Luis Banhara (*)
O formato e a experiência do trabalho ganharam novos contornos nos últimos meses. À medida que o conceito de trabalho se descola dos escritórios, mesmo que parcialmente, surgem novos desafios de segurança. A superfície de ataque foi ampliada.
Hoje, acessamos informações de diferentes lugares, redes e usando dispositivos pessoais, em alguns casos. O uso de shadow IT (tecnologia não autorizada pelo departamento de TI) muitas vezes é adotado como um meio para que os funcionários tenham ferramentas de produtividade que os empregadores não fornecem. E, por fim, o uso de VPNs como estratégia de acesso remoto que expõe os dados a múltiplas formas de ataque.
Em última análise, a abordagem tradicional de segurança, que considerava que os funcionários trabalhavam no escritório, não se aplica mais nesta nova realidade. De acordo com o estudo Digital Shock deste ano na América Latina, realizado para conhecer a perspectiva dos líderes de TI frente aos desafios da pandemia, 75% estão preocupados com a segurança em decorrência do trabalho remoto e 73% estão receosos com o uso de tecnologia não autorizada por funcionários.
Para resolver esta situação, algumas empresas optaram por soluções de segurança. Mas, essa decisão, leva a uma perda de desempenho da aplicação, afetando a experiência de trabalho dos funcionários. Então, como você pode garantir a segurança enquanto mantém a produtividade e a experiência?
Já, com uma abordagem Zero Trust, a estrutura que a TI consegue permitir o acesso seguro às aplicações, de qualquer dispositivo, avaliando continuamente a confiança em cada ponto de contato.
Baseia-se na consciência contextual usando padrões como identidade, tempo e dispositivo. Isso fortalece a segurança, a visibilidade e o controle, enquanto permite aos usuários a opção de escolher entre dispositivos e aplicações sem perder produtividade ou experiência.
Para implementar o Zero Trust, é importante:
• Monitorar a rede da empresa para ter uma ideia clara de qual infraestrutura e terminais estão instalados. Isso mostrará à TI o que sua política de segurança de rede deve abordar primeiro.
• Realizar uma avaliação completa de ameaças e criar alguns cenários do que aconteceria se dados confidenciais fossem violados. Faça perguntas do tipo: “Quem tem maior probabilidade de acessar quais dados?” e “Se o primeiro nível de segurança for invadido, quão fácil será acessar o seguinte?”
• Decidir como confiar em usuários, dispositivos e aplicações como entidades separadas, mas relacionadas. É importante conceder acesso apenas ao que é realmente necessário com base no uso. A autenticação é um bom começo, mas também pode ser útil adotar ferramentas de controle de acesso a fim de desabilitar a impressão, cópia e colagem e, ainda, fazer capturas de tela em determinados cenários.
Você também pode permitir que todos os funcionários acessem as aplicações e dados em um espaço de trabalho seguro fornecendo segurança de negócios mais completa.
• Teste sua arquitetura Zero Trust para ver se funciona bem. Execute cenários em que sua equipe de TI tenta acessar dados confidenciais por meio de um dispositivo perdido, rede Wi-Fi desprotegida, URLs maliciosas ou malware. Isso pode revelar possíveis vulnerabilidades na segurança da rede e adaptar de forma adequada a abordagem de segurança cibernética.
Dizem que “a confiança é ganha com mil atos e se perde com apenas um”, mas em termos de segurança é melhor não arriscar, certo? Zero Trust é a chave para construir uma infraestrutura segura no contexto atual o qual o novo padrão é a flexibilidade da equipe.
(*) – É diretor geral da Citrix Brasil (https://www.citrix.com/pt-br/).
