A velocidade com que a mudança chega às nossas vidas pode ser avassaladora, afetando ainda mais as organizações do que os indivíduos. Embora os modelos de trabalho híbridos ou totalmente remotos estivessem destinados a ser “a coisa” mais cedo ou mais tarde, o início da pandemia em 2020 nos cutucou nas costas com um bastão quente, e as dores que as empresas tiveram que suportar para tornar isso possível são imensuráveis – para a maioria deles, significava virar o mundo de cabeça para baixo.
Uma das maiores preocupações ao mudar de um escritório para um ambiente híbrido/remoto era a segurança do trabalho. Antes de 2020, muitas organizações dependiam de redes Wi-Fi locais seguras para se conectar a recursos locais, o que ainda é bastante comum, apesar da mudança contínua para a nuvem. Isso significava que eles precisavam introduzir VPNs para todas as conexões wi-fi públicas e proteger todos os laptops da empresa para trabalho remoto – tudo em um período de tempo muito curto. Isso, por sua vez, significava que muitas equipes de segurança precisavam mudar completamente o foco e colocar outros riscos de segurança, como vulnerabilidades de aplicativos ou ameaças de segurança de dados, em segundo plano.
Como já passamos do período de emergência, agora é a hora de as empresas reavaliarem suas prioridades de segurança e tomarem medidas para se concentrar em tudo o que teve que ser adiado durante a conversão para um modelo de trabalho diferente. Aqui estão 5 dicas para as organizações que estão prontas para analisar profundamente a segurança de seus dados em um novo ambiente de trabalho híbrido.
Dica 1. Aceite que os ativos da empresa sejam usados para fins privados
O modelo de trabalho híbrido traz muitos benefícios para o funcionário. Isso reduz muito o tempo perdido no deslocamento, permite um equilíbrio muito melhor entre vida pessoal e profissional, faz você se sentir confiável e estimulado a tomar iniciativas e muito mais. No entanto, do ponto de vista prático, muitas vezes significa ter que encaixar mais um computador em seu ambiente doméstico atual. Muitos funcionários decidem que é pouco prático ou muito caro ter dois computadores, um para o trabalho e outro para fins particulares, e acabam desistindo de seus próprios dispositivos, usando a mesma configuração para ambos.
Um empregador pode limitar o uso do computador de trabalho como um dispositivo pessoal aplicando um controle estrito, limitando o acesso a sites de mídia social e muito mais. No entanto, em alguns casos, o acesso às redes sociais também é necessário para fins de trabalho, e o controle extensivo é uma grande carga de trabalho para o já sobrecarregado departamento de TI. Esse amplo controle de endpoint de confiança zero também deixa os funcionários infelizes. Portanto, a maioria das empresas aceita o fato de que o dispositivo de trabalho também é usado para acessar recursos privados após (ou mesmo durante) o horário de trabalho.
Do ponto de vista da segurança cibernética, a maioria das organizações protege os ativos da empresa limitando os recursos de instalação de software – os usuários não podem instalar nada por conta própria ou ter uma biblioteca de software aprovada pelo empregador. O computador também é protegido por software antivírus e antimalware e se conecta aos ativos da empresa por meio de uma rede privada virtual confiável. No entanto, muitas empresas esquecem que nenhuma dessas medidas tem efeito na proteção de dados confidenciais!
Em um modelo de trabalho híbrido/remoto, é muito provável que o usuário copie informações confidenciais pertencentes à organização e as cole acidentalmente durante o uso das redes sociais, causando uma violação de dados que pode resultar em multas altíssimas. Os usuários também podem salvar informações da empresa em arquivos de texto e anexar o arquivo de texto errado a um e-mail pessoal. Isso torna uma solução de endpoint que evita tais contratempos absolutamente necessária em um modelo de trabalho híbrido.
