4 erros de segurança que empresas ainda cometem com aplicativos de colaboração
Antes da pandemia, o mundo dos negócios dava como certo que a grande maioria dos profissionais do conhecimento trabalharia em escritórios corporativos na maior parte do tempo. No mundo pós-pandemia, porém, muitos funcionários podem trabalhar de qualquer lugar, a qualquer hora e em qualquer dispositivo com conexão à internet.
Quando os lockdowns que levaram as pessoas ao trabalho remoto devido à Covid-19 entraram em vigor em todo o mundo, no início de 2020, as organizações correram para adotar ferramentas de colaboração on-line. Com capacidades que vão desde videoconferências até coautoria de documentos e rastreamento de projetos, essas ferramentas ajudaram as equipes a se comunicarem, trabalharem juntas e compartilharem atualizações de vários projetos e iniciativas a partir de suas casas ou de qualquer outro lugar.
Embora algumas empresas agora estejam incentivando ou até mesmo exigindo o retorno ao trabalho presencial para muitos funcionários, as ferramentas de colaboração continuam sendo cruciais para as operações comerciais. Elas se tornaram uma parte fundamental para fazer negócios com pessoas que trabalham em vários locais, tanto dentro das empresas quanto externamente com clientes, fornecedores e outros terceiros, disse Doug Glair, diretor de Cibersegurança da empresa de pesquisa e consultoria em tecnologia ISG. Portanto, as empresas precisam garantir que suas ferramentas de colaboração sejam resilientes, fáceis de usar e seguras, dada a sua importância crítica para o negócio, acrescentou Glair.
Leia mais: CIOs temem perdas de até US$ 100 milhões em caso de ransomware, alerta Quest Software
Mas, apesar de as organizações estarem usando ferramentas de colaboração há vários anos, ainda estão cometendo os mesmos erros de segurança dos primeiros dias da pandemia, afirmam os especialistas.
Uma das principais razões é que as ferramentas de colaboração muitas vezes são implementadas em unidades de negócio específicas e não em toda a empresa, de acordo com Avani Desai, CEO da Schellman, uma empresa de avaliação de cibersegurança. “Talvez eu queira usar o Asana, e outra pessoa queira usar o SharePoint, e outra pessoa queira usar o Jira, e a equipe executiva quer usar outra ferramenta — então o acesso do usuário não é concedido em nível empresarial”, disse ela. “O acesso do usuário tem sido um problema há anos, e continua sendo um problema”.
O analista da Gartner, Patrick Hevesi, concorda com a avaliação de Desai. “Digamos que seu padrão corporativo seja o Microsoft 365, ou o G-Suite, ou qualquer outro, mas alguém na empresa quer usar o Slack“, disse ele. “As pessoas estão adicionando mais ferramentas de colaboração sem a autorização da organização de segurança da TI“.
Veja também: 7 formas de reduzir custos sem comprometer a cibersegurança
Além disso, as organizações que adotam plataformas de colaboração como Microsoft Teams, Slack, Box, Dropbox, GitHub, Jira, Asana e outras frequentemente estão focadas nos benefícios de produtividade. A segurança dessas plataformas, comunicações e dos dados compartilhados geralmente é uma reflexão posterior, se é que é considerada, disse Jay Martin, líder de Prática de Segurança na empresa de serviços gerenciados GreenPages Technology Solutions.
“Torná-las mais seguras é essencial para proteger a organização contra atores ameaçadores que procuram um ponto de entrada para informações proprietárias, dados financeiros, propriedade intelectual e muito mais”, afirmou ele.
O Computerworld perguntou a analistas da indústria de tecnologia, provedores de serviços de TI e consultores de segurança quais são os maiores erros de segurança na colaboração que ainda veem as organizações cometendo atualmente, e o que fazer a respeito. Aqui está o conselho deles.
Não fornecer governança central para ferramentas de colaboração
Se as organizações não fornecerem acesso a ferramentas de colaboração aprovadas, é provável que os funcionários encontrem suas próprias soluções e usem ferramentas inseguras, disse Sourya Biswas, diretor Técnico de Gerenciamento de Riscos e Governança na empresa de consultoria de segurança NCC Group. “Portanto, embora seja importante para as organizações adotar a colaboração digital, ao mesmo tempo elas devem impedir a instalação e uso de ferramentas não aprovadas, por meio de mecanismos como acesso restrito de administrador local e soluções de navegador gerenciadas”.
Mesmo quando as ferramentas de colaboração são avaliadas e aprovadas, as organizações devem estar cientes das diferentes plataformas de colaboração às quais cada funcionário tem permissão para acessar, a fim de evitar a exfiltração de dados sensíveis e evitar a criação de novos vetores de ataque para atores mal-intencionados, disse Michael McCracken, diretor Sênior de Soluções para Usuários Finais da SHI International, uma revendedora de produtos e serviços de tecnologia.
Além disso, a equipe de TI precisa manter o controle centralizado sobre essas ferramentas, disse AJ Yawn, Ssócio do departamento de consultoria de garantia de riscos da Armanino, uma empresa de consultoria independente em contabilidade e negócios. “Se alguém for demitido, as pessoas encarregadas do desligamento sabem como remover o acesso a essas ferramentas, ou esses [antigos funcionários] ainda têm acesso [aos dados sensíveis da empresa]?”
