Navegar num ambiente de trabalho híbrido – como podem as empresas manter-se seguras?

Hoje, mais de 90%(1) das organizações permite aos colaboradores trabalhar remotamente pelo menos durante uma parte do tempo. As rápidas mudanças a que a pandemia obrigou estão a transformar-se em alterações permanentes, e a expectativa é que os colaboradores tenham liberdade para se movimentarem entre vários ambientes de trabalho e para se conectarem à rede da empresa a partir de cada um deles.

Contudo, esta transição para um modelo de trabalho híbrido apresenta potenciais riscos de segurança para as organizações e os seus colaboradores. O perímetro de rede das empresas evoluiu para abranger não só o escritório como também a casa de cada colaborador; nesse sentido, e de acordo com dados do NCC Group(2), não é surpreendente que as empresas se sintam menos confiantes na resiliência das suas medidas de segurança.

O modelo híbrido chegou para ficar, e os profissionais de segurança precisam de assegurar rapidamente um ambiente de trabalho flexível no qual as empresas possam confiar. Para isso, deve adotar-se uma abordagem holística, que garanta que a infraestrutura de segurança da empresa é estanque e, em paralelo, investir na formação dos colaboradores. Só então será possível facilitar a colaboração à força de trabalho distribuída e construir resiliência para enfrentar o atual panorama de ameaças.

O panorama de ameaças moderno

As organizações precisam de abordar as mudanças que estamos a observar no atual panorama de ameaças, ao mesmo tempo que transitam para um modelo de trabalho híbrido, e avaliar como elas impactam a nova realidade do trabalho.

1. Em primeiro lugar, os colaboradores agora comunicam e colaboram entre si fora dos firewalls de segurança habituais, partilhando dados corporativos ao longo do dia de trabalho.
2. Em segundo lugar, é provável que os colaboradores acedam a servidores da empresa utilizando redes públicas, o que dá mais oportunidades de invasão aos ciberatacantes. De acordo com o NCC Group(3), 66% das organizações que aumentaram o volume de trabalho remoto durante 2020 registaram um crescimento nos ataques de phishing e malware. É ainda de salientar que, para 39% dos inquiridos, as ameaças internas acidentais, maliciosas ou inadvertidas aumentaram na segunda metade do ano.
3. Por último, estamos perante um aumento da utilização de dispositivos IoT pessoais, como impressoras e telemóveis, que são configurados com definições de segurança padrão utilizadas em dispositivos da empresa, como os computadores portáteis. O trabalho “móvel” e os acessos remotos ao sistema, reforçados pelas tendências “Bring Your Own Device” (BYOD), têm benefícios para a produtividade das equipas e dos empregadores; no entanto, abrem caminho a potenciais ameaças e apresentam novos desafios à gestão de dispositivos. As políticas de tecnologia e de utilizador estabelecidas anteriormente pelas empresas para protegerem o seu escritório já não são aplicáveis no contexto de trabalho híbrido.

Os ciberataques evoluíram – deixando de tentar afetar o maior número de dispositivos possível para procurar um ponto fraco através do qual seja possível comprometer sistemas corporativos para roubar ou sequestrar dados. Se um colaborador for vítima de hacking enquanto estiver ligado à sua rede doméstica, todo o sistema corporativo poderá cair. As soluções digitais e baseadas na Cloud que se tornaram fundamentais para as operações comerciais, e para manter a colaboração e a produtividade entre equipas durante a pandemia, também tornaram as empresas mais vulneráveis.

Tornar o espaço de trabalho híbrido mais seguro

As empresas têm agora uma oportunidade – e o apoio dos gestores séniores – para implementar importantes melhorias internas. Embora nunca se possa erradicar totalmente o risco, podem dar-se passos no sentido de criar resiliência nesta adaptação ao trabalho híbrido.

Em primeiro lugar, é importante fazer uma avaliação de segurança da infraestrutura de TI interna e externa para compreender o perímetro de infraestrutura que a organização realmente tem, e não aquele que calcula ter. Tal revelará os pontos fortes e fracos da empresa a nível de segurança, e só então será possível identificar brechas e definir o que é necessário implementar para proteger a rede. É como proteger uma casa: se uma das entradas estiver vulnerável e um ladrão conseguir invadir, não importa que as restantes estivessem protegidas. Encontrar todas as vulnerabilidades possíveis é um passo fundamental para proteger as empresas.

As avaliações da vulnerabilidade do sistema de segurança podem ser realizadas em qualquer altura: antes da introdução de novos sistemas ou terminais na infraestrutura de TI, ou até mesmo de forma contínua. Os componentes que estavam seguras ontem podem não o estar hoje. Ao detetar ataques maliciosos antes que estes ocorram, pode evitar uma possível perda de dados.

Investir nas pessoas

Um dos erros que as empresas mais cometem é dedicarem-se exclusivamente ao lado técnico da cibersegurança. Se o leitor realizasse uma avaliação ao perímetro de rede da sua empresa e investisse nas melhores soluções de segurança, poderia estar confiante na resiliência dessas medidas de proteção e continuar a trabalhar como normalmente. Contudo, poderia ainda assim sofrer uma violação de segurança. Porquê? Porque teria ficado falhado na formação dos colaboradores. Afinal de contas, um clique errado num link fraudulento para pôr a empresa em risco. Formar e treinar toda a equipa nos conceitos de cibersegurança e como lidar corretamente com informações confidenciais é um elemento importante de qualquer estratégia de segurança.

À medida que entramos na era do trabalho híbrido, é importante fomentar uma cultura de abertura no que toca à segurança e encorajar os colaboradores a partilharem os seus erros. Uma estratégia de defesa só será eficaz se as transgressões forem reportadas. Em primeiro lugar, tal ajuda a minimizar os danos, uma vez que os problemas podem aumentar se os colaboradores omitirem os seus erros – ao passo que comunicá-los permite a sua correção. Por outro lado, as infrações podem ser utilizadas para reforçar os programas de formação, e a aprendizagem conjunta pode acelerar a implementação de novas defesas.

A boa notícia é que as empresas estão dispostas a investir na qualificação dos seus colaboradores: uma pesquisa recente do NCC Group  descobriu que 36% dos gestores considera recorrer a programas de formação e sensibilização sobre cibersegurança em regime de outsourcing ao longo do próximo ano. 39% dos inquiridos afirma que a formação sobre as melhores práticas de cibersegurança é a área da qual a sua organização mais beneficiaria.

Ao assumir o controlo dos seus dados e dos passos necessários para formar os colaboradores em matéria de segurança, as empresas poderão manter-se um passo à frente dos ciberataques e sentir a confiança necessária para desenvolver os seus negócios.

(1) https://www.gartner.com/en/newsroom/press-releases/12-14-2020-gartner-survey-finds-ninety-percent-of-hr-leaders-will-allow-employees-to-work-remotely-even-after-covid-19-vaccine-is-available

(2) https://www.nccgroup.com/media/h4afgxz1/insight-space-research-summary.pdf 

(3) https://www.nccgroup.com/media/h4afgxz1/insight-space-research-summary.pdf