5 dicas de segurança de dados para empresas de tecnologia que trabalham em um ambiente de trabalho híbrido
A velocidade com que as mudanças chegam às nossas vidas pode ser avassaladora,
afetando as organizações ainda mais do que os indivíduos. Embora os modelos de
trabalho híbridos ou totalmente remotos estivessem fadados a ser “a moda” mais cedo
ou mais tarde, o início da pandemia em 2020 nos bateu com uma vara quente, e as
dores que as empresas tiveram de suportar para tornar isso possível são imensuráveis
– para a maioria delas, isso significou virar o mundo de cabeça para baixo.
Uma das maiores preocupações ao mudar de um escritório para um ambiente híbrido
ou remoto era a segurança do trabalho. Antes de 2020, muitas organizações
dependiam de redes wifi locais seguras para se conectar a recursos locais, o que ainda
é bastante comum, apesar da mudança contínua para a nuvem. Isso significava que
elas precisavam introduzir VPNs para todas as conexões wifi públicas e proteger todos
os laptops da empresa para trabalho remoto, tudo em um período de tempo muito
curto. Isso, por sua vez, significou que muitas equipes de segurança precisaram mudar
completamente o foco e colocar outros riscos de segurança, como vulnerabilidades de
aplicativos ou ameaças à segurança de dados, em segundo plano.
Como já passamos do período de emergência, agora é o momento de as empresas
reavaliarem suas prioridades de segurança e tomarem medidas para se concentrarem
em tudo o que teve de ser adiado durante a conversão para um modelo de trabalho
diferente. Aqui estão cinco dicas para as organizações que estão prontas para analisar
profundamente a segurança de seus dados em um novo ambiente de trabalho híbrido.
Dica 1. Aceite que os ativos da empresa sejam usados para fins particulares
O modelo de trabalho híbrido traz muitos benefícios para o funcionário. Ele reduz muito
o tempo perdido em deslocamentos, permite um equilíbrio muito melhor entre vida
pessoal e profissional, faz com que você se sinta confiante e motivado a tomar
iniciativas e muito mais. No entanto, do ponto de vista prático, isso geralmente significa
ter que instalar mais um computador em seu ambiente doméstico atual. Muitos
funcionários decidem que não é prático ou é muito caro ter dois computadores, um
para o trabalho e outro para fins particulares, e acabam desistindo de seus próprios
dispositivos, usando a mesma configuração para ambos.
Um empregador pode limitar o uso do computador de trabalho como dispositivo
pessoal, aplicando um controle rigoroso, limitando o acesso a sites de mídia social e
muito mais. No entanto, em alguns casos, o acesso às redes sociais também é
necessário para fins de trabalho, e o controle extensivo representa uma grande carga
de trabalho para o já sobrecarregado departamento de TI. Esse extenso controle de
endpoint de confiança zero também deixa os funcionários insatisfeitos. Portanto, a
maioria das empresas aceita o fato de que o dispositivo de trabalho também é usado
para acessar recursos privados após (ou mesmo durante) o horário de trabalho.
Do ponto de vista da segurança cibernética, a maioria das organizações protege os
ativos da empresa limitando os recursos de instalação de software – os usuários não
podem instalar nada por conta própria ou ter uma biblioteca de software aprovada pelo
empregador. O computador também é protegido por software antivírus e antimalware e
se conecta aos ativos da empresa usando uma rede privada virtual confiável. No
entanto, muitas empresas se esquecem de que nenhuma dessas medidas tem
qualquer efeito sobre a proteção de dados confidenciais!
Em um modelo de trabalho híbrido ou remoto é muito provável que o usuário copie
informações confidenciais pertencentes à organização e as cole acidentalmente ao
usar as mídias sociais, causando uma violação de dados que pode resultar em multas
enormes. Os usuários também podem salvar informações da empresa em arquivos de
texto e, em seguida, anexar o arquivo de texto errado a um e-mail pessoal. Isso faz com
que uma solução de endpoint que evite esses contratempos seja absolutamente
necessária em um modelo de trabalho híbrido.
