Remote Work: Seu chefe é sua maior ameaça cibernética

Views: 466

Remote Work: Seu chefe é sua maior ameaça cibernética. Pesquisa mundial de trabalhadores remotos mostra práticas de segurança inaceitavelmente ruins de funcionários de alto escalão

De acordo com OneLogin, gerentes seniores em empresas do Reino Unido e dos Estados Unidos estão rotineiramente expondo suas organizações a ameaças cibernéticas com dispositivos mais arriscados e práticas de gerenciamento de senhas do que seus colegas juniores.

O provedor de gerenciamento de identidade e acesso (IAM) entrevistou 2.000 funcionários remotos em ambos os países neste mês, para compilar seu State of Remote Work Survey 2.0 .

• Os gerentes seniores, em comparação com mais contrapartes juniores, tinham duas vezes mais probabilidade de compartilhar um dispositivo de trabalho com alguém de fora da organização, com 42% supostamente fazendo isso em comparação com apenas 20% de seus colegas juniores.
• Quando se trata de compartilhar senhas confidenciais, 19% dos gerentes seniores admitiram dar suas senhas a alguém da família, em comparação com apenas 7% dos funcionários juniores.
• A gerência sênior também relatou trabalhar em redes públicas de WiFi com o dobro da taxa de seus juniores, com apenas 15% dos funcionários juniores afirmando fazê-lo, em comparação com 30% dos membros sênior da equipe.

As descobertas também sugerem uma força de trabalho remota menos focada na segurança nos Estados Unidos . Trabalhadores remotos na América compartilharam dispositivos 7% a mais do que seus colegas do Reino Unido, trabalharam em WiFi público a uma taxa 9% mais alta e baixaram aplicativos pessoais a uma taxa 8% maior do que seus colegas do Reino Unido.

“Os resultados da pesquisa pintam um quadro esclarecedor da postura de segurança em um ambiente de trabalho remoto”, disse Brad Brooks , CEO da OneLogin.“Os efeitos da pandemia significam que virtualmente todas as organizações estão operando agora, até certo ponto, fora do ambiente de escritório controlado e protegido. Ou seja, sem os firewalls de nível corporativo e pessoal de TI no local com que todos antes contávamos para proteção . Nunca foi tão importante para os funcionários assumir a responsabilidade pessoal por sua própria postura de segurança. Compreender a santidade de suas senhas e dispositivos corporativos e os perigos potenciais de trabalhar em uma rede WiFi insegura deve ser a principal prioridade de todos os funcionários remotos. Mais o mais importante é que cabe à alta administração liderar pelo exemplo. Infelizmente, esses resultados parecem indicar o contrário.

Além disso, o relatório descobriu que, no que diz respeito às melhores práticas de segurança entre homens e mulheres, os homens foram vistos como sendo consistentemente piores do que suas colegas do sexo feminino, desde que enfrentaram a pandemia:

• 32% dos homens relataram que haviam compartilhado um dispositivo de trabalho em comparação com 20% das mulheres.
• 25% afirmaram que trabalharam em WiFi público, enquanto apenas 17% das mulheres afirmaram fazê-lo.
• 30% dos homens relataram baixar aplicativos pessoais em um dispositivo de trabalho, contra apenas 15% das mulheres.

A forma como empregadores e funcionários vêem o trabalho remoto globalmente mudou drasticamente durante o COVID-19. Mas, quanto mudou? Não temos certeza ainda, mas trabalhadores em todo o mundo estão antecipando uma mudança. O que fica claro com esta rápida mudança para trabalho remoto é que as organizações têm muito trabalho a fazer para garantir que os funcionários sigam uma política de força de trabalho remota e são capazes de acessar seus aplicativos de trabalho com segurança.

Quando começamos para nivelar a curva em torno de COVID-19 e as organizações planejam estratégias para voltar ao trabalho, as empresas devem assumir seus aprendizados e continuar a evoluir

Microssegmentação como solução para o trabalho remoto

A segmentação de rede não é nova. As empresas contam com firewalls, VPNs, redes locais virtuais (VLAN) e listas de controle de acesso (ACL) para a segmentação e proteção da rede há anos. Com a microssegmentação, as políticas são aplicadas a cargas de trabalho individuais para maior resistência a ataques. Onde as VLANs permitem fazer uma segmentação de granulação muito grossa e as VPNs criam apenas um túnel de comunicação segura, a microssegmentação permite fazer uma segmentação de granulação mais fina e pode inclusive proteger o endpoint de qualquer aesso externo não autorizado . 

Com a microssegmentação baseada na autenticação do usuário é possível criar perfis de acesso onde equipamentos mesmo que compartilhados possuam acesso completamente distintos e protegidos, limitando a superfície de ataque ou acesso indevido.

O surgimento de redes definidas por software e virtualização de rede pavimentou o caminho para a microssegmentação. Podemos fazer coisas em software, em uma camada que está desacoplada do hardware subjacente, isso torna a segmentação muito mais fácil de implantar para controle de aceso remoto e proteção de acesso a dados nos endpoints.

Com a microssegmentação, os profissionais de TI podem personalizar as configurações de segurança para diferentes tipos de tráfego, criando políticas que limitam os fluxos de rede e aplicativos entre as cargas de trabalho àqueles que são explicitamente permitidos. Nesse modelo de segurança de confiança zero, uma empresa pode definir uma política, por exemplo, que declare que os dispositivos médicos só podem se comunicar com outros dispositivos médicos ou com a rede institucional do hospital. E se um dispositivo ou carga de trabalho for movido, as políticas e atributos de segurança serão movidos com ele.

O objetivo é diminuir a superfície de ataque à rede: ao aplicar regras de segmentação à carga de trabalho ou aplicativo, a TI pode reduzir o risco de um invasor passar de uma carga de trabalho ou aplicativo comprometido para outro.

Outro motivador é a eficiência operacional. Listas de controle de acesso, regras de roteamento e políticas de firewall podem se tornar complicadas e gerar uma grande sobrecarga de gerenciamento, tornando as políticas difíceis de escalar em ambientes que mudam rapidamente. 

A microssegmentação normalmente é feita em software, o que torna mais fácil definir segmentos de baixa granularidade. E com microssegmentação, TI pode trabalhar para centralizar a política de segmentação de rede e reduzir o número de regras de firewall necessárias, reduzindo os custos diretos e indiretos existentes na manutenção da segregação tradicional.

FONTE: MINUTO DA SEGURANÇA