0
0
A capacidade dos funcionários de trabalhar remotamente traz muitos benefícios, desde um melhor equilíbrio entre vida profissional e pessoal, redução de despesas e maior produtividade. Mas uma força de trabalho amplamente dispersa pode representar alguns grandes desafios para as equipes de segurança, e não menos importante é como o trabalho remoto afeta os relatórios de incidentes de segurança. Com as empresas cada vez mais acostumadas a implementar tecnologias de segurança e processos mais sintonizados com o trabalho remoto em massa, o relatório de incidentes tem o potencial de se tornar um grande obstáculo.
Juntamente com a introdução e manutenção de protocolos como práticas de autorização e acesso de identidade apropriados remotamente, as equipes de segurança também devem revisar e ajustar suas políticas de relatórios para refletir a natureza do trabalho remoto ou expor suas organizações a ameaças de segurança significativas.
Ter uma força de trabalho remota pode criar uma sobrecarga de incidentes de segurança simplesmente devido à diversidade de redes criadas por uma infinidade de configurações domésticas ou remotas de usuários, em oposição a um ambiente de escritório em que todos estão na mesma rede, disse Paddy Harrington, analista sênior da Forrester, ao CSO . “Uma coisa é gerenciar 12 redes porque você tem 12 escritórios, mas se você tem 1.000 funcionários, 900 dos quais remotos, você tem 912 redes para se preocupar. Isso significa que os incidentes, incluindo aqueles que são relatados, vão variar muito mais porque a rede doméstica de cada um é diferente.” E isso pode levar à fadiga de alerta para as equipes de segurança se apenas uma fração dos incidentes for relatada, diz Harrington.
Novos desafios para relatórios de incidentes
Fatores operacionais, comportamentais e tecnológicos podem afetar os relatórios de incidentes de segurança cibernética para uma força de trabalho remota, introduzindo um novo conjunto de desafios centrados principalmente na comunicação e colaboração, disse Austin Wolf, analista de segurança da informação da Code42, à CSO. “Você entra em contato via Slack ou Teams ou por e-mail? Você pega o telefone e liga para alguém? Como você mantém todos os envolvidos no incidente na mesma página? Quando ocorre um incidente, as equipes precisam trabalhar juntas e encurralar sua equipe em um ambiente remoto às vezes é mais difícil do que apenas se reunir em torno da tela do computador de alguém.”
De acordo com Taharka Beamon, gerente de SOC da Reed Exhibitions, os funcionários em ambientes de escritório tradicionais geralmente usam o help desk local como seu primeiro ponto de contato para relatar incidentes, “com muitas pessoas preferindo visitar a equipe de TI pessoalmente para explicar comportamentos inesperados ou potencialmente maliciosos no computador.”
Isso se torna problemático se um sistema remoto for comprometido e o funcionário não conseguir usá-lo para relatar que está passando por um incidente, nem pode caminhar pelo corredor até o escritório de suporte de TI mais próximo, acrescenta Jason Hicks, CISO de campo da Coalfire.
Sem canais de comunicação convenientes e amigáveis à distância e instruções para todas as eventualidades, as empresas provavelmente sofrerão com relatórios ruins de funcionários fora do escritório, que podem atrasar e depois esquecer de relatar um possível incidente de segurança, diz Jonathan Wrolstad, inteligência sênior de ameaças gerente da ExtraHop. Diferentes fusos horários em forças de trabalho mais dispersas também entram em jogo, o que pode levar a atrasos nos relatórios e nos tempos de resposta, diz Mirza Silajdzic, analista de segurança cibernética da VPNOverview.
O trabalho remoto influencia o comportamento dos funcionários em relação à segurança
O trabalho remoto também afeta e muda o comportamento e a conscientização da equipe em relação à segurança cibernética, o que pode afetar os relatórios de incidentes, diz Richard Jones, CISO global da Orange Cyberdefense. “Ambientes formais, como um escritório com estrutura e organização, fornecem aos funcionários uma rotina estabelecida e limites claros para o que é relacionado ao trabalho e o que não é. Remova esse perímetro e eles podem lutar para manter o elemento humano vital de proteção de segurança, porque as pessoas se adaptam ao ambiente e as responsabilidades se confundem ao trabalhar em casa”. Portanto, o que a equipe pode pensar em relatar como um incidente de segurança continuará a mudar com o tempo, disse Jones ao CSO.
