Analysis
O início da pandemia e a falta de computadores disponíveis no mercado levou a que alguns colaboradores utilizassem o seu computador pessoal para tarefas corporativas, aumentando o risco a que as organizações estão sujeitas
Por Rui Damião . 16/02/2022
Durante anos, o Bring Your Own Device (BYOD) foi uma previsão tecnológica que, pelo menos em Portugal, nunca teve efetivamente sucesso. As organizações adaptaram-se e deram os dispositivos – principalmente computadores – necessários para que os colaboradores realizassem as suas tarefas. Mas em 2020 a tendência mudou. A pandemia levou a uma adoção do modelo de trabalho remoto que ninguém esperava. Os planos de contingência foram acionados, mas muitas organizações não esperavam ter de colocar a totalidade da sua força de trabalho fora da empresa. Os colaboradores que não utilizavam um computador portátil tiveram, essencialmente, duas opções: ou levavam o desktop da empresa para casa ou utilizavam o seu computador pessoal. Assim, o Bring Your Own Personal Computer (BYOPC) ganhou uma nova vida, muito motivada pelas contingências pandémicas. Mas esta realidade traz riscos para as organizações e abre novas portas de entrada para um ciberataque. Crescimento durante a pandemiaO início de 2020 mudou por completo a forma como as organizações e os seus colaboradores trabalham; o trabalho remoto, é agora, uma realidade conhecida das empresas. David Grave, Senior Cybersecurity Consultant na Claranet Portugal, afirma que, tal como muitas outras tendências, o BYOPC “viu a sua adoção acelerada durante a pandemia”. Se antes escolher o portátil que mais lhes agradava para trabalhar era um benefício, com o início da pandemia tornou-se “numa necessidade que muitas organizações se viram obrigadas a satisfazer como forma de deslocar rapidamente a sua força de trabalho do escritório para trabalho remoto”. O problema, no entanto, é que, “simplesmente, as organizações não tinham estes dispositivos disponíveis” e “o mercado não conseguiu responder à procura”. Miguel Souto, Partner Business Manager na HP Portugal, recorda que “nenhuma empresa estava pronta” para as necessidades que a pandemia criou nas empresas. “Mesmo com grandes riscos, a criticidade de manter o negócio a funcionar levou muitas organizações a deixarem os utilizadores usarem os seus dispositivos pessoais para a realização do trabalho”. PC pessoal na empresaCom uma forma de trabalho mais híbrida, é necessário proteger os computadores pessoais dos colaboradores quando estes utilizam o dispositivo para trabalhar diariamente. Para Miguel Souto, da HP, é necessário “descentralizar a segurança”, uma vez que esta segurança e resiliência “devem começar no próprio PC”. Para David Grave, “uma estratégia de BYOPC exige que a organização passe por um processo de adoção e transformação, sendo fundamental abandonar a abordagem tradicional, normalmente centrada na proteção de perímetro. O dispositivo usado, que até aqui era gerido na íntegra pela organização, passa a ser um dispositivo pessoal do colaborador, que não é gerido e que pode estar muito tempo fora da organização, aumentando potencialmente uma série de desafios relativos à cibersegurança”. Alberto R. Rodas, Sales Engineer Manager na Sophos Iberia, defende que “as duas coisas mais importantes são implementar as atualizações imediatamente, assim que estejam disponíveis, e contar com um bom software de segurança de endpoints. No entanto, a nossa maior recomendação é mesmo não utilizar dispositivos pessoais para aceder a recursos corporativos. Um equipamento pessoal nunca alcançará o mesmo grau de segurança de um dispositivo corporativo, porque não será monitorizado por profissionais especializados”. Soluções obrigatóriasAinda que o colaborador utilize o seu computador pessoal, está a utilizá-lo para realizar tarefas da organização. Assim, é a própria empresa que se deve preocupar e colocar soluções no dispositivo do colaborador que permita aumentar a segurança e diminuir o risco. Alberto R. Rodas acredita que, idealmente, a organização instalaria “um software de