Muitos trabalhadores e gerentes nos Estados Unidos e no Reino Unido valorizam mais a confiança no local de trabalho do que a compensação financeira, de acordo com uma nova pesquisa divulgada na terça-feira.
Uma pesquisa com 500 trabalhadores e gerentes nos EUA e no Reino Unido conduzida pela Osterman Research para a empresa de segurança cibernética Cerby descobriu que quase metade dos participantes (47%) disseram que aceitariam um corte de 20% no salário em troca de maior confiança de seu empregador.
Outras características que os pesquisadores consideraram altamente valorizadas pelos funcionários incluem flexibilidade (48%), autonomia (42%) e poder escolher os aplicativos de que precisam para trabalhar com eficiência (39%).
O relatório State of Employee Trust de Osterman e Cerby examina o impacto dos princípios de confiança zero que muitas empresas estão adotando rapidamente como solução para suas necessidades de segurança cibernética resultantes do uso de “aplicativos não gerenciáveis” por funcionários e gerentes.
“Os aplicativos estão intimamente ligados aos níveis de envolvimento e capacitação dos funcionários. Se os empregadores tentarem bloquear esses aplicativos, o que costumam fazer, isso afetará negativamente a confiança”, observou Matt Chiodi, diretor de confiança da Cerby, um provedor de arquitetura de confiança zero para aplicativos não gerenciáveis com sede em San Francisco.
“Sessenta por cento dos funcionários disseram que, se um aplicativo que desejam é bloqueado, isso afeta negativamente como eles se sentem em relação a uma empresa”, disse Chiodi ao TechNewsWorld.
“A resposta não é que os empregadores bloqueiem esses aplicativos, mas encontrem soluções que permitam o gerenciamento desses aplicativos incontroláveis”, disse ele.
Preocupação com o controle
As equipes de segurança desaprovam o uso de aplicativos não gerenciáveis, também conhecidos como shadow IT , por vários motivos. “Funcionários vêm e vão. Uma organização pode acabar com milhares de credenciais não utilizadas acessando seus recursos”, explicou Szilveszter Szebeni, CISO e cofundador da Tresorit , uma empresa de soluções de segurança baseada em criptografia de e-mail em Zurique.
“Com uma montanha de acessos inativos, os hackers provavelmente entrariam em alguns que passariam despercebidos e abririam o caminho para se infiltrar na organização por meio de movimento lateral”, disse Szebeni ao TechNewsWorld.
Aplicativos não gerenciáveis podem colocar em risco uma organização porque ela não tem controle sobre as práticas de segurança impostas ao desenvolvimento e gerenciamento dos programas, observou John Yun, vice-presidente de estratégia de produtos da ColorTokens , fornecedora de soluções autônomas de segurança cibernética de confiança zero em San Jose, Califórnia
“Além disso, a organização não supervisiona os requisitos de atualização de segurança dos aplicativos”, disse Yun ao TechNewsWorld.
Sem nenhum controle sobre o aplicativo, as organizações não podem confiar nele para acessar seus ambientes, afirmou Mike Parkin, engenheiro técnico sênior da Vulcan Cyber , um provedor de SaaS para correção de riscos cibernéticos corporativos em Tel Aviv, Israel.
“Permitir que os funcionários escolham a melhor ferramenta para o trabalho, especialmente quando estiver executando em seu próprio equipamento, é bem-vindo”, disse Parkin ao TechNewsWorld.
No entanto, ele afirmou: “Isso requer algum compromisso com a organização que se esforça para examinar os aplicativos escolhidos e os funcionários dispostos a se abster quando seu aplicativo preferido não estiver na lista de aprovados”.
Roger Grimes, um evangelista de defesa baseado em dados da KnowBe4 , um provedor de treinamento de conscientização de segurança em Clearwater, Flórida, assumiu uma posição mais dura sobre o assunto.
“Cabe aos gerentes de risco de segurança cibernética de uma organização determinar se os riscos incorridos valem os benefícios”, disse Grimes ao TechNewsWorld. “Você não quer que o usuário final médio decida o que é ou não arriscado para a organização mais do que você quer que o passageiro médio pilote um avião.”