Utilizar métodos inseguros de compartilhamento de arquivos
Muitas organizações utilizam métodos inseguros para o compartilhamento de arquivos, de acordo com Desai, da Schellman. Dois exemplos são os anexos de e-mail não criptografados e o compartilhamento público de arquivos que ocorre em ferramentas de colaboração sem criptografia incorporada.
“O uso de métodos inseguros de compartilhamento de arquivos é uma preocupação de segurança, pois pode levar a vazamentos de dados”, afirmou ela. Ela aconselhou as empresas a utilizarem apenas plataformas de compartilhamento de arquivos seguras com criptografia.
As organizações também devem implementar protocolos seguros de transferência de arquivos, disse Desai. “Portanto, o e-mail deve ter o que chamamos de TLS [transport layer security], que é como uma criptografia dentro da transferência”.
Não realizar uma devida diligência em relação a consultores e provedores de serviços
Embora os principais fornecedores de colaboração ofereçam recursos de segurança robustos, muitas vezes cabe aos responsáveis pela implantação e gestão do software garantir que ele esteja configurado para obter o máximo de segurança. Em muitos casos, especialmente em empresas menores, as organizações recorrem a consultores de TI ou provedores de serviços para obter esses serviços. Apesar do aumento da conscientização sobre segurança na colaboração, consultores e provedores de serviços ainda cometem erros que colocam em risco os dados de seus clientes, afirmou Kunal Purohit, diretor de Serviços Digitais da Tech Mahindra, uma empresa de serviços e consultoria em TI.
Esses erros incluem controles de acesso inadequados, como permitir o compartilhamento de senhas ou conceder privilégios excessivos; negligenciar a aplicação de medidas de autenticação forte, como autenticação de dois fatores; e deixar de atualizar regularmente o software e os sistemas, o que pode abrir vulnerabilidades, explicou ele. Outro erro cometido por consultores e provedores de serviços é não criptografar informações sensíveis durante a transmissão e/ou armazenamento. “Além disso, a falta de realização de auditorias e avaliações regulares de segurança expõe ainda mais as organizações a riscos”, disse Purohit.
Leia também: A importância de uma abordagem integrada para combater fraudes documentais
As organizações devem realizar uma diligência adequada antes de contratar qualquer consultor ou provedor de serviços, aconselhou Purohit. Isso inclui verificar se essas partes têm histórico comprovado na implementação de medidas de segurança robustas.
“As organizações devem definir claramente seus requisitos e expectativas de segurança e incluí-los nos acordos contratuais com os consultores ou provedores de serviços”, afirmou ele. “Além disso, as empresas devem realizar auditorias e avaliações regulares de segurança para identificar quaisquer vulnerabilidades ou não conformidades”.
Além disso, as organizações devem impor rigorosos controles de acesso, fornecendo aos consultores e provedores de serviços privilégios limitados com base em suas necessidades específicas, de acordo com Purohit. E acima de tudo, as organizações devem estabelecer canais de comunicação claros com eles para relatar prontamente quaisquer incidentes ou violações de segurança.
Não garantir que os funcionários estejam usando conexões de internet seguras
A capacidade de colaborar de qualquer lugar do mundo com uma conexão à internet abre a possibilidade de os funcionários se conectarem a pontos de acesso sem fio inseguros em locais públicos, como cafés e aeroportos, comprometendo assim quaisquer dados que trafeguem pela conexão, disse Biswas, da NCC. Redes virtuais privadas (VPNs), serviços de acesso seguro e ferramentas de acesso de rede com confiança zero podem abordar esse risco, disse ele.
Rahul Mahna, sócio da EisnerAmper que lidera a equipe de serviços de TI terceirizados, concordou. “Agora que todos estão voltando a viajar, as pessoas estão usando o Wi-Fi gratuito disponível no Acela, nos quartos de hotel e nos centros de conferências para se conectar às suas ferramentas de colaboração”, disse ele. “E essas conexões são cheias de problemas de segurança. Eu sempre digo às pessoas que a conexão mais segura é através do tethering com o seu celular, porque a segurança da operadora é muito melhor do que qualquer segurança que você possa obter de Wi-Fi gratuito”.
Não há tempo a perder
A colaboração é a moeda que impulsiona o ambiente de trabalho atual, disse Kris Lovejoy, líder Global de Prática em Segurança e Resiliência na Kyndryl, provedora de serviços de infraestrutura de TI. A pandemia mudou a forma como as empresas trabalham, pois a maior digitalização ajudou a manter o comércio global avançando. No entanto, também expandiu a área de superfície na qual possíveis ciberataques podem ser realizados.
“Hoje, não se trata de saber se, mas quando os atores mal-intencionados irão atacar”, disse ela. “Do ponto de vista da segurança, as ferramentas de colaboração aumentam o panorama de ameaças. Esse desafio crescente apresenta uma oportunidade para as empresas adotarem uma nova forma de pensar sobre as ameaças. É por isso que é fundamental realinhar-se para um futuro de resiliência cibernética”.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!