De manchetes sobre ransomware a experiências pessoais de roubo de identidade, a segurança cibernética está encontrando cada vez mais seu caminho para a consciência coletiva. Durante a pandemia, uma expansão nos níveis de ameaça também lembrou aos líderes de TI e de negócios o que está em jogo. Agora que estamos entrando gradualmente em uma nova era de trabalho híbrido, é vital que as equipes possam ir mais além e incorporem a segurança em todos os aspectos de uma organização. Infelizmente, quase sempre, isso ainda é tratado como algo secundário. Há também sinais preocupantes de que os funcionários mais jovens, em particular, são mais resistentes a qualquer coisa que afete sua produtividade.
A ideia de colocar a segurança cibernética em primeiro plano parece simples, mas provavelmente será necessário um esforço para incluir esta abordagem em prática. A segurança precisa ser incorporada em processos de baixo para cima e não mais algo que é pensado no fim do processo - mas não necessariamente às custas do crescimento e da inovação dos negócios.
Quando os funcionários resistem
Todos nós sabemos o que aconteceu durante a pandemia. Com o trabalho remoto em massa e a transformação digital veio uma superfície de ataque corporativo expandida, e novas lacunas de proteção foram exploradas pelos cibercriminosos. Eles atingiram serviços de Rede Privada Virtual (VPN) e servidores Exchange, invadiram Remote Desktop Protocol endpoints (RDP) protegidos por senhas fracas ou que foram expostas em vazamentos de dados, visaram atacar sistemas em nuvem configurados de forma incorreta. Neste contexto, conduzir uma cultura de Security by Design ajudaria muito para eliminar as lacunas tão frequentemente exploradas por atacantes.
No entanto, há resistência. Em pesquisa realizada pela HP revela que três quartos (76%) dos líderes globais de TI admitem que a segurança tomou um lugar secundário para a continuidade dos negócios durante a pandemia. Isso pode ter sido justificável na época, mas não agora que o risco operacional está recuando. No entanto, os funcionários mais jovens parecem ignorar as políticas, apáticos à segurança em geral e cada vez mais frustrados por terem sua produtividade "restrita". Quase a metade (48%) dos que têm entre 18 e 24 anos de idade afirmam que as ferramentas de segurança são um obstáculo, e quase um terço (31%) disse ter tentado contornar as políticas corporativas para realizar o trabalho.
A “segurança em primeiro lugar” exigirá, portanto, planejamento e execução cuidadosos para evitar uma reação negativa do usuário.
Quando a segurança é algo secundário
É necessário que haja progresso, já a segurança intrínseca está falhando em todas as organizações. Um exemplo clássico está na concepção de DevOps, no qual processos são orientados a acelerar o tempo para criação de valor, em vez da mitigação de riscos. O resultado é muitas vezes um software que é enviado com vulnerabilidades que acabam sendo exploradas em ataques. Um estudo de 2021 afirma que os ataques nos quais os sistemas são infectados, por exemplo, por uma atualização maliciosa que explora uma vulnerabilidade em projetos de open source code para servir como um download subsequente, aumentaram em 650%.
O custo da aplicação de patches, juntamente com o dano reputacional que vem associado a um incidente de severidade alta, pode exceder e muito os custos de se ter uma melhor segurança nos processos de integração e distribuição contínua (CI/CD). E existem muitos outros exemplos, tais como as enormes consequências financeiras e de reputação provocadas pelo roubo de dados da Equifax, em 2017, que supostamente afetou quase metade de todos os adultos americanos. O incidente poderia ter sido evitado pelo lançamento de um patche de forma rápida. Outro exemplo pode ser o roubo de dados que ocorreu contra o Capital One, em 2019, que afetou 100 milhões de solicitantes de crédito ao consumidor. Melhores controles que rastreiam configurações inadequadas nos sistemas em nuvem poderiam ter evitado o incidente com o banco.
Veja mais:Por que as violações de dados têm um custo tão alto para as empresas?
Precisamos levar a segurança cibernética a um ponto em que a segurança esteja em primeiro lugar. Por exemplo, como ocorre na indústria automobilística. Neste setor, as equipes de segurança estão fortemente envolvidas no projeto e implementação de praticamente todas as novidades em veículos. É por isso que agora temos freios de alto desempenho, pára-brisas resistentes a estilhaços, barras de rolagem, air bags e muitas outras inovações tecnológicas como padrão na maioria dos carros atualmente. E os operadores desses veículos são treinados e testados para usá-los de forma segura e conforme as normas. O mesmo deve ocorrer com a segurança cibernética.
Colocar a segurança em primeiro lugar
A Security by Design é o fator principal de regulamentações como a LGPD e a GDPR (lei europeia de proteção de dados). Prevenir ao invés de remediar também faz sentido, a partir de uma perspectiva de redução de riscos e custos. Então, como é na prática? Aqui estão algumas sugestões:
- A minimização e criptografia dos dados em todos os lugares pode ajudar a reduzir os riscos de segurança e a exposição das informações;
- O gerenciamento e controle contínuo dos ativos de TI em todo o ambiente ajudará a entender o que você tem, e então protegê-lo;
- Sessões regulares de treinamento e conscientização do pessoal podem transformar um elo fraco da cadeia de segurança em uma formidável primeira linha de defesa, e ajudar a criar uma cultura de segurança em primeiro lugar;
- Uma consulta próxima aos usuários garantirá que, quando as políticas para o trabalho híbrida forem redesenhadas, essas regras sejam feitas de forma a minimizar a interferência no pessoal;
- Um foco na gestão de acessos, seguindo o princípio do privilégio mínimo e apresentando a autenticação de dois fatores por padrão, pode evitar 90% dos ataques;
- Programas automatizados de patches baseados em risco podem impulsionar grandes melhorias na limpeza virtual para reduzir o tamanho da superfície de ataque corporativo;
- O registro, monitoramento, detecção e resposta também são críticos para encontrar e mitigar qualquer ataque de quebra no ambiente;
- O monitoramento contínuo e o controle da cadeia de suprimentos também ajudarão a abordar proativamente uma importante fonte de riscos digitais;
- Uma estratégia de segurança Zero Trust é uma forma cada vez mais popular de evitar riscos através de autenticação contínua e outros controles.
O resultado final é que a segurança em primeiro lugar tem tudo a ver com transformar a segurança de uma postura reativa em proativa. E se você estiver lutando para encontrar o orçamento para empreender mudanças duradouras, lembre-se de posicioná-lo como um facilitador. Os freios não estão lá apenas para desacelerar o veículo, mas também para garantir que ele possa viajar com segurança. É por isso que empresas que têm em conta a Security by Design inovam mais rapidamente e, em última instância, se antecipam à concorrência. Essas empresas têm a confiança necessária para conduzir projetos ambiciosos de transformação digital, já que são construídos sobre uma base segura.