Dica 2. Não caia na falsa sensação de segurança na nuvem
Os ambientes de trabalho híbridos de hoje tornam o apelo das nuvens ainda maior do que antes. Mover os ativos e aplicativos da empresa para a nuvem significa que não há mais necessidade de manter uma presença contínua de TI em sua própria sala de servidores nos escritórios da empresa, não há necessidade de gerenciar conexões VPN entre funcionários remotos e a infraestrutura da empresa, e você pode economizar muito em custos de manutenção de hardware, segurança de rede e muito mais.
No entanto, a mudança para a nuvem também tem suas desvantagens. Por exemplo, muitas vezes faz com que as organizações acreditem que o provedor de nuvem protegerá seus dados e sistemas, o que causa uma falsa sensação de segurança. Na maioria dos casos, as nuvens fornecem apenas a infraestrutura para aplicativos da empresa e medidas de segurança relacionadas apenas a essa infraestrutura. Isso significa que, quando se trata de proteger seus dados, a mudança para a nuvem geralmente não melhora sua segurança e, potencialmente, tem o efeito oposto de entorpecer seus sentidos.
Se o seu usuário trabalha remotamente e acessa os dados da empresa armazenados na nuvem, muito provavelmente precisará usar esses dados em outro aplicativo na nuvem. Embora todos os aplicativos em nuvem sejam acessíveis por meio do navegador, eles raramente são interconectados para facilitar a troca de dados. Isso significa que os bons e velhos CTRL+C e CTRL+V estão em uso intenso, o que é um acidente que pode acontecer. Quanto mais os usuários precisarem mover dados entre aplicativos, maior a probabilidade de esses dados acabarem em algum lugar onde não deveriam estar. Novamente, isso exige uma solução de endpoint capaz de detectar dados confidenciais e impedir o compartilhamento desses dados fora de aplicativos dedicados.
Dica 3. Não subestime o uso de cartões de memória USB
Para muitos de nós, os cartões de memória USB já parecem “a coisa da década anterior”. As novas gerações reagem a essa tecnologia da mesma forma que reagem a disquetes ou CD-ROMs, percebendo-a como ultrapassada. Os pendrives parecem ainda menos necessários do que nunca com a mudança para a nuvem e com um ambiente híbrido onde a força de trabalho híbrida pode carregar o laptop entre o escritório da empresa e o home office.
No entanto, em muitos ambientes, os cartões de memória USB ainda são muito usados, especialmente quando grandes quantidades de dados precisam ser transferidas entre computadores terminais. Mesmo no escritório, simplesmente não há uma maneira fácil de Jane enviar um arquivo grande com informações do cliente para John, a não ser por meio de algum tipo de plataforma de compartilhamento de arquivos como o Google Drive ou o Microsoft OneDrive, que nem sempre são usados pela empresa. Nesses casos, os funcionários acabam enviando arquivos grandes por meio de serviços como o WeTransfer, que provavelmente não são aprovados do ponto de vista da segurança, ou simplesmente os colocam em um pendrive e os transportam.
Se você combinar esse uso de pendrives USB com o uso privado dos mesmos pendrives devido a linhas tênues entre os ambientes de trabalho e doméstico, esta é uma receita para o desastre. É provável que o usuário pegue um pendrive que contém informações confidenciais da empresa e coloque alguns arquivos privados nele e, por exemplo, dê esse pendrive a um membro da família. Somente as soluções de segurança de endpoint dedicadas são capazes de evitar isso, detectando dados confidenciais e impedindo que sejam copiados para o stick ou aplicando a criptografia de tais dados antes de serem transferidos para essa mídia.
Dica 4. Seja mais cauteloso com ameaças internas
Um dos maiores benefícios de um ambiente de trabalho híbrido ou totalmente remoto é a liberdade. Os funcionários ficam muito menos estressados fazendo o trabalho sem um chefe respirando no pescoço, e os novos modelos de trabalho promovem estilos de gerenciamento baseados mais na liderança do que no controle. No entanto, tudo tem um preço e, neste caso, o preço é que menos controle sobre a força de trabalho remota significa mais ameaça de ocorrência de um incidente interno, involuntária ou voluntariamente.
