Muito tem se abordado sobre a nova postura que o Chief Information and Security Officer (CISO) vem adotando para conduzir as estratégias de segurança e gestão de riscos de TI às melhores expectativas de resultados de negócios de sua organização. Além de acompanhar e entender as tendências atuais do complexo cenário de ameaças, essas passaram a exigir do CISO que proceda a uma gestão de cibersegurança mais rigorosa.
Assim, não basta compreender essas estratégias de segurança e gestão de riscos, o CISO deve ter atenção redobrada para evitar aquisição orgânica de tecnologias de segurança, sem a visão da infraestrutura da organização. Seria um equívoco agir organicamente diante de um cenário pleno de complexidade hoje.
Ressalto aqui quatro caminhos a serem seguidos pelo CISO para investir adequadamente em tecnologias, no sentido de viabilizar as ações de segurança e gestão de risco:
1. Abolir escolha de soluções por comparativo de folhetos
Proteger os dados pessoais (de clientes e de funcionários) e a infraestrutura, dos setores público e privado, sempre foi relevante e, ainda mais agora, que é preciso estar em conformidade com regulações como a Lei Geral de Proteção de Dados (LGPD) no Brasil. Priorizar a proteção passa a estar associada à levantar detalhadamente quais os motivos que levam o CISO a investir em segurança para determinar os tipos de soluções.
Hoje torna-se essencial confirmar se o fornecedor tem a preocupação com atuais práticas no setor de segurança da informação, desde lawful of interception (intercepção legal) até backdoors (entradas secretas) e contrato de privacidade estabelecido com as organizações. Ou seja, devemos abolir a prática de escolher soluções por comparação de datasheets.
2. Arquitetura do ambiente de TI vs. crescimento orgânico
No final das contas o CISO precisa viabilizar os negócios de sua organização e levando-a à transformação digital. Por isso, sua visão deve ser voltada à arquitetura do ambiente de TI e de segurança, contrapondo-se à visão de crescimento orgânico. A segurança da informação deve estar embarcada na visão de arquitetura dessa infraestrutura, pois não se trata mais de acrescentar soluções de segurança conforme as ameaças e os ataques vão surgindo, de maneira orgânica. Mas, construir uma arquitetura na qual as tecnologias cobrirão o máximo de possibilidades de vulnerabilidades ou brechas, em que tudo deve estar integrado para análises, conformidade e governança de segurança.
3. Correções de vulnerabilidades
Pesquisar o histórico e a reputação do fornecedor e quanto tempo atua no mercado vem merecendo igual atenção na escolha das soluções. Deve-se verificar se o fornecedor registrou algum vazamento de dados, se apresentou vulnerabilidades em algum produto ou solução e como lidou com tudo isto. Existem fornecedores que levam seis meses para corrigir vulnerabilidades de produtos. O CISO precisa se assegurar que os sistemas e processos do fornecedor contenham código maduro e resposta rápida para tais vulnerabilidades. Há casos em que um fornecedor registrou 109 vulnerabilidades de 2016 a 2018 e seu tempo médio de correção foi de 152 dias. Produtos de segurança que apresentem muitas vulnerabilidades já é sinal de um grave problema, mas quando o fabricante leva em média de 100 a 150 dias para corrigi-las, é algo impensável. Os bons investimentos em tecnologia de segurança da informação precisam levar em conta todos esses aspectos.
O cenário atual de cibersegurança exige uma postura consistente de um fornecedor, em que as práticas de desenvolvimento seguro e garantia de qualidade (quality assurance) sejam empregadas para que seus produtos apresentem o menor número possível de vulnerabilidades. O senso de urgência e a responsabilidade para resolução de eventuais vulnerabilidades em seu produto no menor tempo possível é o mínimo que se espera de um fabricante sério, lembrando que o propósito de seu produto é reduzir a exposição e não introduzir novos riscos ao ambiente dos clientes.
4. LGPD
A Lei Geral de Proteção de Dados (LGPD), promulgada em agosto de 2018 e que entrará em vigor 14 de agosto de 2020, contempla que esses atributos sobre os fornecedores devem ser avaliados a fundo, pois eles devem ter este histórico de reputação e sobre como lidaram com os problemas de vulnerabilidade e correções. A estratégia de investimento em segurança da informação foi ampliada no sentido de que às pessoas, aos processos e às tecnologias somaram-se o fornecedor, as regulações e a integração de processos e infraestrutura para efetivamente alcançar os bons resultados e objetivos dos negócios.
Isso tudo nos mostra que a forma de adquirir tecnologias avançou para um patamar no qual a infraestrutura se integra aos investimentos de segurança existentes e futuros para suportar a resposta a incidentes e possibilitar uma proteção contínua e ainda mais eficaz, com informações detalhadas sobre o que está sendo feito para mitigar e gerenciar os riscos.
* Daniel Romio é gerente de distribuição da Check Point no Brasil
