia. Essa é uma forma bastante eficaz de reduzir a superfície de ataque, garantindo uma monitoração de segurança em todos os endpoints.
- Consomem segurança da informação como um serviço
Organizações que consomem segurança da informação como um serviço estão um passo à frente na Transformação Digital. Elas já entenderam que, ao contar com um parceiro especializado para liderar ou apoiar as decisões da área, o negócio ganha com: eficiência no tempo de resposta, mesmo diante do constante apagão de talentos em cibersegurança; mais precisão na previsão de gastos, ainda que se atravesse um cenário de escaladas de ameaças e aumento da superfície de risco; e constante mapeamento do apetite de risco da organização e da evolução da maturidade da empresa em cybersecurity, em relação ao mercado.
Segurança: o pavimento da Transformação Digital
Daqui para frente, a tendência é que o mundo corporativo seja cada vez mais digital, moderno, robótico e inteligente. Não há dúvidas quanto a isso. Por isso, as empresas interessadas em se manterem competitivas, precisarão adaptar seus processos, suas tecnologias e sua estrutura. Porém, se essas medidas não forem tomadas com segurança, a tendência é que, em algum momento, as ações e os negócios da companhia estagnem ou retrocedam, seja por resistência de uns, conservadorismo de outros ou sobrevivência de todos.
Caso a sua organização precise de ajuda nesse sentido, fale conosco.
