Por que as estratégias de segurança precisam de uma nova perspectiva

Views: 266
0 0
Read Time:5 Minute, 38 Second

Após uma série de campanhas de ransomware, vazamentos de dados e ataques à infraestrutura crítica, as empresas entendem que sua estratégia de digitalização precisa ser complementada por uma estratégia de segurança cibernética bem projetada. Mas, confrontados com um cenário de ameaças complexo e confuso e um cenário igualmente multifacetado de fornecedores de segurança, muitos estão incertos de como sua estratégia de segurança deve ser.

No debate atual, um fator essencial é muitas vezes negligenciado: as pessoas mais relevantes para sua estratégia de segurança podem nem trabalhar para sua empresa ainda (e não, não estou falando desses profissionais de segurança incrivelmente difíceis de encontrar.)

Muitas discussões sobre segurança cibernética se concentram em ameaças específicas: ransomware, roubo de propriedade intelectual ou qualquer um dos numerosos buracos digitais que permitem que atores de ameaças entrem nas redes da empresa e causem estragos. Uma segunda linha de debate igualmente predominante se concentra em componentes individuais do ambiente que precisam de proteção: aplicações essenciais de negócios de uma empresa, sua infraestrutura de e-mail e colaboração, os serviços de nuvem que usa, seus aplicativos de site e e-commerce, ou – na indústria de manufatura – as fábricas cada vez mais conectadas à internet com seus mecanismos muitas vezes insuficientes para garantir a infraestrutura de tecnologia operacional (OT).

Um terceiro aspecto tende a entrar em jogo apenas como uma reflexão posterior: os funcionários. Quando são mencionados no debate de segurança, ele tende a ser como alvos de campanhas de engenharia social, como “usuários burros” clicando em links maliciosos que abrem portas para atores de ameaças, ou como insiders malévolos exfiltrando dados confidenciais. Raramente, no entanto, os funcionários recebem todo o peso que merecem nas discussões de segurança: o papel crucial em torno do qual todos os outros aspectos precisam girar. São os funcionários, afinal, que trabalham com todos esses aplicativos críticos para os negócios e pools de dados sensíveis, e são as pessoas que dirigem os negócios de cada empresa. Nas estratégias de segurança, os funcionários precisam tomar o centro do palco, em vez de serem rebaixados para as asas.

Quando se trata de projetar uma estratégia de segurança cibernética, faz sentido ir além de todo o ruído sobre os ataques mais recentes e sofisticados e as mais recentes e mais sofisticadas soluções de segurança, e concentrar a atenção nos funcionários em vez disso – mas não necessariamente na equipe atual. Em vez disso, a questão fundamental da estratégia de segurança é: quais serão as necessidades e os requisitos de segurança dos meus funcionários daqui a quatro anos?

A força de trabalho de 2026 será digital – muito mais digital do que a atual – mesmo em áreas que tradicionalmente têm sido consideradas menos propensas à digitalização, como trabalhadores no chão de fábrica, em serviços comunitários ou na agricultura. Ao mesmo tempo, os funcionários que já trabalham digitalmente hoje provavelmente não serão os trabalhadores de escritório que costumavam dominar muitos campi de negócios em tempos de bloqueio pré-COVID. A razão para isso é que, mesmo antes da pandemia, o trabalho digital havia mudado para um trabalho híbrido flexível. As últimas gerações de trabalhadores digitais há muito progrediram para o uso de dispositivos móveis, às vezes até mesmo privados para acessar uma gama crescente de serviços em nuvem, além de recursos corporativos, de qualquer lugar. A pandemia, com seus bloqueios recorrentes em muitos países, simplesmente acelerou essa tendência, e tornou-a mais óbvia para o público.

The digital workforce – especially the highly skilled professionals that businesses compete for in the global “war for talent” – will increasingly insist on being able to work efficiently, but at the same time conveniently and securely, wherever they want or need to engage. Some will bring their own devices, some will prefer to use corporate-owned ones, and some will use a mix of both.

At the same time, the move towards cloud services is bound to intensify, while many businesses (e.g., manufacturing) will also continue to deploy a growing number of applications at the edge of their networks. This will result in a progressively complex hybrid application landscape consisting of on-premises legacy technologies, modern on-premises or cloud-based applications, mobile apps, and a dynamic set of cloud services. Here, the challenge will not only be to protect employees in working with this elaborate mix of applications and services – it will also mean keeping use of unwanted apps and services at bay, or at least monitoring it closely.

Taking the work, collaboration, and usability needs of their future workforce as a reference point, decision makers can evaluate: What will be the most likely – and most critical – security risks for this workforce? For example, high-profile employees will sooner or later find themselves in the crosshairs of targeted attacks, be it by cybercriminals or state-backed threat actors. At the same time, it is important to remember that basically every employee, from the call center agent to the HR or finance team, will be targeted – after all, a successful attack hinges on a single person clicking on a malicious link.

Once the risk landscape of the future workforce is established, numerous questions follow naturally:

  • Quais serão as necessidades mais urgentes dos funcionários quando se trata de trabalhar com segurança de qualquer lugar, a qualquer hora, com qualquer dispositivo de sua escolha, e com seu conjunto preferido de aplicativos e serviços?
  • Quão flexível e escalável será a arquitetura de segurança para lidar com a natureza dinâmica da infraestrutura multi-nuvem híbrida acessada pela força de trabalho distribuída?
  • Mais importante, como as necessidades de segurança dos funcionários podem ser equilibradas com uma experiência suave do usuário – especialmente considerando que ferramentas complexas de segurança, bem como acessibilidade lenta de aplicativos e dados, atrairão os funcionários a começar a procurar soluções alternativas, enfraquecendo assim a postura de segurança da empresa?
  • E como essa postura de segurança pode ser monitorada continuamente sem correr o risco de impedir a produtividade e a motivação dos funcionários?

O que hoje é chamado de “novo normal” do trabalho remoto flexível em breve será o “normal bem estabelecido“. Toda a força de trabalho digital, não apenas indivíduos altamente qualificados, espera ser capaz de trabalhar de forma flexível, remota, de acordo com suas necessidades individuais e com segurança. Eles vão querer – e precisar – decidir por si mesmos o que é mais adequado ao seu estilo de trabalho, e à tarefa atual em questão. A arquitetura de segurança terá que suportar todo o espectro dessas necessidades e requisitos. Os tomadores de decisão devem planejar para a força de trabalho que seus negócios dependerão no futuro, não para os problemas que enfrentam hoje – mesmo que isso signifique planejar a segurança dos funcionários que eles ainda nem têm.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS