0
0
Como os CISOs estão gerenciando o cabo de guerra entre segurança de TI e produtividade dos trabalhadores nesta nova era remota?
Antes da pandemia, o trabalho remoto já estava em ascensão gradual. Uma pesquisa da FlexJobs revelou um aumento de 159% no trabalho remoto nos EUA entre 2005 e 2017 — mas mesmo assim, em 2017, apenas cerca de 3,4% do total da força de trabalho dos EUA era remota. Hoje esse número subiu para impressionantes 42%, de acordo com uma nova pesquisa de Stanford.
Não é segredo que a pandemia acelerou drasticamente a tendência para o trabalho de casa. No entanto, o que muitos de nós inocentemente acreditamos ser temporário na Primavera de 2020 se desenvolveu desde então em uma linha do tempo indefinida. Setenta e oito por cento dos CISOs pesquisados para um estudo conjunto da Hysolate e da Team8 acreditam que um quarto a três quartos de sua força de trabalho operará remotamente indefinidamente.
Recentemente, revisei “O Dilema do CISO“, um relatório detalhando os resultados deste estudo conjunto. Ele investigou como aspectos desta nova ordem mundial impactam os CISOs nas empresas da Fortune 2000 e a grande força de trabalho remota que eles agora gerenciam.
O que está claro é que esse aumento maciço no trabalho doméstico expôs pontos fracos nas abordagens tradicionais de algumas empresas para gerenciar funcionários remotos de TI — ou, em alguns casos, o que poderia ser considerado não-abordagens em sua informalidade. Essas abordagens herdadas foram concebidas antes deste novo normal, muito antes de se expandir para a linha do tempo indefinida em que nos encontramos hoje. O que funcionou para alguns funcionários estranhos ou ocasionais de trabalho de casa pode não funcionar para as massas. Para serem sustentáveis, seguras e produtivas no longo prazo, as empresas precisam descobrir como prosperar nessa nova realidade.
CISOs equilibrando segurança, produtividade em um mundo remoto-primeiro
Dos CISOs pesquisados, 87% acreditam queo trabalho remoto é um fluxo de trabalho permanente. Apenas 13% acreditam que voltarão ao trabalho em tempo integral. Claramente, estamos trabalhando com uma nova regra majoritária.
Esse rápido balonismo da força de trabalho em casa exacerbou um dilema existente que os CISOs já enfrentavam em menor escala: se favorecer a produtividade do trabalhador ou a segurança corporativa quando os funcionários estão em casa sob menor supervisão gerencial e cada vez mais usando dispositivos não-empresa.
Como observa o relatório, “As soluções de trabalho remoto legado estabeleceram a produtividade do trabalhador e a segurança corporativa como prioridades concorrentes em um jogo de soma zero…” Em outras palavras, ao favorecer um, você perde um pouco do outro — pelo menos, é assim que alguns veem. É um jogo, mas não particularmente divertido e está deixando alguns CISOs se sentindo puxados em direções concorrentes.
Esse dilema desafiador pode dar algum contexto a outra estatística reveladora: os CISOs relataram um aumento estimado de 8% no consumo de uísque e um aumento de 20% no consumo de vinho desde o início da pandemia. Não que estejam sozinhos,de qualquer forma. Se quisermos ler isso, podemos imaginar que essas pessoas, como tantas hoje em dia, estão compreensivelmente estressadas.
Com isso em mente, uma pergunta central que a pesquisa procurou responder foi: Como diferentes empresas estão jogando este jogo? Eles estão encontrando uma linha central ou divergindo para um lado da questão segurança versus produtividade? Como se vê, há divisões surpreendentes no tratamento das empresas de políticas em torno da segurança de endpoint, navegação na Web, uso de aplicativos de terceiros e BYOD (traga seu próprio dispositivo).
Como exemplo, entre os CISOs pesquisados:
- 26% introduziram medidas mais rigorosas de segurança de ponto final e acesso corporativo desde a chegada da pandemia.
- 35% relaxaram suas políticas de segurança para promover maior produtividade entre os trabalhadores remotos.
- 39% deixaram suas políticas de segurança iguais.
Os CISOs estão divididos sobre como abordar esse dilema. O relatório perguntou: Essas últimas 39% das empresas não estão fazendo mudanças porque estão confortáveis com sua postura de segurança? Ou é porque eles não sabem o que muda fazer?
Navegação na Web: Para surfar ou não surfar
Se permitir a navegação livre da web é uma pergunta fundamental, se não óbvia, sobre segurança e produtividade. Por um lado, o acesso à web introduz problemas de segurança e a tentação de se afastar do trabalho. Ao mesmo tempo, limitações estritas podem, sem querer, impedir que os funcionários acessem sites de que podem legitimamente precisar — sem mencionar que parece o Big Brother.
Sessenta e dois por cento disseram que suas empresas restringem o acesso a certos sites em dispositivos corporativos, por isso é seguro dizer que a maioria favorece alguma formalidade com a forma como os funcionários usam dispositivos da empresa. O quão rigoroso é e quais sites são restritos dependeria da empresa. Com as necessidades e fatores de risco de cada empresa sendo únicos, vale sempre a pena parar e considerar o que é melhor para a sua situação.
Aplicativos de terceiros: instalar ou não instalar
A seguir, a questão de permitir a instalação e o uso de aplicativos de terceiros. Mais uma vez, restringir aplicativos de terceiros pode negar potenciais ameaças à segurança e perda de tempo. Ao mesmo tempo, ser muito rigoroso pode dificultar a produtividade, já que alguns aplicativos como Slack e Microsoft Teams — entre os aplicativos de terceiros mais populares que os funcionários procuram instalar — podem ser usados para aumentar a eficiência, a comunicação e, você pode argumentar, a moral. E a moral mais alta, como sabemos, aumenta a produtividade.
Mais de 70% dos CISOs pesquisados relataram não permitir a instalação de aplicativos de terceiros em dispositivos corporativos. Semelhante à navegação na web, parece que a tendência é de mais restrições do que menos. No entanto, metade dos CISOs acreditam que permitir que os funcionários instalem aplicativos de terceiros e naveguem livremente na web aumentaria a produtividade, enquanto, por outro lado, 81% relatam uma relutância em conceder direitos administrativos sobre os dispositivos da empresa dos funcionários devido a preocupações com a segurança. Você pode ver o picles em que eles estão e como a segurança tende a ganhar no cabo de guerra entre segurança e produtividade. Isso pode não ser uma grande surpresa — afinal, o título é diretor de segurança da informação, não diretor de produtividade de informações.
Gerenciamento de políticas BYOD
“A questão do acesso a ativos corporativos a partir de pontos finais não gerenciados por empresas introduz outra camada de complexidade para os CISOs que estão navegando na mudança para o primeiro-turno remoto”, segundo o relatório. Aqui, é claro, estamos falando da tendência dos funcionários usarem seus dispositivos pessoais — também conhecido como BYOD.
Hoje, mais de 1 em cada 5 empresas não permitem que os funcionários usem BYODs para acessar ativos da empresa. Para aqueles que o permitem, a apresentação de políticas BYOD que permitem aos trabalhadores acessar esses ativos remotamente apresenta um dilema adicional. Infelizmente, não há uma abordagem líder ou padrão, o que significa que as empresas precisam decidir por si mesmas o que é melhor.
Escolhas, Escolhas: Acessando ativos corporativos de casa
Os vários métodos que estão sendo empregados para acessar ativos corporativos em BYODs incluem:
- 4% usam arquitetura de confiança zero.
- 13% utilizam autenticação multifatorial.
- 24% utilizam VPNs.
- 36% implantam infraestrutura de desktop virtual (VDI) ou desktop como serviço (DaaS).
- 22% não permitem acesso a redes corporativas ou aplicativos a partir de um dispositivo não corporativo.
Esmagadoramente, vemos que a tendência é o uso de VDI ou DaaS, pois vemos o salto de 36% para mais de 75% quando os dispositivos corporativos são levados em conta. O problema, no entanto, é que apenas uma pequena fração de CISOs — menos de 1 em cada 5 — acredita que seus funcionários estão satisfeitos com a solução VDI ou DaaS de sua empresa. Além disso, a maioria dos CISOs não acha essas soluções um bom investimento, com mais de três quartos dos CISOs relatando que seu ROI no uso de VDI ou DaaS tem sido de média a baixa.
O relatório — que, com a divulgação completa, leva a um passo para o Espaço de Trabalho Isolado da Hysolate (IWaaS)— argumentou que as soluções tradicionais de VDI, DaaS e VPN não fazem mais o corte na primeira era remota, citando custos elevados, baixo ROI, redução da produtividade, aumento da frustração dos funcionários, falta de flexibilidade e a posição difícil que podem impor aos líderes para comprometer entre segurança e produtividade.
Para onde vão os CISOs daqui?
Em uma recente Cúpula Virtual de Segurança e Gerenciamento de Riscos do Gartner,o diretor sênior de pesquisa Jonathan Care destilou o problema central destacado por este relatório:
“Antes da pandemia, a maioria das empresas projetava seus apetites de risco em torno da suposição de que o trabalho remoto era a exceção, e não a norma. Quando esse cenário foi invertido, riscos como VPNs sempre ligados e BYOD, que antes eram uma prioridade menor para os líderes de segurança, de repente se tornaram o topo da mente. Isso forçou as equipes de segurança a reavaliar rapidamente o cenário de risco de suas empresas e implantar novas soluções e políticas de acordo.”
Para ser seguro e produtivo através do longo prazo da home officing, é claro que as empresas e seus CISOs têm seu trabalho cortado para eles.
FONTE: SECURITY BOULEVARD