Foi-se o tempo em que o gerenciamento e a proteção de endpoints como desktops, notebooks, smartphones e servidores era responsabilidade somente da TI. Embora essas equipes possuam a capacitação técnica para implementar e manter a integridade do endpoints, elas não podem fazer isso sozinhas. A eficácia da gestão depende da participação ativa de diversos departamentos e stakeholders, cada qual com sua singular perspectiva e seu interesse no processo.
Quem vai contra esse fato abre a porta para falhas de segurança do endpoint que podem prejudicar os negócios digitais. Um estudo do Gartner realizado em maio e junho de 2023 com 1.310 funcionários de empresas norte-americanas revela que 69% dos colaboradores entrevistados costumam ignorar as orientações de segurança cibernética de sua organização. 74% dos funcionários estavam dispostos a deixar de lado as orientações de segurança se isso os ajudasse a atingir um objetivo de negócio.
Essa dura realidade é corroborada pela edição 2023 da pesquisa global World Economic Forum sobre cibersegurança – estudo baseado em entrevistas com 150 gestores de organizações globais com sedes em 32 países e atuando em 22 diferentes verticais. 90% desses líderes de negócios disseram que estariam dispostos a fazer concessões à segurança cibernética em benefício de metas como o aumento da produtividade ou a aceleração da transformação digital. Atitudes como estas facilitam violações de dados.
Acredito que um elemento crítico deste quadro é a displicência com a gestão do endpoint, o ambiente por excelência de trabalho de colaboradores de todas as camadas hierárquicas.
Quando o gerenciamento de endpoints depende somente da TI, e o usuário não se sente comprometido com as políticas de segurança, surgem vários desafios:
- Ausência de propriedade compartilhada: Sem esse posicionamento, outros departamentos podem não priorizar a segurança de endpoints, levando a práticas frouxas e risco aumentado.
- Políticas inconsistentes: A ausência de colaboração interdepartamental pode resultar em políticas e procedimentos conflitantes, criando confusão e prejudicando o gerenciamento eficaz de endpoints.
- Visibilidade limitada: A TI pode não ter insight das necessidades e preocupações específicas de outros departamentos, tornando difícil a eficaz customização de estratégias de gerenciamento de endpoints.
- Lenta resposta a incidentes: Quando ocorre um incidente de segurança, a falta de canais de comunicação estabelecidos e planos de resposta coordenados com outros departamentos pode retardar os esforços de remediação e exacerbar o impacto.
Abordagem interdepartamental
Uma abordagem de gerenciamento de endpoints colaborativa, interdepartamental e incluindo todos os níveis hierárquicos, por outro lado, fomenta um senso compartilhado de propriedade na organização. Cria-se uma frente unificada em que cada time agrega seu conhecimento específico à luta contra ameaças cibernéticas.
- RH: O departamento de recursos humanos desempenha um papel crucial na formação dos funcionários sobre as melhores práticas de segurança. Trata-se de uma mudança de cultura que convida o colaborador a compreender seu papel na proteção de dados críticos da empresa, de seus clientes e de seus parceiros de negócios.
- Jurídico: O departamento jurídico assegura que o gerenciamento de políticas e procedimentos para endpoints esteja em conformidade com regulamentações relevantes e leis referentes à privacidade de dados. Suas informações ajudam a proteger a organização contra penalizações jurídicas e financeiras.
- Financeiro: O departamento financeiro fornece os recursos necessários e o orçamento para as iniciativas de gerenciamento de endpoints. Sua colaboração com a TI assegura que os investimentos em segurança sejam priorizados, acontecendo de forma alinhada às metas financeiras da organização. KPIs essenciais para a empresa nascem desta aliança.
- InfoSec: A equipe de segurança da informação aporta conhecimentos contra ameaças, avaliação de risco e resposta a incidentes. Sua colaboração com a TI assegura que as estratégias de gerenciamento de endpoints se alinhe à postura geral de segurança da organização.
Essa multiplicidade de olhares oferece benefícios:
- Risco reduzido: Um senso compartilhado de propriedade e responsabilidade ajuda a minimizar o risco de erro humano e assegura que todos os endpoints sejam gerenciados segundo políticas estabelecidas.
- Conformidade: A colaboração com o departamento jurídico assegura que as práticas de gerenciamento de endpoints sigam regulamentações relevantes, evitando penalidades e danos à reputação.
- Redução de custos: Uma abordagem unificada pode levar a uma alocação eficiente de recursos e optimização dos investimentos em segurança, resultando em redução de custos ao longo do tempo.
Performance e segurança protegem a produtividade do colaborador
A resistência a conquistas como estas pode vir de uma visão defasada sobre como proteger os endpoints. Engana-se quem pensa que a segurança e a gestão são freios para os negócios, diminuindo a performance de ambientes críticos para a produtividade dos colaboradores. Os CIOs e CISOs que, por outro lado, contam com soluções automatizadas de patch management seguro – plataformas que atuam em todos os tipos de endpoints e sistemas operacionais – garantem a integridade de desktops ou servidores sem que seja necessária uma ação manual, máquina por máquina. Cada atualização é realizada com a máxima performance e é precedida por testes que checam se a atualização do endpoint é seguro e não apresenta conflitos com outras tecnologias. Esse cuidado preserva a produtividade dos colaboradores.
Os líderes de TI fazem sua parte quando utilizam soluções avançadas de gestão e proteção dos dispositivos da organização. Os melhores resultados, porém, virão para as empresas que adotarem uma abordagem colaborativa. A defesa do endpoint é missão de todos: RH, departamentos Jurídico, Financeiro, de logística etc. As organizações que já vivem essa realidade aceleram seus negócios e a economia digital do Brasil.
Thiago N. Felippe, CEO da Aiqon.