Dica 2. Não caia na falsa sensação de segurança na nuvem
Os ambientes de trabalho híbridos atuais tornam o apelo das nuvens ainda maior do
que antes. Mover os ativos e aplicativos da empresa para a nuvem significa que não há
mais necessidade de manter uma presença contínua de TI em sua própria sala de
servidores nos escritórios da empresa, não há necessidade de gerenciar conexões VPN
entre os funcionários remotos e a infraestrutura da empresa, e você pode economizar
muito em custos de manutenção de hardware, segurança de rede e muito mais.
No entanto, a mudança para a nuvem também tem suas desvantagens. Por exemplo,
muitas vezes faz com que as organizações acreditem que o provedor de nuvem
protegerá seus dados e sistemas, o que causa uma falsa sensação de segurança. Na
maioria dos casos, as nuvens fornecem apenas a infraestrutura para os aplicativos da
empresa e as medidas de segurança relacionadas somente a essa infraestrutura. Isso
significa que, quando se trata de proteger seus dados, a mudança para a nuvem
geralmente não melhora sua segurança e, potencialmente, tem o efeito oposto de
entorpecer seus sentidos.
Se o seu usuário trabalha remotamente e acessa os dados da empresa armazenados
na nuvem, ele provavelmente precisará usar esses dados em outro aplicativo de nuvem.
Embora todos os aplicativos em nuvem sejam acessíveis pelo navegador, raramente
são interconectados para facilitar a troca de dados. Isso significa que os bons e velhos
CTRL+C e CTRL+V são muito usados, o que é um acidente que pode acontecer. Quanto
mais os usuários precisarem mover dados entre aplicativos, maior será a probabilidade
de esses dados acabarem em algum lugar onde não deveriam estar. Novamente, isso
exige uma solução de endpoint que seja capaz de detectar dados confidenciais e
impedir o compartilhamento desses dados fora dos aplicativos dedicados.
Dica 3. Não subestime o uso de cartões de memória USB
Para muitos de nós, os cartões de memória USB já parecem “coisa da década
passada”. As novas gerações reagem a essa tecnologia da mesma forma que reagem a
disquetes ou CD-ROMs, percebendo-a como ultrapassada. Os pendrives parecem ainda
menos necessários do que nunca com a mudança para a nuvem e com um ambiente
híbrido em que a força de trabalho híbrida pode transportar o laptop entre o escritório
da empresa e o escritório doméstico.
No entanto, em muitos ambientes, os cartões de memória USB ainda são muito usados,
especialmente quando grandes quantidades de dados precisam ser transferidas entre
computadores de terminais. Mesmo no escritório, simplesmente não há uma maneira
fácil de Jane enviar um arquivo grande com informações de clientes para John, a não
ser por meio de algum tipo de plataforma de compartilhamento de arquivos, como o
Google Drive ou o Microsoft OneDrive, que nem sempre são usados pela empresa.
Nesses casos, os funcionários acabam enviando arquivos grandes por meio de
serviços como o WeTransfer, que provavelmente não são aprovados do ponto de vista
da segurança, ou simplesmente os colocam em um pen drive e os transportam.
Se você combinar esse uso de pendrives com o uso particular dos mesmos pendrives
devido à indefinição entre os ambientes de trabalho e doméstico, essa é uma receita
para o desastre. É provável que o usuário pegue um pendrive que contenha
informações confidenciais da empresa e coloque alguns arquivos particulares nele e,
em seguida, por exemplo, dê esse pendrive a um membro da família. Somente as
soluções dedicadas de segurança de endpoints são capazes de evitar isso, detectando
dados confidenciais e impedindo que sejam copiados para o pen drive ou aplicando a
criptografia desses dados antes de serem transferidos para essa mídia.
Dica 4. Seja mais cauteloso com as ameaças internas
Um dos maiores benefícios de um ambiente de trabalho híbrido ou totalmente remoto é
a liberdade. Os funcionários ficam muito menos estressados ao trabalhar sem um
chefe respirando em seus pescoços e os novos modelos de trabalho promovem estilos
de gerenciamento que se baseiam mais na liderança do que no controle. No entanto,
tudo tem um preço e, nesse caso, o preço é que menos controle sobre a força de
trabalho remota significa mais ameaça de ocorrência de um incidente interno, seja ele
involuntário ou voluntário.