“A falta de conexão mental ou física com um escritório pode significar que os funcionários podem ser tentados a minimizar a gravidade de uma infração em potencial e não apreciar totalmente a relevância ou a aplicação de políticas corporativas no ambiente doméstico”, diz Keiron Holyome, vice-presidente do Reino Unido da Blackberry. , Europa Oriental, Oriente Médio e África. Os usuários remotos podem até relutar mais em relatar um incidente de segurança devido a uma sensação de constrangimento, diz ele. “A vergonha cibernética – uma relutância em relatar uma violação devido ao constrangimento ou medo das consequências – pode significar que ameaças potenciais são ignoradas ou enterradas.”
A resposta e os relatórios de incidentes de segurança baseados em sistema e endpoint também podem ser afetados negativamente pelo trabalho remoto, diz Immanuel Chavoya, especialista em detecção de ameaças emergentes da SonicWall. “Por exemplo, se o sistema sinalizar a máquina de um usuário por uma invasão de malware, pode haver algum atraso para que a equipe de segurança possa fazer as atualizações necessárias, enquanto, pessoalmente, o engenheiro de segurança pode acessar imediatamente o dispositivo e tomar as medidas necessárias ação.”
Um dos principais desafios de segurança para uma empresa com trabalhadores remotos é a incapacidade de visualizar todos os endpoints no sistema, o que inibe a operação da detecção de segurança central necessária para relatórios e respostas, acrescenta Chavoya. “Endpoints tornam-se díspares em sua localização quando acessados remotamente, interrompendo a conexão com a infraestrutura corporativa, levando a um aumento potencial no tempo médio para detectar atividades maliciosas e no tempo médio para resolver o incidente de segurança.”
Relatórios ruins = perda de confiança do cliente
Os riscos de um processo de relatório impedido devido ao trabalho remoto são significativos. Quando os incidentes não são relatados, os relatórios são atrasados/mal comunicados ou as ações/respostas de acompanhamento são prejudicadas, isso pode deixar vulnerabilidades expostas e/ou ganhar tempo para os invasores no sistema se infiltrarem mais na rede antes que a equipe de segurança possa detectar e conter ameaças e atividade maliciosa, alerta Chavoya. Isso pode não apenas exacerbar a gravidade dos incidentes e ataques, mas também prejudicar a reputação de uma empresa e sua capacidade de atender a certos regulamentos de proteção de dados que estipulam regras rígidas em relação à divulgação. Isso pode levar à perda de confiança do cliente e a grandes penalidades monetárias.
Portanto, é fundamental que as equipes de segurança atualizem suas políticas e processos de relatórios para levar em consideração as implicações de segurança do trabalho remoto. “A tendência do trabalho doméstico e híbrido veio para ficar, por isso é incrivelmente perigoso para as equipes de segurança confiar em políticas e processos projetados para uma época passada, quando a maioria, se não todos, os funcionários trabalhavam em um ambiente de escritório controlado”, diz Holyome . No entanto, as equipes devem abordar novas estratégias com consideração cuidadosa para não introduzir ameaças maiores, acrescenta. “Com os recursos já sobrecarregados pelo aumento da frequência e complexidade da atividade cibernética, a pressão adicional sobre o tempo e as habilidades para implantar políticas em uma força de trabalho distribuída – incluindo a adaptação da educação e aplicação de políticas entre funcionários remotos – pode criar vulnerabilidades e riscos. .”
Políticas eficazes de relatórios remotos de incidentes de segurança
Garantir relatórios de incidentes de segurança remotos eficazes é fundamental para estabelecer canais e processos de comunicação claramente definidos, documentados e fáceis de usar para que os funcionários alcancem a equipe de TI e segurança, diz Beamon. “Políticas internas sobre a manutenção e atualização pontual de informações de contato documentadas para as equipes de TI e segurança são cruciais. As equipes têm uma responsabilidade adicional para garantir que os funcionários tenham informações de contato para a equipe de TI e segurança. Isso inclui fornecer canais de comunicação por telefone, e-mail e anônimos para permitir o método mais confortável, dependendo da situação.”
Os funcionários também devem ser incentivados a salvar informações de contato para equipes de TI e segurança, juntamente com instruções de relatórios de referência rápida off-line ou no celular da empresa para uso em caso de emergência. O marketing eficaz dessas informações é sua melhor solução aqui, acrescenta Hicks. “Coloquei essas informações em mouse pads, canecas, pôsteres e outros brindes ao longo dos anos. Também é importante tornar os endereços de e-mail de relatórios curtos, agradáveis e memoráveis, e manter o número de telefone consistente ano após ano.”