segurança de endpoints, que pode ser gerido pela organização para fins de monitorização – mas, neste caso, estamos a facilitar o acesso de uma empresa a um dispositivo pessoal. Também se podem considerar soluções de gestão unificada de endpoints (UEM, na sua sigla em inglês) para conseguir visibilidade adicional. As soluções de zero trust network access também podem ajudar a reforçar a segurança das aplicações expostas à Internet, permitindo que estas sejam acedidas seguramente a partir de localizações remotas”. David Grave defende que a “a organização deve exigir que o computador do utilizador cumpra determinados requisitos para se ligar aos sistemas de informação da mesma. Não se trata propriamente de obrigar, já que é do interesse da empresa, mas também do colaborador, proteger a informação das empresas”. Neste sentido, o representante da Claranet acredita que há “aspetos básicos a salvaguardar”, nomeadamente autenticação multifator; sistema devidamente atualizado; solução de segurança instalada, ativa e atualizada; dados criptografados, tanto em trânsito como em repouso; e identificação de aplicações potencialmente perigosas. David Grave relembra, ainda, que “a instalação de qualquer solução nos computadores pessoais dos utilizadores traz consigo desafios do ponto de vista da privacidade e do RGPD, podendo ser um ponto de desconforto e, logo, um entrave à adoção do BYOPC. Acredito que, neste contexto, a transparência será sempre o mote. É essencial que a organização forneça ao colaborador informação sobre que dados são recolhidos e acedidos pelos sistemas, qual a sua finalidade, quem terá acesso aos mesmos, com que fim e durante quanto tempo serão mantidos”. Soluções disponíveis no dispositivoAtualmente, os próprios fabricantes colocam soluções de segurança no próprio dispositivo, o que coloca uma camada adicional de proteção ao endpoint em questão. O Partner Business Manager na HP Portugal partilha que, no caso da HP, “incluímos sistemas de hardware integrados nos equipamentos que fornecem camadas de defesa adicionais contra a maioria dos ataques, garantindo a deteção, proteção e, se necessária, recuperação de processos e até mesmo o reimage do próprio computador”. Ao mesmo tempo, a HP também adicionou aos seus dispositivos “sistemas de defesa contra malwares baseados em inteligência artificial e, com o uso de Deep Learning, estas soluções revelam-se bastante eficientes no combate a malwares zero day”. Depois da pandemiaApesar das contingências do mercado de computadores ter sido maioritariamente ultrapassado – e neste momento não existir propriamente falta de dispositivos no mercado – podem existir empresas que vão permitir que os seus colaboradores utilizem os computadores pessoais para realizar tarefas corporativas. David Grave vê duas razões para que isso continue a acontecer: “para a organização, por um lado, o processo é simples e o colaborador pode usar o seu equipamento, ou adquirir um outro subsidiado pela empresa, com a vantagem de não ficar imobilizado e acelerar o processo de onboarding”. Por outro lado, não menos relevante, “é o facto de o colaborador poder usar um PC e um sistema operativo do seu agrado, com o qual será mais produtivo e se sentirá mais confortável, aumentando a sua satisfação e identificação com a cultura da empresa”. Miguel Souto acredita que “não deveria ser necessário levarmos o PC de casa para o trabalho” até porque “pode representar um grande risco de segurança para a empresa. Na maior parte dos casos, os PC das empresas são escolhidos por um conjunto de especificações, nomeadamente a nível de segurança, quer do próprio dispositivo quer de todas as outras camadas que o IT adiciona. Colocar um dispositivo que não foi objeto destas políticas ou especificações na rede corporativa, é um convite a um incidente”. Por fim, e sem se alongar na sua resposta, Alberto R. Rodas, da Sophos, indica que, depois da pandemia, continuar a deixar os colaboradores utilizar os seus computadores pessoais para realizar tarefas corporativas “parece uma estratégia um pouco suicida”. |