Política de confiança zero precisa ser encarada como modelo de longo prazo

Por mais que o trabalho remoto tenha ganhado notoriedade devido à política de home office implementada por conta do novo coronavírus, há cerca de duas décadas as pessoas já carregavam seus dispositivos para e do escritório.

Entretanto, a questão de segurança naquele tempo não se fazia tão necessária quanto agora, quando o novo modelo de trabalho se instaurou em massa, deixando dados corporativos em todo lugar. 

Quando John “Four” Flynn co-desenvolveu a iniciativa de segurança corporativa BeyondCorp do Google, ele fez isso realmente com a intenção de trilhar um caminho sem volta para a implementação do trabalho remoto, diz artigo do CIO Dive. Flynn, agora CISO da Uber, disse que  esta prática era mais simples nos anos 1990, já que as pessoas não eram alvo de ataques cibernéticos porque computadores e servidores permaneciam no escritório.  

“Estamos vendo algo que não é normal”, disse Flynn, durante uma mesa redonda virtual organizada pela Billington CyberSecurity. Ele observou que o cronograma de recuperação do coronavírus pode ter a forma de W, o que significa que existam períodos de funcionários fazendo a transição regular entre trabalhar em um escritório e em casa. 

Momento pede ações rápidas, mas duradouras 

Com
a força de trabalho remota, a segurança se move para o terminal. As
empresas então precisam se preparar para ações não controladas de
funcionários, dispositivos e acesso a dados corporativos. 

E quando se lembra que a crise
econômica e de saúde atingindo também os Estados Unidos, as empresas
são forçadas a implementar princípios de confiança zero em um ritmo
acelerado, “quer eles saibam [como fazê-lo] ou não”, disse Wendy Nather, Chefe de CISOs consultores da Duo Security da Cisco, durante a teleconferência. 

Nather disse ainda que as medidas emergenciais podem gerar respostas rápidas que tornam a segurança cibernética ainda mais vulnerável. As empresas que procuram uma estrutura de segurança temporária, complementada por ofertas gratuitas ou novos testes, diz o artigo, podem ser enganadas quando descobrem que não conseguem extrair as análises dos dados colocados nas ferramentas. “Não sabemos quando isso vai acabar”, diz Nather, ou seja, as funções de segurança devem ser escolhidas considerando o longo prazo. 

Crescimento de gadgets – e de ameaças 

A Duo
descobriu que os funcionários usam em média 2,5 dispositivos. Em
empresas de tecnologia maiores, como Google e Facebook, os funcionários
usam entre cinco e sete dispositivos. Remotamente, esse número – e o
número de dispositivos desconhecidos que acessam dados corporativos –
muda diariamente, de acordo com o CIO Dive. 

Os
funcionários remotos estão usando vários sistemas operacionais
simultaneamente. Os funcionários provavelmente não receberam
dispositivos pré-configurados
antes de ficarem remotos e qualquer rede VPN não possui elasticidade
para oferecer suporte a todos, disse o general aposentado Greg Touhill, Presidente da AppGate e ex-CISO federal dos EUA, durante a conferência. 

Segundo Touhill,
as arquiteturas de tecnologia têm mostrado sua idade à medida que
suportam a recente alta demanda. A confiança zero é apontada como o
melhor modelo de segurança, porque é responsável por todas as ameaças
cibernéticas, não apenas pelas que são relevantes apenas hoje.  

Os ataques de phishing aumentaram 667% de fevereiro a março e o ransomware está circulando entre os prestadores de serviços de saúde, diz o CIO Dive.
Os hackers que revisitam táticas antigas tentam explorar pessoas que já
são “vulneráveis psicologicamente”, disse Flynn. “Normalmente, esses
grupos não interagem tanto”, mas como o cenário de ameaças está em
constante evolução, o Uber compartilha ideias com os funcionários. Ao
fazer isso, os funcionários podem estar melhor preparados para proteger
seu trabalho virtual e vida pessoal, de acordo com ele. 

No
entanto, essa transparência é difícil de encontrar. “Os analistas de
ameaças sabem muito mais que os funcionários” e isso é planejado,
segundo Nather.
Quaisquer ameaças conhecidas, especialmente invasões bem-sucedidas,
deixam a liderança nervosa com outras divulgações. Mas a comunicação “em
ambas as direções” é necessária, ressalta. Cabe à liderança designar
uma estrutura de comunicação formal para todos os funcionários em
relação à segurança. 

Confiança zero 

Um modelo de confiança zero permite que a segurança seja independente da tecnologia, disse Touhill.
A área cinzenta da segurança do terminal é até o ponto em que um
funcionário permitirá que sua empresa injete protocolos de segurança em
seus dispositivos pessoais. “Todos nós temos esses usuários super
privilegiados que dizem: ‘você não vai tocar no meu telefone’”, disse Nather. “Isso está ficando ainda pior agora”.  

• Se houver muita resistência, as empresas precisarão adotar habilidades de detecção mais fortes, sugere: 
• Você sabe quais dispositivos os funcionários estão usando para acessar recursos de negócios? 
• Em caso afirmativo, quais são as características desses dispositivos? 

Se a TI puder negociar com os funcionários – como trocar uma atualização de software por mais acesso aos recursos – a segurança do terminal estará mais ao alcance. A TI “não pode gerenciar coisas que eles não publicaram”, disse Nather. 

Outro fator a ser considerado menciona sobre o que
as empresas fazem quando um dispositivo é comprometido. O Uber foi
construído com base em uma força de trabalho distribuída e teve que
desenvolver aquisições e análises forenses remotas para esses fins,
segundo Flynn. Os ambientes de área de trabalho virtual podem ser a
única solução para empresas que não podem emitir dispositivos para
funcionários remotos. 

Dependendo
do usuário, as habilidades de introspecção de TI podem ser limitadas,
mas um usuário ou dispositivo pode informar uma empresa sobre seu nível
de confiança. Se for um dispositivo pessoal, a confiança pode ser mais
conservadora, exemplifica o artigo.