O horário de contato deve ser revisado para levar em conta o fato de que os usuários podem estar usando seus dispositivos fora do horário de trabalho tradicional por motivos pessoais, afirma Chavoya. “Isso também pode incluir a substituição dos processos de resposta pessoal, por exemplo, quando a máquina de um usuário precisa ter uma nova imagem remotamente, eles podem precisar de mais orientação sobre a imagem do sistema operacional.”
No geral, as equipes precisam revisar regularmente a acessibilidade de seus processos de relatórios de incidentes para aqueles que não estão no escritório, diz Holyome. “Existem instruções simples e contatos disponíveis que podem ser usados por pessoas que podem estar enfrentando interrupções na Internet? Os funcionários ainda podem entrar em contato com a equipe de TI se forem bloqueados no software corporativo devido à violação? A empresa promove uma cultura sem culpa e capacita indivíduos em todos os níveis da organização para relatar problemas livremente e sem medo de recriminação?”
Treinamento e conscientização ajudam a manter os funcionários seguros
Treinamento e conscientização também são ferramentas importantes e devem abranger a importância de relatar até mesmo incidentes em potencial e enfatizar os riscos de segurança elevados que os trabalhadores remotos enfrentam, concordam os especialistas.
“Para os funcionários que trabalham em casa, uma cadência de comunicações regulares sobre tópicos de segurança pode manter o tópico em mente e trabalhar para combater a vergonha cibernética”, diz Holyome. “Em particular, a educação sobre táticas de phishing e a exploração dos cibercriminosos das funções internas de bate-papo mais usadas por funcionários remotos ajudará a aumentar a conscientização sobre as ameaças a serem observadas no dia-a-dia do trabalho.”
Como parte dessas atividades, as equipes de segurança devem compartilhar exemplos do mundo real com a equipe e, mais importante, garantir que os números de relatórios de incidentes nunca sejam incluídos nos KPIs para mostrar a eficácia de uma segurança forte – a menos que a intenção seja identificar uma unidade de negócios específica que relata o menor número de incidentes e pode, portanto, precisar de mais treinamento de conscientização. A liderança sênior também deve ser incentivada a participar desses exercícios.
“Exercícios de mesa e simulações mais realistas também devem ser realizados para garantir que todas as partes da empresa sejam capazes e se sintam à vontade para relatar possíveis incidentes enquanto trabalham remotamente”, diz Beamon.
As próprias equipes de segurança devem entender as principais ameaças que sua força de trabalho remota enfrenta e fornecer orientações claras sobre como são os incidentes de segurança e como devem ser relatados, diz Wrolstad. “A segurança não é prioridade para a maioria dos trabalhadores, e eles precisam ser lembrados de quais são as principais ameaças e como elas se parecem, para que possam reconhecê-las durante o dia de trabalho.” As equipes de segurança precisam se colocar no lugar de seus usuários remotos e descrever os possíveis riscos de segurança de uma forma que eles possam reconhecer, acrescenta.
Levando em consideração o nível de ameaça
Por fim, as equipes de segurança também precisam considerar como priorizam o relatório e a resposta a incidentes com base nos níveis de ameaça do trabalho remoto. “Um foco renovado deve ser dado a certas partes da infraestrutura das organizações, principalmente VPNs, que são usadas há décadas por muitas organizações, mas se tornaram mais importantes, pois agora são utilizadas por uma grande porcentagem de funcionários diariamente para acessar redes e recursos corporativos ”, diz Beamon. “Portanto, as VPNs precisam manter a disponibilidade enquanto as equipes de segurança garantem que quaisquer vulnerabilidades sejam corrigidas rapidamente para manter a confidencialidade e integridade dos dados. Para equipes internas, uma vulnerabilidade ou incidente relatado relacionado a VPN e conectividade de rede remota deve ter um nível de prioridade elevado.”
Wolf acredita que também é necessário um foco maior nas diferenças entre incidentes de segurança internos e externos. “É importante diferenciar se é um incidente de segurança interno ou externo, porque a abordagem para investigar funcionários não seria a mesma de ameaças externas.”
FONTE: CSO ONLINE