Como o trabalho remoto afeta os relatórios de incidentes de segurança

A capacidade de os funcionários trabalharem remotamente traz muitos benefícios, desde melhor equilíbrio entre vida profissional e pessoal até despesas mais baixas e maior produtividade. Mas uma força de trabalho amplamente dispersa pode representar alguns grandes desafios para as equipes de segurança, principalmente como o trabalho remoto afeta os relatórios de incidentes de segurança. Com as empresas cada vez mais acostumadas a implementar tecnologias e processos de segurança mais sintonizados com o trabalho remoto em massa, o relatório de incidentes tem o potencial de se tornar um grande obstáculo.

Além de introduzir e manter protocolos como práticas de autorização e acesso de identidade apropriados remotamente, as equipes de segurança também devem revisar e ajustar suas políticas de relatórios para refletir a natureza do trabalho remoto ou expor suas organizações a ameaças de segurança significativas.

Ter uma força de trabalho remota pode criar uma sobrecarga de incidentes de segurança simplesmente devido à diversidade de redes criadas por uma infinidade de configurações domésticas ou remotas de usuários, em oposição a um ambiente de escritório em que todos estão na mesma rede, diz Paddy Harrington, Analista Sênior da Forrester, ao CSO . “Uma coisa é gerenciar 12 redes porque você tem 12 escritórios, mas se você tem 1.000 funcionários, 900 dos quais são remotos, você tem 912 redes para se preocupar. Isso significa que os incidentes, incluindo aqueles que são relatados, vão variar muito mais porque a rede doméstica de todos é diferente”. E isso pode levar à fadiga de alertas para as equipes de segurança se apenas uma fração dos incidentes for relatada, diz Harrington.

Novos desafios para a comunicação de incidentes

Fatores operacionais, comportamentais e tecnológicos podem afetar o relatório de incidentes de segurança cibernética para uma força de trabalho remota, introduzindo um novo conjunto de desafios centrados principalmente em comunicação e colaboração, diz Austin Wolf, Analista de Segurança da Informação da Code42. “Você entra em contato via Slack ou Teams ou por e-mail? Você pega o telefone e liga para alguém? Como você mantém todos os envolvidos no incidente na mesma página? Quando ocorre um incidente, as equipes precisam trabalhar juntas e encurralar sua equipe em um ambiente remoto às vezes é mais difícil do que apenas se reunir na tela do computador de alguém”.

De acordo com Taharka Beamon, Gerente de SOC da Reed Exhibitions, os funcionários em ambientes de escritório tradicionais normalmente usam o help desk local como seu primeiro ponto de contato para relatar incidentes, “com muitas pessoas preferindo visitar a equipe de TI pessoalmente para explicar comportamentos inesperados ou potencialmente maliciosos em seu computador”.

Isso se torna problemático se um sistema remoto estiver comprometido e o funcionário não puder usá-lo para relatar que está passando por um incidente, nem andar pelo corredor até o escritório de suporte de TI mais próximo, acrescenta Jason Hicks, CISO de Campo da Coalfire.

Sem canais de comunicação convenientes e remotos e instruções para todas as eventualidades, as empresas provavelmente sofrerão com relatórios ruins de funcionários fora do escritório, que podem atrasar e esquecer de relatar um possível incidente de segurança, diz Jonathan Wrolstad, Gerente Sênior de Inteligência de Ameaças na ExtraHop. Fusos horários diferentes entre forças de trabalho mais dispersas também entram em jogo, o que pode levar a atrasos nos relatórios e nos tempos de resposta, diz Mirza Silajdzic, Analista de Segurança Cibernética da VPNOverview.

Trabalho remoto influencia o comportamento dos funcionários em relação à segurança

O trabalho remoto também impacta e muda o comportamento e a conscientização da equipe em relação à segurança cibernética, o que pode afetar a comunicação de incidentes, diz Richard Jones, CISO Global da Orange Cyberdefense. “Os ambientes formais, como um escritório com estrutura e organização, proporcionam aos funcionários uma rotina estabelecida e limites claros para o que é relacionado ao trabalho e o que não é. Remova esse perímetro e eles podem lutar para manter o elemento humano vital de proteção de segurança, porque as pessoas se adaptam ao ambiente e as responsabilidades se confundem ao trabalhar em casa”. Portanto, o que a equipe pode pensar em relatar como um incidente de segurança continuará mudando ao longo do tempo, disse Jones ao CSO.

