Como reinventar a segurança e potenciar a produtividade dos colaboradores

As ciberameaças estão a mudar continuamente e estão sempre a emergir novos perigos. Com o advento da pandemia, muitos colaboradores tiveram de abandonar os limites seguros da rede da empresa e usar dispositivos e redes domésticas potencialmente menos seguras para aceder aos sistemas e dados da empresa.

Os hackers exploraram esta tendência, focando-se em temas potencialmente relevantes à luz das novas circunstâncias. Houve campanhas de phishing que prometiam informação exclusiva sobre a Covid-19, sites falsos que iludiam os utilizadores para que estes introduzissem os seus nomes de utilizador, palavras-passe e dados bancários para donativos, bem como falsas iniciativas de solidariedade. E nem todas as organizações conseguiram implementar desde o início a infraestrutura certa com as medidas de segurança adequadas, por exemplo quando os colaboradores usam dispositivos pessoais sem políticas de segurança ou uma pen USB sem qualquer controlo.

É certo que por vezes os colaboradores sentem a sua produtividade comprometida pela introdução de medidas de segurança adicionais. Mas são necessidades diametralmente opostas, com uma tensão complicada de resolver: é desafiante criar uma melhor experiência de utilizador ao mesmo tempo que se implementam medidas de segurança para organizações que trabalham em vários países e com diferentes organizações parceiras.

Os departamentos TI criam longos documentos de políticas de segurança e obrigam os colaboradores a analisá-los anualmente, mas o que é permitido e o que é proibido tem de se traduzir em algo mais dinâmico. É necessária uma mudança na cultura de segurança, que trate os utilizadores mais como consumidores, para que nos afastemos do evento de formação em segurança anual para algo que seja mais cativante e duradouro.

Chegar lá vai exigir que as equipas empresarial e de segurança trabalhem em conjunto, para compreenderem quais as situações em que o risco é inevitável (e chegarem a um entendimento quanto às medidas de segurança adequadas) e quais aquelas em que o risco supera qualquer potencial benefício provável. Este é o ponto-chave, a segurança tem de falar a mesma língua que a vertente de negócio.

Compreender o contexto da segurança

Como ponto de partida, a cibersegurança precisa de conhecer melhor os utilizadores. Hoje, os direitos de acesso são gerados serviço a serviço ou sistema a sistema. Esta abordagem é demasiado complicada. Agora há menos encontros cara-a-cara, mas a necessidade de acesso aos sistemas corporativos de forma remota mantém-se. As proibições totais são impraticáveis e desnecessárias.

A segurança está a avançar para regras baseadas nas pessoas, que mapeiam os comportamentos esperados desses indivíduos e são aplicadas de forma dinâmica. Nem que seja de maneira rudimentar, isto já acontece em muitas organizações. O que provavelmente está ausente é a criação de perfis sensíveis ao contexto, criados de forma dinâmica para diferentes tipos de utilizadores que acedem aos dados fora do horário laboral habitual.

As novas funções de ‘experiência digital’ ajudam à transição nas TI empresariais, tendo como modelo o ambiente de consumo, onde os serviços e os produtos têm ‘campeões’ da experiência para assegurar que aquilo que é entregue é aquilo que os utilizadores querem e precisam.

Para o utilizador empresarial, não se trata apenas de fazer algo apelativo: a tarefa é proteger os fluxos de valor entregues pelo modo como as pessoas trabalham e adicionar valor através do mapeamento dos fluxos de trabalho ponto-a-ponto. O caminho passa por levar os responsáveis pela experiência empresarial e pela cibersegurança a introduzir a segurança adequada no desenho das soluções.

Rumo a uma nova cultura de segurança

Um novo caminho: imitar o lançamento de um produto de consumo. Olhar para a experiência total do ‘cliente’ e introduzir a segurança como parte do fluxo de trabalho. Se tivermos um responsável pela experiência digital, temos um ponto de partida para adicionar valor às pessoas que geram valor.

Os utilizadores também têm um papel. As equipas de segurança podem trabalhar o melhor possível para garantir que tudo é ’seguro desde o desenho’. Ainda assim, a menos que os utilizadores assumam a responsabilidade de fazerem a sua parte, não há tecnologia inteligente capaz de manter uma organização totalmente segura.

Quando reinventamos o modo como cada colaborador pode contribuir para a postura de segurança de uma organização e construir uma cultura que integre totalmente uma segurança intuitiva, todos desempenham um papel crucial.