⌛ TEMPO DE LEITURA: 4 MINUTOS
Lembra-se de todos os cortes de segurança impostos, enquanto as empresas lutavam para lidar com a pandemia? É hora de voltar e consertar as coisas
No mundo da segurança móvel corporativa, às vezes situações horríveis forçam a redução da segurança para preservar a empresa. E a Covid-19, que forçou as empresas a esvaziar prédios de escritórios e mover tudo (e todos) para locais remotos e à nuvem, em março de 2020, é o exemplo clássico. O que levou aos atalhos de segurança não foi apenas a mudança abrupta para trabalhar em casa, mas o fato de que as empresas normalmente precisavam fazer a transição em alguns dias.
Adicione a isso o aumento dos problemas com a segurança de IoT - especialmente porque os dispositivos IoT em ambientes domésticos acessaram sistemas globais por VPNs, às vezes espalhando malware pelo pipeline - e você terá uma bagunça. Um relatório recente de segurança móvel da Verizon disse isso sem rodeios: “Quase metade dos entrevistados admitiu que sua empresa havia conscientemente economizado na segurança de dispositivos móveis. Isso é um aumento em relação ao nosso relatório de 2020, quando o número era de 46%. A proporção sobe para dois terços (67%) em nossa amostra de IoT. E dos restantes, 38% (27% IoT) sofreram pressão para fazê-lo. Outra forma de olhar para isso é que 68% foram pressionados para economizar e 72% deles sucumbiram”.
Uma nota rápida para colocar esses números em contexto: é uma pesquisa. Quantos executivos de segurança sabiam que haviam cortado atalhos, mas estavam com medo de admitir por escrito? Os profissionais de segurança sabem melhor do que ninguém com que facilidade os dados podem vazar. Portanto, a realidade é provavelmente ainda pior do que sugerem os dados da Verizon.
Há uma questão mais assustadora: enquanto estou sentado aqui cerca de 13 meses depois que isso aconteceu, muitos buracos ainda precisam ser tapados. CISOs e equipes de TI têm estado extremamente ocupados (e com falta de pessoal) apenas tentando manter as operações em funcionamento e não criando novas brechas de segurança de vulnerabilidades antigas que não tiveram a oportunidade de corrigir.
Isso significa que os líderes C-suite - os CFOs, COOs e CEOs - precisam fazer um orçamento e insistir para que as correções aconteçam.
Enquanto isso, aqui estão alguns reparos fáceis para começar a reduzir os riscos relacionados à Covid:
Dual LANs em locais remotos, especialmente escritórios domésticos
Isso é simples de fazer, relativamente barato (na pior das hipóteses, você precisará comprar um roteador adicional para cada site) e reduzirá drasticamente sua exposição a qualquer um dos demônios provenientes dos dispositivos de consumo em casa, incluindo jogos infantis, dispositivos domésticos de IoT e laptops/telefones que também visitam sites de alto risco e baixam gratuitamente Deus sabe o quê.
A regra da política é simples. A partir de agora, você precisa criar uma LAN apenas corporativa e todos os dispositivos corporativos devem usar essa LAN e apenas essa LAN. Isso significa um laptop usado exclusivamente para fins de trabalho. Quanto a um telefone dedicado, isso também.
Revisitar BYOD
Deixe-me enfatizar: a ideia aqui é revisar completa e completamente as políticas de BYOD, não necessariamente abandoná-las. Existem muitas variáveis para perseguir isso. O detalhe principal: decida quais serão os planos da sua empresa para o trabalho remoto no final de 2021 e em todo o ano de 2022.
Quando a maioria das empresas mudou para BYOD (nem todas, é claro), elas o fizeram em circunstâncias totalmente diferentes. Sempre houve uma análise estatística de risco para BYOD, ou seja, algo como: "Vamos fazer isso, mas considerando que 90% das comunicações corporativas não são feitas no celular pessoal, há um limite de quantos problemas podemos nos meter". Essa é a mesma lógica que permitia segurança abaixo do ideal em escritórios domésticos antes da Covid-19. Dado que a empresa média tinha 10% ou menos de seus funcionários trabalhando em casa, alguns consideraram desnecessário (não econômico) gastar muito dinheiro para protegê-los.
Mas hoje, com muito mais atividades acontecendo em locais remotos e por meio de dispositivos móveis, o BYOD precisa ser reconsiderado.