“A falta de conexão mental ou física com um escritório pode significar que os funcionários podem ser tentados a minimizar a gravidade de uma potencial violação e não apreciar totalmente a relevância ou aplicação das políticas corporativas no ambiente doméstico”, diz Keiron Holyome, Vice-Presidente da Blackberry UKI, Europa Oriental, Oriente Médio e África. Os usuários remotos podem ficar ainda mais relutantes em relatar um incidente de segurança devido a uma sensação de constrangimento, diz ele. “A vergonha cibernética – a relutância em denunciar uma violação devido ao constrangimento ou medo das consequências – pode significar que ameaças potenciais são ignoradas ou enterradas”.

Relatórios e respostas a incidentes de segurança baseados em sistemas e terminais também podem ser impactados negativamente pelo trabalho remoto, diz Immanuel Chavoya, Especialista Emergente em Detecção de Ameaças da SonicWall. “Por exemplo, se o sistema sinalizou a máquina de um usuário para uma invasão de malware, pode haver algum atraso na equipe de segurança para fazer as atualizações necessárias, enquanto, pessoalmente, o engenheiro de segurança pode imediatamente acessar o dispositivo e tomar as medidas necessárias”.

Um dos principais desafios de segurança para uma empresa com funcionários remotos é a incapacidade de visualizar todos os terminais no sistema, o que inibe a operação da detecção de segurança principal necessária para relatórios e respostas, acrescenta Chavoya. “Os endpoints tornam-se díspares em sua localização quando acessados remotamente, interrompendo a conexão com a infraestrutura corporativa, levando a um aumento potencial no tempo médio para detectar atividades maliciosas e no tempo médio para resolver o incidente de segurança”.

Relatórios ruins = perda de confiança do cliente

Os riscos de um processo de relatório impedido devido ao trabalho remoto são significativos. Quando os incidentes não são relatados, os relatórios são atrasados/falsamente comunicados ou as ações/respostas de acompanhamento são prejudicadas, isso pode deixar vulnerabilidades expostas e/ou dar aos invasores tempo no sistema para se infiltrar mais na rede antes que a equipe de segurança possa detectar e conter ameaças e atividade maliciosa, adverte Chavoya. Isso pode não apenas exacerbar a gravidade de incidentes e ataques, mas também prejudicar a reputação de uma empresa e sua capacidade de atender a determinados regulamentos de proteção de dados que estipulam regras rígidas em torno da divulgação. Isso pode levar à perda de confiança do cliente e grandes penalidades monetárias.

Portanto, é fundamental que as equipes de segurança atualizem suas políticas e processos de relatórios para considerar as implicações de segurança do trabalho remoto. “A tendência de trabalho doméstico e híbrido veio para ficar, por isso é incrivelmente perigoso para as equipes de segurança confiar em políticas e processos projetados para uma era passada, quando a maioria, se não todos, os funcionários estavam em um ambiente de escritório controlado”, diz Holyome. No entanto, as equipes devem abordar novas estratégias com cuidado para não introduzir ameaças maiores, acrescenta. “Com os recursos já esticados pelo aumento da frequência e complexidade da atividade cibernética, a pressão adicional no tempo e nas habilidades para implantar políticas em uma força de trabalho distribuída – incluindo a adaptação da educação e aplicação de políticas entre funcionários remotos – pode criar vulnerabilidades e riscos”.

Políticas eficazes de relatórios de incidentes de segurança remota

Garantir um relatório remoto eficaz de incidentes de segurança é fundamental para estabelecer canais e processos de comunicação claramente definidos, documentados e fáceis de usar para que os funcionários alcancem a equipe de TI e segurança, diz Beamon. “Políticas internas sobre manutenção e atualização pontual de informações de contato documentadas para equipes de TI e segurança são cruciais. As equipes têm uma responsabilidade adicional para garantir que os funcionários tenham informações de contato para a equipe de TI e segurança. Isso inclui fornecer telefone, e-mail e canais de comunicação anônimos para permitir o método mais confortável, dependendo da situação”.

