0
0
Um estudo recente da MITRE e da DTEX revelou que, apesar de anos de esforços da indústria contra ameaças internas, não há dados suficientes – ou sistemas avançados o suficiente – para detectar todo o comportamento malicioso. À medida que as empresas trabalham para construir uma cultura corporativa de cibersegurança, elas começaram a investir em arquiteturas de confiança zero para cobrir proativamente todas as superfícies de ataque.
Embora este seja um passo na direção certa, esse método de segurança também tem o potencial de aumentar o medo e gerar respostas negativas dos funcionários. Esta é especialmente uma preocupação em meio à Grande Renúncia; inúmeros funcionários estão deixando seus empregos devido a questões centradas na cultura do trabalho que não atende mais às demandas do funcionário moderno. Se tomado como um sinal de desconfiança e má fé, a segurança de confiança zero poderia espalhar ressentimento e desmotivação entre os funcionários, potencialmente acelerando as taxas de rotatividade e trazendo a Grande Demissão ao seu auge.
Como as empresas podem efetivamente navegar por zero confiança sem criar atritos entre empregadores e funcionários? E como eles chegam lá sem o luxo de exercícios de confiança nos bairros próximos de um ambiente no escritório?
A questão é que a confiança zero não significa semear desconfiança nas redes de uma organização. As empresas não devem depender apenas de tecnologias para proteção. A segurança é melhor aplicada quando é um esforço de equipe. Em outras palavras, o sucesso da confiança zero depende de uma cultura de transparência, comunicação e consistência em todo o quadro. Quando devidamente compreendidos e aplicados, esses esforços podem criar um ambiente de trabalho sustentável de confiança zero. Então, como chegamos lá?
Crie uma cultura de transparência e comunicação
De acordo com o Global Risk Report 2022 do Fórum Econômico Mundial, 95% dos incidentes de violação de segurança cibernética são causados por erro dos funcionários. Os humanos são propensos a clicar em e-mails de phishing ou, sem saber, executar malware, tornando toda a empresa vulnerável a ataques cibernéticos. A segurança de confiança zero resolve esse problema cobrindo todas as superfícies de ataque, incluindo a superfície de ataque humano.
Mas a confiança zero também levanta questões sobre confiança e fé entre a empresa e seus funcionários. Verificar cada decisão e cada movimento não criará uma cultura de medo e paranoia do “Big Brother”? A maioria das organizações luta contra esse dilema. Mas, na verdade, a solução – ou parte dela – é bastante simples.
Mesmo que as empresas comecem a implementar tecnologia de confiança zero em seus sistemas, elas também devem integrá-la em sua cultura. Alertem os funcionários sobre o que está acontecendo, o que o processo de confiança zero implica, como isso os impacta e beneficia, bem como a empresa, o que tomar cuidado e como eles podem apoiar o processo de confiança zero.
Ao engajar os funcionários e desafiá-los a adotar uma dose saudável de ceticismo em relação a ameaças potenciais, os empregadores estão plantando as sementes da segurança em seu esqueleto organizacional. Uma vez que os funcionários entendem o que está acontecendo e o valor da confiança zero, eles também começam a se sentir confiáveis e são capacitados a fazer parte da rede de cibersegurança mais ampla. Isso compensa em dividendos à medida que os funcionários identificam proativamente ameaças internas e externas à empresa, cobrindo todas as superfícies e promovendo uma boa higiene de segurança.
Implementar briefings e treinamento contínuo
Parte do processo de construção da cultura de segurança depende de garantir que os funcionários se sintam sempre preparados. Isso inclui o envio de atualizações contínuas sobre a implementação precisa de zero confiança e o fornecimento de programas de treinamento de segurança. Não basta dizer que x é bom, e y é ruim. Pessoas de diferentes origens provavelmente terão interpretações diferentes de erros de segurança e percalços. Enquanto os maus atores existem, a maioria das ameaças internas acabam por ser acidentais e não intencionais.
Ao fornecer recursos, incluindo hospedagem regular de briefings, programas de ameaças internas e treinamento de conscientização sobre segurança cibernética em todos os níveis – desde a suíte C até as coortes de estagiários – as empresas são mais propensas a ver a implementação de confiança zero se desenrolar organicamente. Com as informações certas seguidas de uma “política de portas abertas”, os funcionários saberão que têm redes de segurança para voltar atrás em caso de erro e serão bem versados na série de riscos de segurança para tomar cuidado e evitar.
Sempre haverá ameaças que penetram nas camadas de segurança de uma empresa. Mas se os funcionários forem treinados para sustentar a cultura de segurança da empresa, então identificar e relatar essas ameaças (seja uma chamada, e-mail ou texto) se tornará uma segunda natureza. Os funcionários treinados são capacitados e os funcionários capacitados capacitam a empresa, protegendo-a contra possíveis violações.
Crie ferramentas e incentivos para o sucesso
Uma cultura de transparência e conhecimento combinada com treinamentos para preparação pode ajudar a aprimorar as habilidades que os funcionários precisam para um ambiente de confiança zero bem-sucedido. Mas quando uma cultura de transparência pode não ser suficiente para manter os funcionários motivados, introduzir incentivos para o sucesso pode ajudar.
Tecnologias de confiança zero implantadas em uma organização não têm apenas que manter um olho no tempo no horizonte. Tente fazer a implantação deles divertida. Muitas dessas tecnologias dependem da autenticação adaptativa da tecnologia para permitir que os empregadores criem uma pontuação de risco com base na forma como seus funcionários usam seus dispositivos. Divirta-se com essas pontuações! Seja usando-os para ajudar a construir uma competição saudável entre os funcionários ou iniciando um programa de recompensas com base nas principais pontuações de segurança, os empregadores devem procurar incentivar a participação.
Ao entender o comportamento do usuário, os empregadores também podem fornecer ferramentas de suporte personalizadas e recursos que os funcionários podem precisar – seja VPN, criptografia, mais treinamento, etc. O uso dessas ferramentas variadas ajudará as organizações a cobrir todas as superfícies de ataque e criar uma higiene de segurança mais forte para todos. Ao mesmo tempo, os incentivos para obter ou manter altas pontuações de segurança motivarão os funcionários a continuar usando esses recursos e atualizando sua segurança conforme necessário.
Embora as tecnologias de confiança zero estejam disponíveis para cobrir todas as superfícies de ataque e proteger as organizações, elas não significam nada sem as pessoas que as usam, por isso alinhar o sucesso e a segurança da empresa com o sucesso e a segurança dos funcionários é fundamental. Isso significa priorizar uma cultura de transparência, comunicação aberta, confiança no processo e fé na capacidade uns dos outros de fazer o bem. Isso, complementado por treinamentos contínuos para garantir que todos permaneçam no volante e ninguém fique para trás, e várias tecnologias para cobrir todas as superfícies de ataque e garantir a proteção ideal, pode ajudar a criar uma rede de funcionários armados e treinados para se defender contra ameaças agora e no futuro.
FONTE: HELPNET SECURITY