Por Marcos Razón*
No início do ano 2020, a pandemia do novo Coronavírus espalhava-se pelo mundo. De olho nesta mudança, criminosos cibernéticos, que estão sempre prontos para adaptar suas ferramentas e táticas, reagiram com rapidez ao cenário que se alterava rapidamente ao seu redor para explorar novas brechas na segurança cibernética corporativa. Algumas organizações globais têm lidado com as consequências desde então.
Apesar disso, hackers maliciosos não são a única ameaça. As novas expectativas dos usuários acerca do trabalho remoto estão fazendo com que muitos tentem driblar políticas rígidas de segurança. Então, como resultado, os times de cibersegurança sentem que estão lutando contra uma batalha sem fim.
Porém, ainda existe esperança de um futuro com mais segurança corporativa e produtividade. Para chegar lá, os times de TI devem se certificar de que as estratégias de defesa se encaixem da melhor forma possível nos fluxos de trabalho e padrões já existentes na companhia. Para isso, são necessárias tecnologias não intrusivas, seguras desde a concepção e intuitivas para o usuário.
Do atrito com o usuário à rebelião total
A segurança cibernética é uma facilitadora. Desde o internet banking até as conversas criptografadas, ela nos ajuda a viver nossa vida digital com tranquilidade. Mas, na esfera corporativa, muitas vezes pensamos nela de outro jeito – como uma barreira à produtividade, em vez de um escudo necessário. Em um estudo realizado pela HP Wolf Security, mais de um terço (34%) dos trabalhadores no mundo todo afirmam que veem a cibersegurança como um obstáculo, dado que aumenta para quase metade (48%) entre os que têm entre 18 e 24 anos de idade.
Pelo menos parte dessa postura talvez venha de uma falta de consciência e de conhecimento geral dos processos. Dois quintos (39%) dos empregados de 18 a 24 anos não conhecem ao certo as políticas de segurança de dados existente em seu trabalho. Além disso, mais da metade (54%) afirmou estar mais preocupada com prazos do que com a exposição da organização a uma violação de dados. Ao mesmo tempo, quase dois terços (64%) dos funcionários afirmaram que não receberam treinamento adicional sobre como proteger sua rede doméstica.
Talvez o problema mais preocupante seja que essa apatia dos usuários está se traduzindo em comportamentos de alto risco que podem colocar incontáveis organizações em perigo. Cerca de 37% dos profissionais entrevistados acreditam que as políticas e tecnologias de segurança costumam ser restritivas demais, e quase um quinto (16%) admite driblar as regras para fazer seu trabalho com mais facilidade – comportamento que sobe para 31% entre os mais jovens.
Equipes de TI ficam numa saia justa
Profissionais de segurança cibernética conhecem essas tendências muito bem. Afinal, eles estão trabalhando todo santo dia na linha de frente da batalha permanente para proteger IPs e dados corporativos. Eles conseguem ver o iceberg que é uma grave quebra de segurança vagando bem à frente, mas se sentem desvalorizados e não ouvidos quando dão o alerta. Na verdade, a vasta maioria (91%) se sentiu pressionada a comprometer a segurança para facilitar a continuidade dos negócios.
Como resultado, a maior parte sente ter sido pega entre a necessidade de proteger sua organização de violações potencialmente catastróficas e as exigências por parte de usuários e gerentes para que criassem atalhos. Embora 91% dos times de TI tenham atualizado as políticas de segurança para dar conta da nova força de trabalho distribuída, 80% experimentou o repúdio dos usuários. A mesma proporção agora afirma que a segurança de TI se tornou uma “tarefa ingrata”.
A maioria dos profissionais estão, compreensivelmente, cansados de serem tratados como “vilões”, apesar dos níveis crescentes de risco cibernético. Atualmente, a ameaça de ransomware é particularmente séria – graças ao grande número de dispositivos e infraestrutura desprotegidos no trabalho remoto, usuários não treinados e grupos criminosos operando com impunidade e hostilidade.
Outro dado preocupante é que um terço das equipes de segurança sofreram estresse extremo durante a pandemia, e mais de um quarto acredita que isso afetou sua capacidade de fazer seu trabalho. Em tempos de déficits crônicos de habilidades nessa área, de ameaças crescentes e de conformidade reduzida com as regras de segurança, não podemos nos dar o luxo de perder mais profissionais talentosos.
As ferramentas certas
Funcionários anseiam por ferramentas de segurança fáceis de usar e restrições simples, mas as equipes de cibersegurança precisam encontrar um jeito de reduzir o ônus da segurança e melhorar a visibilidade das ameaças. Se negligenciados, fricções e riscos desse tipo podem escalar a proporções gigantescas. Então, como as organizações podem encontrar um meio-termo aceitável entre produtividade e segurança? A chave está em fazer com que trabalhar com segurança seja tão fácil quanto trabalhar sem segurança.
Isso implica que os times de cibersegurança se adaptem ao trabalho híbrido e busquem novos níveis de proteção de endpoint fundada em princípios de Confiança Zero prezando pela discrição, para evitar assim que o usuário final tente contorná-la. Embutir tecnologia de segurança não intrusiva no endpoint vai contribuir muito para proporcionar aos usuários uma experiência melhor com as suas defesas, ao mesmo tempo protegendo o negócio.
Laptops, PCs e impressoras com segurança integrada, e não acrescentada, podem proporcionar uma experiência mais consistente e menos restritiva ao usuário final. A partir daí, as organizações poderão priorizar os serviços de segurança, como aqueles que possam conter e isolar ameaças graves antes que tenham a chance de provocar qualquer dano. Outras ferramentas podem oferecer gerenciamento remoto para as equipes de TI e a capacidade de automonitoramento e auto restauração sem interação com o usuário.
Trata-se de otimizar a segurança enquanto a fricção é minimizada para o usuário. É assim que vamos manter os times de TI e os usuários finais contentes e produtivos à medida que nos firmamos na nova era do trabalho híbrido.
*Marcos Razón, diretor e gerente geral da HP Inc. para a América Latina
No Comment