Os funcionários também devem ser incentivados a salvar as informações de contato das equipes de TI e de segurança, juntamente com instruções de relatório de referência rápida off-line ou no celular da empresa para uso em caso de emergência. O marketing eficaz dessas informações é sua melhor solução aqui, acrescenta Hicks. “Coloquei essas informações em mouse pads, canecas de café, pôsteres e outros brindes ao longo dos anos. Também é importante tornar os endereços de e-mail de relatórios curtos, agradáveis e memoráveis, e manter o número de telefone consistente ano após ano”.

As horas de contato devem ser revisadas para levar em conta o fato de que os usuários podem estar usando seus dispositivos fora do horário de trabalho tradicional por motivos pessoais, afirma Chavoya. “Isso também pode incluir a substituição dos processos de resposta pessoal, por exemplo, quando a máquina de um usuário precisa ser refeita remotamente, eles podem precisar de mais orientação sobre a imagem do sistema operacional”.

No geral, as equipes precisam revisar regularmente a acessibilidade de seus processos de relatório de incidentes para aqueles que não estão no escritório, diz Holyome. “Existem instruções simples e contatos disponíveis que podem ser usados por pessoas que podem estar passando por interrupções na internet? Os funcionários ainda podem entrar em contato com a equipe de TI se forem bloqueados do software corporativo devido à violação? A empresa promove uma cultura sem culpa e capacita indivíduos em todos os níveis da organização para relatar problemas livremente e sem medo de recriminação?”

Treinamento e conscientização ajudam a manter os funcionários seguros

Treinamento e conscientização também são ferramentas importantes e devem abranger a importância de relatar até mesmo incidentes potenciais e enfatizar os riscos de segurança elevados que os trabalhadores remotos enfrentam, concordam os especialistas.

“Para funcionários que trabalham em casa, uma cadência de comunicações regulares sobre tópicos de segurança pode manter o tópico em mente e trabalhar para combater a vergonha cibernética”, diz Holyome. “Em particular, a educação sobre táticas de phishing e a exploração dos cibercriminosos das funções internas de bate-papo mais usadas por funcionários remotos ajudarão a aumentar a conscientização sobre as ameaças a serem observadas no dia-a-dia do trabalho”.

Como parte dessas atividades, as equipes de segurança devem compartilhar exemplos do mundo real com a equipe e, mais importante, garantir que os números de relatórios de incidentes nunca sejam incluídos nos KPIs para mostrar a eficácia da segurança forte – a menos que a intenção seja identificar uma unidade de negócios específica que relata o menor número de incidentes e pode, portanto, precisar de mais treinamento de conscientização. A liderança sênior também deve ser incentivada a participar desses exercícios.

“Exercícios de mesa e simulações mais realistas também devem ser realizados para garantir que todas as partes da empresa sejam capazes e confortáveis de relatar possíveis incidentes enquanto trabalham remotamente”, diz Beamon.

As próprias equipes de segurança devem entender as principais ameaças que sua força de trabalho remota enfrenta e fornecer orientações claras sobre como são os incidentes de segurança e como devem ser relatados, diz Wrolstad. “A segurança não é uma prioridade para a maioria dos trabalhadores, e eles precisam ser lembrados de quais são as principais ameaças e como elas se parecem para que possam reconhecê-las durante o dia de trabalho”. As equipes de segurança precisam se colocar no lugar de seus usuários remotos e descrever os possíveis riscos de segurança de uma maneira que seus usuários possam reconhecer, acrescenta.

Levando em consideração o nível de ameaça

Por fim, as equipes de segurança também precisam considerar como priorizam o relatório e a resposta a incidentes com base nos níveis de ameaça de trabalho remoto. “O foco renovado deve ser dado a certas partes da infraestrutura das organizações, principalmente as VPNs, que são usadas há décadas por muitas organizações, mas se tornaram mais importantes, pois agora são utilizadas por uma grande porcentagem de funcionários diariamente para acessar redes e recursos corporativos”, diz Beam. “As VPNs, portanto, precisam manter a disponibilidade enquanto as equipes de segurança garantem que quaisquer vulnerabilidades sejam corrigidas rapidamente para manter a confidencialidade e a integridade dos dados. Para equipes internas, uma vulnerabilidade ou incidente relatado relacionado à VPN e conectividade de rede remota deve ter um nível de prioridade elevado”.

Wolf acredita que um foco maior nas diferenças entre incidentes de segurança internos e externos também é necessário. “É importante diferenciar se é um incidente de segurança interno ou externo, porque a abordagem para investigar os funcionários não seria a mesma das ameaças externas”.