Cibersegurança: associar investimento em TI a estratégia bem definida de segurança reduz incertezas

A digitalização dos negócios agrega benefícios incontestáveis às organizações, mas esse processo tem dois lados que precisam ser equilibrados pelos tomadores de decisão: ao mesmo tempo em que as empresas incorporam cada vez mais tecnologia para viabilizar a proteção contra riscos diários, toda essa inovação também acarreta riscos de ataque e precisa ser bem arquitetada.

De acordo com o artigo “Managing the Uncertainties of Cybersecurity” (Gerenciando as incertezas da cibersegurança, em tradução livre), a melhor maneira de lidar com essa dualidade e minimizar os riscos é associar ao investimento em TI uma estratégia bem definida de segurança. A análise de Martijn Dekker, Professor de Segurança da Informação, da Universidade de Amsterdã, está no Capco Journal 57 - publicação da Capco, consultoria global de gestão e tecnologia para o setor financeiro do grupo Wipro.

Os líderes empresariais devem prestar atenção à tecnologia e, em particular, ao uso de dados, porque ao fazerem isso criam oportunidades e modelos de negócios. Outro cuidado é manter uma excelente comunicação entre executivos para gerenciar crises. Isso é possível com a adoção de métricas de agilidade da segurança para que a tomada de decisões seja eficiente. Para isso é preciso investir: o relatório Flexera State of Tech 2022 feito com 501 empresas em todo o mundo sobre investimentos e prioridades de TI mostra que os recursos aplicados em tecnologia representam, em média, 8% do faturamento das empresas. Cerca de 71% delas esperam que seus orçamentos nessa área aumentem no próximo ano.

“A visão financeira é uma das razões mais importantes pelas quais os executivos devem se dedicar ao assunto e se prepararem. A tecnologia é uma prioridade que requer atenção em nível de diretoria, porque quando não é feito esse acompanhamento, pode acabar gerando riscos operacionais significativos”, destaca Camille Ocampo, diretor executivo da Capco.

Além disso, o artigo do Capco Journal 57, afirma que esse cuidado constante no investimento em TI associado ao monitoramento do uso desses recursos deve ser constante porque gerenciar riscos de segurança da informação requer conhecimento e habilidades com as quais muitos conselhos ainda não estão familiarizados.

“Devido ao papel central da estrutura de tecnologia para o funcionamento das empresas e suas implicações para os riscos operacionais, se esse trabalho não for bem gerido, é fundamental que os conselhos se acostumem a gerenciar riscos. Isso parece comum nas rotinas, mas avaliar probabilidades e impactos é cada vez mais difícil no complexo mundo em que as organizações agora precisam navegar”, explica Camille.

Como parte desse trabalho, está a avaliação criteriosa dos impactos dentro do próprio data center ou da área de TI, gerida internamente. E, ainda, a análise das fontes de risco nas cadeias de abastecimento e de valor e cadeias tecnológicas. Um exemplo disso foi uma vulnerabilidade descoberta no software amplamente utilizado Citrix, em 2019. Naquele momento, a empresa informou que alguns de seus produtos permitiria a hackers invadir redes. Apesar disso, a solução não foi disponibilizada imediatamente e algumas fontes estimam que 80 mil empresas foram afetadas.

No domínio da cibersegurança, o nível de incerteza (ou falta de capacidade de cálculo) vem crescendo. Como o artigo chama a atenção, os hackers mudam seus padrões de ataque com base em controles defensivos que encontram em um alvo específico, afetando a capacidade de defesa de quem é atacado.

Como melhorar a segurança cibernética

Os líderes empresariais são constantemente impelidos a ocupar mais tempo revisando a configuração de segurança e são constantemente solicitados a informar às suas diretorias sobre a situação da segurança. Devido à própria natureza técnica do tema, os relatórios de segurança são muitas vezes difíceis de entender para quem não é técnico. Isso ainda é agravado pelo grande volume de informações gerenciais disponíveis.

Atualmente, não há solução fácil para esta situação, mas existem iniciativas relevantes que podem fornecer uma maneira de avançar e melhorar nesse aspecto. Por exemplo: criar rotinas nas empresas para coletar novas informações o mais rápido possível no intuito de corrigir rapidamente decisões anteriores e novas direções; ter uma boa base de segurança, para que a estrutura geral opere acima de um certo nível de eficácia operacional com controles específicos e ativos e, se possível, sempre fazer uma análise medindo o tempo de sobrevivência de vulnerabilidades ou de outras causas de risco.

Numa linha mais técnica, é importante acompanhar métricas de riscos ao longo do tempo para saber se a gestão está sendo efetiva; acompanhar taxas de chegada e avaliar dados históricos no seu ambiente para criar curvas de possibilidades de ataques para combatê-los. Além disso, é preciso medir tempos de espera para saber com mais precisão o intervalo entre chegadas de riscos, assim como as taxas de fuga, que medem como os riscos migram no ambiente da empresa.

“O cenário de ameaças hoje é extremamente volátil, misturando riscos de segurança da informação que acontecem por acidente com outros causados por impactos externos de aspecto técnico e, ainda uma outra categoria cada vez mais ameaçadora de hackers com intenções direcionadas, organizadas e difíceis de serem previstas. Por isso é necessária a dedicação do mais alto corpo de administração das empresas para que todas essas ameaças possam ser reduzidas”, destaca Camille.

A análise (no original em inglês) está na página 8 do Capco Journal e pode ser consultada AQUI.

Share This Post

Post Comment