O modelo híbrido de força de trabalho é uma nova tendência no local de trabalho que fornece aos funcionários a liberdade de trabalhar em suas casas e, ocasionalmente, reportar-se a seus escritórios. No início da pandemia, as organizações em todo o mundo foram forçadas a adotar o trabalho remoto, ou trabalho de casa, como a nova norma. No entanto, como as organizações estão gradualmente começando a acomodar os funcionários em seus espaços de escritório, um modelo de local de trabalho combinado tornou-se indispensável. Existem várias variações de como um modelo híbrido pode ser estruturado: primeiro remotamente; escritório ocasional; ou primeiro no escritório, com permissão remota. As organizações podem escolher qualquer um desses três modelos ou podem mapear uma estrutura que funcione melhor para elas.

Embora o modelo de força de trabalho híbrido ofereça muitas vantagens, como flexibilidade, autonomia, maior produtividade e custos operacionais mais baixos, ele também aumenta a vulnerabilidade de uma organização a ameaças e ataques cibernéticos. Como os funcionários estão constantemente migrando entre suas casas e escritórios, as abordagens convencionais de segurança cibernética não são mais adequadas.

Os padrões de segurança cibernética que foram revisados para acomodar as condições de trabalho remotas não podem ser estendidos a ambientes de trabalho híbridos. É crucial entender que, além da tecnologia, os humanos também constituem um aspecto importante da segurança cibernética, por isso é insuficiente praticar uma abordagem orientada para conformidade para a segurança cibernética sem ter em mente o elemento humano. Uma abordagem baseada em risco é uma solução eficaz para fortalecer a estrutura de segurança cibernética de uma organização.

O que é uma abordagem baseada em risco para a segurança cibernética?

Neste modelo, o foco principal é identificar, priorizar e reduzir os riscos, em oposição a uma abordagem baseada na maturidade, onde o foco está no monitoramento de todos os recursos dentro da rede de uma organização. Uma vez que todos os ativos são monitorados com a mesma prioridade e grau de controle, uma abordagem baseada na maturidade reduz a eficiência com a qual os riscos são identificados e reduzidos, por sua vez levando a gastos ineficientes. A abordagem baseada em risco, por outro lado, é um método estratégico que visa tornar os gastos com TI mais eficientes.

Uma abordagem baseada em risco também oferece uma vantagem considerável sobre as abordagens tradicionais orientadas para a conformidade, em que o objetivo principal é atender aos padrões de conformidade regulamentar e passar nas auditorias. Em vez de riscar itens da lista de regulamentação de conformidade, um programa baseado em risco se preocupa em avaliar e reduzir a exposição de uma organização ao risco. Uma postura baseada em risco é considerada proativa em vez de reativa, pois o objetivo fundamental é prevenir e reduzir ameaças e riscos cibernéticos.

Implementar um programa de segurança cibernética baseado em risco usando o CARTA da Gartner

A Avaliação de Confiança e Risco Adaptável Contínuo (CARTA) introduzida pelo Gartner é uma abordagem estratégica para o gerenciamento de risco e pode ser adotada por organizações que desejam assumir uma postura baseada em risco na segurança cibernética. O monitoramento e a análise contínuos são essenciais para a estrutura CARTA, permitindo a detecção rápida e a resposta a riscos potenciais.

Isso permite que as organizações tomem decisões dinâmicas com base no risco e na confiança. Em soluções de segurança tradicionais, as decisões de segurança são consideradas estáticas ou binárias, pois permitem ou bloqueiam as decisões. Essa abordagem, na verdade, aumenta a possibilidade de riscos que tendem a se tornar cada vez mais perigosos.

Em uma abordagem baseada em risco, entretanto, as decisões devem ser dinâmicas e baseadas no contexto para acompanhar o cenário de segurança em constante mudança. Isso é particularmente importante para um modelo de força de trabalho híbrido, em que a movimentação de funcionários entre locais remotos e no escritório é altamente imprevisível. Isso exige que as organizações monitorem sua rede continuamente e tomem decisões dinâmicas e contextuais com base no risco e na confiança.

De acordo com o Gartner, o CARTA pode ser implementado em três fases de segurança de TI e gerenciamento de riscos: Executar, Construir e Planejar.

Executar: nesta fase, a organização utiliza a análise de dados para detectar anomalias em tempo real. Essas ferramentas exploram algoritmos de aprendizado de máquina e a detecção é automatizada para acelerar a resposta às ameaças. Além disso, a rede deve ser monitorada continuamente para detectar ameaças.

Build: esta fase está relacionada ao DevOps, onde a segurança é integrada nos estágios iniciais de desenvolvimento. Nesse estágio, os riscos de segurança potenciais são identificados antes que os aplicativos sejam lançados no estágio de produção.

Uma vez que as aplicações modernas são montados a partir de bibliotecas, em vez de construídos do zero, as bibliotecas devem ser verificadas minuciosamente em busca de quaisquer riscos ou vulnerabilidades. Da mesma forma, a organização deve realizar não apenas monitoramento contínuo e avaliação de risco para seu ecossistema, mas também para os parceiros digitais que interagem com seu ecossistema regularmente.

Planejar: nesta fase, a organização usa análises para modelar e prever áreas de risco e suas implicações na segurança geral. Com base nisso, a organização define o nível de risco aceitável e estabelece prioridades, tendo em vista o compliance e a governança. Isso, por sua vez, ajuda a tomar decisões contextuais e dinâmicas, ao contrário de decisões binárias, como permitir ou bloquear.

7 imperativos do CARTA para uma abordagem baseada em risco

O Gartner forneceu os seguintes sete imperativos CARTA que as organizações devem seguir a fim de adotar uma abordagem baseada em risco para a segurança cibernética:

  1. Substitua portas de segurança de uso único por plataformas de segurança adaptáveis, programáveis e com reconhecimento de contexto.

  2. Descobrir, monitorar, avaliar e priorizar riscos continuamente – de forma proativa e reativa.

  3. Realize avaliações de risco e confiança no início das iniciativas de negócios digitais.

  4. Infraestrutura de instrumentos para visibilidade de risco abrangente e full-stack, incluindo manuseio de dados confidenciais.

  5. Use análises, IA, automação e orquestração para acelerar o tempo que leva para detectar, responder e dimensionar.

  6. Projete a segurança como um sistema integrado, adaptável e programável, não isolado.

  7. Coloque a tomada de decisão e a propriedade do risco baseadas em dados contínuos nas unidades de negócios e proprietários de produtos.