Quando os funcionários estão trabalhando no conforto de suas casas, ou ainda mais no
conforto de uma cafeteria chique em Lisboa, é mais provável que eles sejam
descuidados. Além disso, os raros casos de funcionários antiéticos têm maior
probabilidade de ter liberdade suficiente para causar mais danos do que se estivessem
trabalhando no escritório – pelo mesmo motivo que os funcionários éticos se sentem
melhor, devido ao menor controle.
Isso significa que sua empresa precisa estar mais preparada do que nunca para todos
os tipos de ameaças internas, e especialmente para as ameaças internas intencionais –
comportamento antiético, concorrentes desleais ou simples mesquinhez têm muito
mais probabilidade de acontecer quando o delinquente está longe do escritório e
cercado por ninguém ou por pessoas não relacionadas ao trabalho.
Uma maneira de reduzir esses riscos é aumentar o controle digital, por exemplo,
monitorando todas as atividades do usuário em seu laptop. No entanto, isso afeta
negativamente os funcionários justos e éticos que se sentem desconfiados e
policiados. Portanto, uma maneira melhor é garantir que, mesmo que o usuário tenha
intenções antiéticas, ele não possa prejudicar a empresa, por exemplo, compartilhando
informações confidenciais com um concorrente ou vendendo-as em um mercado
negro. Esse tipo de proteção só pode ser obtido com o uso de soluções de DLP para
terminais.
Dica 5. Prepare-se para um aumento nos ataques cibernéticos aos funcionários
O controle e o policiamento reduzidos mencionados na dica anterior têm ainda outra
consequência: os hackers mal-intencionados também estão cientes disso e aproveitam
o fato de que os funcionários localizados fora do escritório são um alvo muito mais
fácil. Um funcionário que trabalha em um escritório geralmente está atrás de vários
firewalls com equipes de TI monitorando qualquer atividade suspeita. Além disso, no
escritório, é menos provável que um funcionário use o computador para acessar
recursos privados, como contas de e-mail particulares. Isso significa que, em um
modelo híbrido ou remoto, as oportunidades de phishing estão sempre em alta.
Ao trabalhar fora do escritório, é mais provável que um funcionário clique em um e-mail
de phishing sem antes pedir conselhos a um “colega da informática” que esteja por
perto ou até mesmo a um colega sentado na mesa ao lado. Se essa tentativa de
phishing for bem-sucedida, é provável que o criminoso tenha acesso a informações
confidenciais pertencentes a uma empresa e localizadas no mesmo computador. Além
da proteção antivírus, antiphishing e ransomware, o equipamento do usuário final
precisa de proteção adequada contra agentes mal-intencionados, e uma solução de
DLP de endpoint fornece essa proteção.
A tecnologia híbrida não vai a lugar algum, portanto, repense sua segurança de dados
A maioria dos funcionários não quer voltar para o escritório e prefere um modelo
híbrido em que possa ir ao escritório quando necessário e quando desejar, mas tem a
mesma liberdade de trabalhar em casa ou em qualquer outro lugar do mundo.
Especialmente na UE, com a facilidade de viajar dentro da zona Schengen e com muitos
países como Malta e Portugal sendo muito atraentes e introduzindo vistos de nômade
digital, muitos jovens preferem ficar em lugares diferentes por algum tempo enquanto
trabalham para o mesmo empregador. As empresas que tentam trazer de volta o
modelo de escritório sofrem uma enorme reação da comunidade e perdem uma força
de trabalho valiosa.
Se você ainda não reconsiderou suas políticas de segurança de dados nessa nova
realidade, agora é um bom momento para fazê-lo. Embora o setor tenha sido
duramente atingido do ponto de vista econômico e muitas empresas tenham percebido
que precisam reduzir o número de funcionários, algumas ameaças têm mais
probabilidade de ser um problema agora do que nunca, por exemplo, ameaças internas
de funcionários que sentem que provavelmente serão demitidos. Embora uma solução
de DLP para endpoints, como o Endpoint Protector, deva sempre fazer parte de um
ambiente abrangente de segurança cibernética, juntamente com o treinamento de
conscientização sobre segurança, essa é uma primeira etapa acessível e muito eficaz
para eliminar a maioria dos problemas de segurança de dados causados por essas
mudanças aceleradas na organização do trabalho.