Quando os funcionários estão trabalhando no conforto de suas casas ou ainda mais no conforto de um café chique em Lisboa, é mais provável que sejam descuidados. Além disso, esses raros casos de funcionários antiéticos têm maior probabilidade de ter liberdade suficiente para causar mais danos do que se estivessem trabalhando no escritório – pela mesma razão, funcionários éticos se sentem melhor, devido a menos controle.
Isso significa que sua empresa precisa estar mais preparada do que nunca para todos os tipos de ameaças internas, e ameaças internas especialmente intencionadas – comportamento antiético, concorrentes desleais ou mesquinhez simples são muito mais prováveis de acontecer quando o delinquente está longe do escritório e cercado por ninguém ou por pessoas não relacionadas ao trabalho.
Uma forma de reduzir esses riscos é aumentar o controle digital, por exemplo, monitorando todas as atividades do usuário em seu laptop. No entanto, isso afeta negativamente os funcionários justos e éticos que se sentem desconfiados e policiados. Portanto, a melhor maneira é garantir que, mesmo que o usuário tenha intenções antiéticas, ele não possa prejudicar a empresa, por exemplo, compartilhando informações confidenciais com um concorrente ou vendendo-as no mercado negro. Esse tipo de proteção só pode ser alcançado usando soluções DLP de endpoint.
Dica 5. Prepare-se para um aumento nos ataques cibernéticos aos funcionários
O controle e o policiamento reduzidos mencionados na dica anterior têm ainda outra consequência – os hackers mal-intencionados também estão cientes disso e se aproveitam do fato de que os funcionários localizados fora do escritório são um alvo muito mais fácil. Um funcionário que trabalha em um escritório geralmente está atrás de vários firewalls com equipes de TI monitorando qualquer atividade suspeita. E no escritório, é menos provável que um funcionário use seu computador para acessar recursos privados, como contas de e-mail particulares. Isso significa que, em um modelo híbrido/remoto, as oportunidades de phishing estão em alta.
Ao trabalhar fora do escritório, é mais provável que um funcionário clique em um e-mail de phishing sem primeiro pedir conselhos a um “cara de TI” próximo ou até mesmo a um colega sentado na mesa ao lado. Se tal tentativa de phishing for bem-sucedida, é provável que o criminoso obtenha acesso a informações confidenciais pertencentes a uma empresa e localizadas no mesmo computador. Além da proteção antivírus, anti-phishing e ransomware, o equipamento do usuário final precisa de proteção adequada contra agentes mal-intencionados, e uma solução DLP de endpoint oferece essa proteção.
Híbrido não vai a lugar nenhum, então repense sua segurança de dados
A maioria dos funcionários não quer voltar ao escritório e a maioria prefere um modelo híbrido, onde podem visitar o escritório quando necessário e quando desejado, mas são igualmente livres para trabalhar em casa ou em qualquer outro lugar do mundo. Especialmente na UE, com facilidade de viajar dentro do espaço Schengen e com muitos países como Malta e Portugal sendo muito atraentes e introduzindo vistos de nômade digital, muitos jovens preferem ficar em lugares diferentes por algum tempo enquanto trabalham para o mesmo empregador. As empresas que tentam trazer de volta o modelo de escritório enfrentam uma enorme reação da comunidade e perdem força de trabalho valiosa.
Se você ainda não reconsiderou suas políticas de segurança de dados nesta nova realidade, agora é um bom momento para fazê-lo. Embora o setor seja duramente atingido do ponto de vista econômico e muitas empresas percebam que precisam reduzir o número de funcionários, é mais provável que algumas ameaças sejam um problema agora do que nunca, por exemplo, ameaças internas de trabalhadores que sentem que provavelmente serão despedidos. Embora uma solução DLP de endpoint como o Endpoint Protector deva sempre fazer parte de um ambiente abrangente de segurança cibernética juntamente com treinamento de conscientização de segurança, é um primeiro passo acessível e muito eficaz para eliminar a maioria das dores de segurança de dados causadas por essas mudanças rápidas no trabalho. organização.