Voltando à minha primeira sugestão (dual-LAN), há um limite para a redução de risco se o funcionário/contratado entrar em um smartphone que também está acessando sites de alto risco e inclui aplicativos suspeitos. Para obter o máximo de benefícios de uma LAN exclusiva para empresas, você precisa ser rigoroso, o que significa repensar sua política de BYOD.
Algumas outras considerações: a abordagem de partição foi apenas parcialmente bem-sucedida. Um argumento para separar dados pessoais e corporativos de aplicativos em um telefone é que, se os dados corporativos forem perdidos ou roubados, um apagamento remoto limitado pode proteger os dados corporativos, deixando os dados pessoais intactos.
Mas isso gerou resultados mistos, o que por sua vez fez o pessoal de TI hesitar em limpar remotamente. Quanto mais tempo o apagamento remoto não for executado (talvez para permitir que o funcionário/contratado tenha mais tempo para tentar encontrar o dispositivo), mais inútil ele se tornará. Os profissionais de TI e de segurança devem presumir que um telefone perdido está na posse de uma pessoa mal-intencionada.
Em contraste, um dispositivo de propriedade corporativa seria provavelmente mais fácil de limpar, já que não há perigo de perda de informações pessoais.
Outra consideração: smartphones em 2021 estão aproveitando mais e melhores opções de backup. Isso significa que mesmo uma limpeza remota não protege todos os dados corporativos. Digamos que um funcionário ou contratado saia, seja afastado ou demitido. Esses backups estão invariavelmente fora do alcance da TI. Em um dispositivo corporativo bem gerenciado, mais dados são controlados.
Além disso, a limpeza remota hoje não é mais o que costumava ser. Antigamente, envolvia literalmente limpar todos os dados de um telefone. Embora ainda faça isso tecnicamente, na maioria das vezes é menos uma limpeza do que uma desconexão dos ativos corporativos (quase sempre com base na nuvem). Isso ainda funciona mesmo em um dispositivo BYOD.
Revisite o gerenciamento de dispositivos móveis
Ao contrário do BYOD, a ideia aqui não é revisar se você deve usar o gerenciamento de dispositivos móveis (MDM) ou não - é sobre decidir qual provedor escolher e se é hora de atualizar ou revisar suas decisões de configuração. Com o celular, hoje em dia, com um mecanismo de controle de dados muito mais predominante, repensar o MDM em 2021 pode gerar decisões diferentes.
Resumindo, você pode justificar o custo de uma solução de MDM de nível superior hoje. Calcule os números, faça reuniões, analise as opções de produtos hoje e descubra.
Doug Barbin, Diretor da empresa de consultoria Schellmen & Co. (e um analista verdadeiramente perspicaz), argumenta que “a tecnologia MDM avançou, então não é mais tudo ou nada. Todos correram para a disponibilidade, mas você não precisa de todo esse acesso”. Barbin enfatiza que os administradores de TI e segurança se concentraram menos na meta de privilégios mínimos do que deveriam. “Eles deram aos usuários acesso a tudo de que precisavam e depois começaram a recuperar”.
Esse é um exemplo clássico do oposto do privilégio mínimo.
Lidando com a resistência do usuário
O maior problema com os esforços de segurança corporativa relacionados à pandemia hoje é a popular racionalização do usuário (e muitas vezes do gerente): “Estou apenas tentando fazer meu trabalho”.
Isso quase sempre é um código para: “Seus requisitos de segurança estão levando muito tempo e esforço. Estou tentando ativamente agora fazer uma corrida final em torno deles”. Isso começou imediatamente com a Covid-19, quando as VPNs (observando aumentos massivos no uso) diminuíram a velocidade e os usuários tentaram desesperadamente contorná-las para realizar seu trabalho. Os gerentes de linha de negócios frequentemente aplaudiam esses esforços ou os ignoravam agressivamente.
Essa foi a prova de que a segurança corporativa e os profissionais de TI não tinham feito um trabalho suficientemente bom para vender os benefícios de aderir às regras de segurança. Isso também precisa ser reavaliado.
As empresas aprenderam muitas lições nos últimos 13 meses, algumas boas, outras ruins. Quando se trata de segurança, agora é a hora de repensar como as coisas foram tratadas no passado e como deveriam ser no futuro.