A maioria dos trabalhadores de uma empresa preferem a conveniência e tendo isso em conta há medidas que se podem tomar re-equilibrar a equação ao favor de maior segurança.
Como especialista em cibersegurança, Richard White, defende o bloqueio do acesso a dados confidenciais de forma a mantê-los longe do alcance de olhos errados. Mas por outro lado, critica as empresas por se excederem nas restrições aos dados, em geral.
O excesso de barreiras pode ser destrutivo para o aparato de segurança estabelecido, ao tornarem difícil ou quase impossível, a execução de trabalho de forma eficiente. É um cenário que retarda a produtividade e, ironicamente, coloca os dados em risco. Os trabalhadores, simplesmente fazem por descobrir soluções de acesso alternativas.
White assinala um incidente específico que testemunhou num escritório: um trabalhador fez uma foto de informações protegidas, mas exibidas num PC da empresa procurando levá-las para terminar um trabalho em casa.
“Se as medidas de segurança forem excessivamente complexas, a primeira coisa que os utilizadores fazem é procurar uma forma de as contornar e, em seguida, as medidas de segurança falham completamente. É imperativo que os profissionais de cibersegurança revejam e adaptem políticas, procedimentos e tecnologia, com base em riscos de segurança reais. Tem de haver uma conjugação justificável de medidas de segurança racionais, com o que os utilizadores estão a tentar concretizar”, diz White, autor do livro “Cybercrime: The Madness Behind the Methods” e director executivo da Oxford Solutions.
As equipas de cibersegurança não precisam de reformular completamente as suas operações para conseguir um melhor equilíbrio entre medidas de segurança e usabilidade, considera White e outros especialistas. Em vez disso, podem começar por abordar várias áreas comuns nas quais os trabalhadores tendem a sacrificar a segurança pela produtividade.
Requisitos complexos para passwords
As passwords são um factor crucial de segurança, mas os responsáveis de cibersegurança dizem que as organizações criaram políticas tão complexas para elas, que desvirtuaram as capacidades protectores daquele elemento. Em vez disso, ele torna-se em vulnerabilidade.
As políticas exigem geralmente que os trabalhadores tenham passwords excessivamente longas e com muitos requisitos. Além disso, exigem frequentemente que os trabalhadores as alterem.
Como resultado, os trabalhadores tendem a escrevê-las ou, talvez, pior ainda, colocam-nas num ficheiro no computador para lembrarem-se delas. Mas claro, dizem os profissionais de segurança, as passwords mantêm a sua importância.
Partilha de passwords para evitar controlo inflexível
Numa nota relacionada, Tim Crosby, consultor de segurança sénior da Spohn Security Consulting (Texas), diz que alguns funcionários também partilham as suas senhas com colegas. Mas diz que os trabalhadores apenas fazem isso porque precisam de partilhar o acesso aos seus ficheiros, com colegas de trabalho.
Mas segundo o especialista a situação acontece em todos os da hierarquia das organizações: executivos partilham passwords com assistentes ou outros funcionários, por exemplo em situações de ausência por folga.
Para contrariar esses procedimentos, as equipas de cibersegurança devem trabalhar com os gestores de negócio para identificar com maior precisão quais utilizadores que precisam de aceder a determinados ficheiros. Em seguida, importa criar políticas sobre como garantir o acesso partilhado com segurança.
Sobrecarga de situações de autenticação
As organizações também têm um problema com o número de vezes que pedem aos trabalhadores para se autenticarem nos sistemas. Muitos funcionários têm vários momentos de “log-in” e autenticação durante todo o dia do trabalho, o que vêem como obstáculo para a sua produtividade, diz Alvaro Hoyos, CSO da OneLogin, um fornecedor de serviços de gestão de acesso e identidade em cloud computing.
O responsável diz que tais esforços levam os trabalhadores contornarem os requisitos de “log-in”, por exemplo, transferem os dados que precisam das aplicações seguras para um local de mais fácil acesso, caso tenham de se afastar da mesa por alguns minutos. As equipas de cibersegurança têm várias opções para enfrentar esses cenários, diz Rob Stroud, analista principal da Forrester Research e presidente do conselho da ISACA.
Possíveis soluções incluem o uso de tecnologia de gestão de identidade, de autenticação múltipla num só passo, tokens, ou as capacidades avançadas de User and Entity Behavior Analytics (UEBA). Estes sistemas conseguem fazer a distinção entre os padrões normais de trabalho e as anomalias que indicam uma potencial ameaça.
Outro grupo de soluções envolve aquelas baseadas em biometria, e servem especialmente quando a viabilização do acesso tem de ser rápida e fácil.
Dados mantidos como reféns
A necessidade de proteger dados confidenciais tornou-se primordial para a maioria das organizações, mas especialistas em cibersegurança dizem que muitas organizações criaram muitas camadas de protecção desnecessárias. O excesso está a diminuir a produtividade e leva os trabalhadores para práticas inseguras.
E a evidência de tal frustração é cada vez mais forte.”Muitos gestores não percebem quão fácil é obter os dados”, diz Crosby, reforçando que quando o trabalhador contorna as medidas de segurança gera falhas nas camadas protectoras da organização e o risco aumenta.
White considera que as organizações devem reconhecer que estão a criar problemas para si mesmas quando tratam todos os dados da mesma maneira. Em vez disso, ele e outros especialistas consideram que a segurança precisa de desenvolver mais trabalho na classificação dos dados para proteger os conjuntos verdadeiramente mais importantes de informações.
Ao mesmo tempo são removidas barreiras à informação menos confidencial que a maioria dos trabalhadores usa nas suas funções.
Fluxos de trabalho pouco práticos
Os fluxos de trabalho é outro ponto em que a segurança e a produtividade colidem. Wouter Koelewijn, vice-presidente sénior da divisão de digitalização na Y Soft, uma empresa de soluções de gestão de impressão, diz que vê muitos trabalhadores partilhar, digitalizar, enviar e imprimir documentos no curso normal de suas funções.
Mas ou não estão conscientes dos potenciais riscos de segurança, ou os conhecem, mas avançam na mesma, porque eles têm de fazer o seu trabalho. Koelewijn não os culpa. Considera haver falhas no desenho dos sistemas que não acomodam facilmente os padrões actuais de fluxo de trabalho quotidiano.
“No caso de se lhe fazerem muitas perguntas ou pedir-lhes para classificar documentos, os utilizadores comportam-se como se estivéssemos a atrasá-los nos processo de alcançarem o que querem, e por isso arranjam as suas próprias soluções”, diz. Koelewijn e outros especialistas dizem que as empresas precisam de investir em tecnologias e desenhos de sistemas capazes de facilitar que os trabalhadores sigam as regras.
E, mais importante, necessitam de apostar o máximo possível na automatização. “Temos que olhar para os fluxos de trabalho e introduzir dispositivos de segurança adequadamente, com base no risco, de modo a não implantar uma solução geral para todas a situações”.