Vale a pena o risco?
Os aplicativos são considerados incontroláveis porque muitas vezes não oferecem suporte a medidas de segurança comuns, como logon único e adição ou remoção automática de usuários, explicou Chiodi.
“Isso representa um risco para os negócios, mas os usuários corporativos ainda precisam desses aplicativos”, disse ele. “As empresas precisam encontrar maneiras de levar esses aplicativos a um ponto em que possam ser gerenciados, para que esses riscos sejam reduzidos.”
Rotular aplicativos como incontroláveis é enganoso, observou Marcus Smiley, CEO da Epoch Concepts , um provedor de soluções de TI em Littleton, Colorado.
“Eles são construídos sem suporte para padrões de segurança modernos do setor, o que os torna mais difíceis de monitorar e proteger”, disse Smiley ao TechNewsWorld, “mas, embora isso signifique que eles não podem ser gerenciados como outros aplicativos, eles podem ser gerenciados de maneiras diferentes. ”
“Quando aplicativos não gerenciáveis estão sendo usados, sempre há algum motivo”, disse ele. “Muitas organizações precisam de uma melhor comunicação entre a TI e os funcionários para esclarecer as políticas da empresa e as razões por trás delas.”
“A TI também deve fornecer canais para solicitar aplicativos e ser proativa no fornecimento de alternativas mais seguras para os problemáticos”, acrescentou.
Smiley sustentou que, em algumas situações, permitir aplicativos não gerenciáveis com supervisão é apropriado para garantir que as melhores práticas de gerenciamento de identidade e configurações mais seguras sejam implementadas em vez de menos seguras.
“Em última análise, não existe uma estratégia de segurança cibernética livre de riscos”, observou ele. “Todo programa de segurança – mesmo aqueles que se enquadram em confiança zero – inclui compensações entre funcionalidade de negócios de missão crítica, produtividade e risco.”
Ato de equilíbrio necessário
A abordagem mais segura é ter qualquer aplicativo revisado antes da adoção por uma pessoa ou equipe com experiência em segurança cibernética para identificar quaisquer problemas que possam surgir do uso do software ou serviço, garantir que os termos legais sejam aceitáveis, bem como planejar a manutenção contínua, recomendado Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel , uma empresa de consultoria em segurança cibernética e testes de penetração em Scottsdale, Arizona.
“Infelizmente, muitas organizações não têm experiência ou recursos para avaliar adequadamente esses riscos, fazendo com que o processo não ocorra, ou seja tão ruim, se arrastando por semanas ou meses, o que prejudica o moral e a produtividade dos funcionários”, disse Clements ao TechNewsWorld .
“Equilibrar o risco de segurança cibernética com as necessidades dos funcionários é uma prática que as organizações precisam levar mais a sério”, disse ele. “Permitir uma abordagem do Velho Oeste inevitavelmente introduzirá riscos de segurança cibernética. Mas, por outro lado, ser excessivamente rigoroso pode levar à escolha de soluções de produtos ou serviços que comprometem muito a usabilidade e a conveniência do usuário ou simplesmente negam a aprovação por completo”.
“Isso pode causar frustração e levar o pessoal a deixar a organização ou subverter ativamente os controles de segurança”, continuou ele.
O uso indevido dos princípios de confiança zero também pode aumentar essa frustração. “A confiança zero é para dados, acesso, aplicativos e serviços”, argumentou Chiodi. “Mas quando se trata de construir confiança do lado humano, as empresas precisam buscar alta confiança. Os dois não são mutuamente exclusivos. É possível, mas vai exigir uma mudança na forma como os empregadores usam os controles de segurança.”
“Ao oferecer aos funcionários opções de tecnologia, as empresas podem mostrar que confiam em seus funcionários para tomar decisões de tecnologia que os ajudem a fazer melhor seu trabalho”, acrescentou Karen Walsh, diretora da Allegro Solutions , uma empresa de consultoria em segurança cibernética em West Hartford, Connecticut.
“Ao reforçar isso com a educação em torno da mentalidade de ‘assumir compromisso’”, disse Walsh ao TechNewsWorld, “eles constroem um relacionamento mais forte com os membros de sua força de trabalho”.
