É uma honra poder contribuir para a maior publicação de tecnologia do mundo e que acaba de chegar em nosso país. Na coluna de estreia, não poderia deixar de abordar um assunto que todos nós estamos vivendo, assistindo (de camarote, por que não?) e lendo a respeito. Neste momento sem precedentes, já vivemos algumas transformações: as organizações observam mudanças radicais em sua força de trabalho, incluindo um aumento substancial de trabalhadores remotos, juntamente com uma possível mudança de papéis e responsabilidades; a transformação da segurança digital, promovida pelas empresas que repensam suas estratégias de proteção cibernética e reavaliam riscos, especificamente a proteção dos ativos digitais; e a transformação dos negócios, que surge da alteração na forma como as empresas pensam o risco comercial durante pandemia, o que inclui riscos de terceiros e de continuidade de negócios.
A transformação do hoje já está acontecendo, e por isso, proponho a todos que pensemos em já transformar o amanhã. À medida que o conceito de trabalho remoto se torna uma realidade de longo prazo para muitos, as repercussões mais profundas serão os desafios de segurança cibernética e o risco que as empresas enfrentarão (e já enfrentam) nessa nova realidade.
Embora a transição extraordinária para o trabalho em casa tenha sido crítica para a continuidade dos negócios e tenha desbloqueado novas formas inovadoras de operar, também oferece aos fraudadores uma vasta gama de oportunidades para roubar dados confidenciais e interromper as operações. Na economia atual de dados, as forças de trabalho remotas que não possuem segurança abrangente se tornarão os principais alvos dos criminosos cibernéticos a explorar qualquer número de vulnerabilidades, desde dispositivos sem correções/atualizações até aqueles sem controle de governança de acesso.
Nos últimos meses, todos aprendemos muito (que pode ser o eufemismo da década!) e as empresas agora precisam encontrar tempo e urgência para lidar com esses riscos potenciais dentro de suas forças de trabalhos remotos.
Os ambientes remotos são mais difíceis de proteger e para equipar os funcionários remotos com as ferramentas necessárias para conectar-se online, algumas empresas podem ter implantado hardware e software desatualizados para uso. Este é o sonho de um hacker. Frequentemente, essas soluções não possuem controles e recursos de segurança modernos.
Por mais úteis que os ambientes virtuais tenham se provado, eles simplesmente não têm a verificação física básica que os ambientes tradicionais fornecem. Outro desafio é o dispositivo desconhecido e não gerenciado. Na linguagem da cibersegurança, a proliferação de novos dispositivos significa que a superfície de ataque cresceu dramaticamente. Como discutiremos mais adiante, essas são todas as razões pelas quais uma política de “confiança zero” é necessária para que o trabalho remoto se torne mais seguro.
A rotatividade maciça de pessoas e conhecimentos, como os funcionários são dispensados ou demitidos, suas responsabilidades são transferidas para outras pessoas que podem ter pouca ou nenhuma experiência nessa área. Separadamente, a entrada e saída regulares de prestadores de serviços exacerbam apenas uma situação perigosa. Se o trabalho remoto se tornar nossa norma, as empresas precisam abordar a situação de “motor e saída”. A procura de emprego é mais prevalente hoje, e essa tendência continuará no futuro. Portanto, a “mudança de talentos” significa que as empresas devem oferecer treinamento e higiene necessários em segurança cibernética durante a integração e a exclusão.
A governança cuidadosa do acesso é essencial. É um desafio obter a governança de acesso correta quando todos estão em uma instalação centralizada. Em um ambiente de trabalho remoto, torna-se extremamente difícil. Para que o trabalho em casa seja bem-sucedido, as empresas precisam ter boas políticas de governança para acesso do usuário e para avaliar políticas de acesso seguro e métodos de autenticação. Grande parte disso é garantir a recertificação de direitos e autorizações com mais frequência, para que você possa acompanhar esse local de trabalho em evolução ou com portas giratórias. Você precisa de governança automatizada para essa força de trabalho dinâmica. Se uma empresa está trabalhando em casa – e a maior parte está -, precisa fazer regularmente análises de segurança, recertificações e modernizar seus recursos de gerenciamento de identidades e gerenciamento de acesso.
Os que trabalham remotamente geralmente precisam descobrir por si próprios como usar uma ampla variedade de novas plataformas, aplicativos e tecnologias com pouco ou nenhum treinamento. Em muitos casos, a urgência de acompanhar as demandas do trabalho empurrará as preocupações de segurança para o lado. Mesmo entre os trabalhadores com as melhores intenções, a rápida implantação de ferramentas de videoconferência, de colaboração e de novos aplicativos em nuvem está ampliando a lacuna de conhecimento da força de trabalho e aumentando as chances de alguém fazer algo acidentalmente que coloca sua empresa em maior risco.
Requisitos regulamentares sempre serão criados e os exemplos são vários, como a Lei Geral de Proteção de Dados Pessoais, ou até mesmo o Regulamento Geral sobre a Proteção de Dados, o GDPR, na sigla em inglês, um rigoroso conjunto de regras sobre privacidade válido para a União Europeia, mas que também afeta pessoas em outras partes do mundo, inclusive no Brasil, tornarão modelos que outros procuram replicar. A combinação de uma recessão global e a interrupção causada pela crise de saúde em andamento pode muito bem levar a regulamentações federais abrangentes ao longo das linhas das regulamentações financeiras implementadas após a crise financeira de 2008. O desafio para as empresas será em cumprir novos regulamentos rigorosos.
Todos os desafios mencionados acima assumem níveis adicionais de complexidade, à medida que as pessoas interagem com mais automação. Qual é o equilíbrio certo entre humanos e tecnologia e como devem ser abordadas as lacunas de privacidade e segurança? Teremos que descobrir as melhores maneiras de gerenciar todas essas interações homem-máquina.
De volta ao escritório, ainda existirão grandes desafios em torno da privacidade de dados. Quando as pessoas retornam ao escritório em período integral ou quando os que permanecerão no trabalho remoto o visitam uma vez por semana, empresas deverão lidar com os dados pessoais gerados à medida que as verificações de temperatura ou de saúde são concluídas e os movimentos pelo escritório são monitorados? Qual nível de dados físicos será coletado? Quem reúne? Como é usado e protegido? Como os direitos de privacidade dos funcionários são enunciados e garantidos? Todas essas são questões prementes que as organizações precisam resolver rapidamente como parte desse novo normal.
A computação híbrida e a privacidade de dados são temas que também não podemos deixar de lado. Você tem sistemas locais lidando com dados de RH, um serviço de nuvem pública ou privada que gerencia aplicativos críticos? Diante das implacáveis mudanças que estão acontecendo em todos os lugares, muitas empresas estão adotando uma mentalidade de “confiança zero”. Essas empresas estão começando a supor que pelo menos um ou mais desses sistemas incompatíveis foram realmente comprometidos – e que são necessárias políticas de segurança modernas e rigorosas para proteger dados confidenciais. Talvez a falta de confiança faça com que estratégias de cibersegurança sejam adotadas para manter a confiança.
Adquirir as habilidades certas para ajudar a empresa a incorporar processos e tecnologias capazes de identificar rapidamente um incidente e mitigá-lo, fará com que todos nós passemos a mudar o foco da prevenção para a detecção, incluindo uma maior integração das equipes de operações de segurança, gerenciamento de riscos e equipes de TI.
Isso é Gestão Integrada de Riscos pensando na transformação do amanhã!
Estejam todos seguros física e digitalmente!
Marcos Nehme
