Começamos a ver um padrão na forma como as organizações respondem às notícias sobre as últimas violações de segurança cibernética. Em geral, as organizações começam a injetar investimentos em segurança tecnológica o mais rápido possível após a identificação de uma violação. Depois, a nova aquisição tecnológica é seguida por uma luta desenfreada para adicionar pessoal qualificado às equipes internas de segurança. Encaremos a verdade: esta abordagem reativa e, em grande parte, não planejada, simplesmente não está funcionando. Aliás, quanto mais “Band-Aids” acrescentamos à mistura, sem o devido planejamento e governança, menos seguras as organizações podem se tornar.
Muitos investimentos em cibersegurança parecem ser guiados por reações involuntárias ou respostas a um marketing agressivo, ao invés de uma abordagem racional ao problema. Quando isso acontece, as organizações podem acabar tendo mais tecnologia do que conseguem administrar com seus recursos existentes. Elas então tentam lidar com esse peso adicional a TI aumentando os orçamentos e contratando mais pessoas para cuidar das soluções. No entanto, apesar de aumentarem os investimentos em tempo e dinheiro, as violações de dados seguem ocorrendo. E essas violações estão se tornando cada vez maiores, mais sofisticadas e, infelizmente, mais prejudiciais. Culpe a lei de rendimentos decrescentes: quanto mais dinheiro, tecnologia e pessoas você acrescentar ao problema, mais você pode estar expondo sua organização a vulnerabilidades.
Por que? A primeira razão é a complexidade: adicionar soluções de segurança a outras soluções pode criar um monstro indisciplinado e o antigo problema de silos começa novamente a vir à tona. Diferentes sistemas são dedicados a diferentes funções e não necessariamente integram a informação ou se comunicam. Alguns são muito multifacetados e difíceis de administrar – e isso cria vácuos de segurança que o investimento adicional deveria prevenir.
É assim que algumas empresas sofrem uma violação massiva de segurança, mesmo depois de investir pesado em segurança e em conhecimento tecnológico. Então, qual é a resposta a essa abordagem ineficaz à mitigação de riscos?
A solução requer uma abordagem disciplinada à cibersegurança, através da implementação de uma estrutura de governança composta por três elementos:
– Executar uma estratégia de governança de dados para alocar os recursos de forma apropriada.
– Quando possível, utilizar empresas terceirizadas de gestão de segurança e o conhecimento das mesmas para administrar e monitorar sua infraestrutura e ocorrências.
– Seguir um modelo de governança padronizado, tal como a estrutura de cibersegurança do NIST (Instituto de Padrões e Tecnologias dos E.U.A.).
Executando a Governança de Dados
Uma governança apropriada é o primeiro passo na organização da estrutura para se obter a eficácia na segurança da informação. Uma estrutura de governança de segurança lhe ajudará a priorizar e classificar seus ativos digitais e determinar quanto gastar em controles internos e externos.
Um dos benefícios de uma estrutura de governança de segurança é a gestão de dados. As organizações devem determinar quais informações devem ser destruídas no curto prazo e quais devem ser arquivadas. As empresas tendem a guardar dados muito mais tempo do que o necessário, potencialmente criando na internet um baú de tesouros para hackers, caso consigam acessar a rede.
Em geral, a maior parte dos e-mails que viajam através de uma rede corporativa, assim como os materiais de marketing, deveriam ser apagados após alguns meses. Caso contrário, caso sofra uma violação de hackers, os maus atores podem obter acesso a informação proprietária, incluindo segredos de negócios, detalhes de negociações e outras comunicações destinadas apenas ao público interno.
Os dados sujeitos a conformidades regulatórias, incluindo finanças, RH e registros médicos, devem ser organizados de forma apropriada, criptografados e arquivados. Dependendo da lei aplicável, após um certo número de anos esses dados também podem ser destruídos. Uma governança apropriada de dados permite às organizações se planejarem em relação a essas diversas abordagens de dados, o que pode evitar muitas dores de cabeça.
Terceirizando a Segurança
Uma estrutura de governança de segurança pode também destacar quais controles de segurança são melhor conduzidos por terceiros. À luz dos rendimentos decrescentes em investimentos em cibersegurança, as organizações devem considerar terceirizar a administração de segurança com especialistas, quando não possuem os recursos internos corretos. Assim como você contrataria uma empresa de segurança para vigiar propriedades físicas, faz sentido fazê-lo também com cibersegurança.
Há uma razão para que as empresas continuem voltando-se a provedores de serviços de administração de segurança: pode ser uma das formas mais práticas de se obter a melhor proteção que se possa comprar, desde que se faça uma avaliação apropriada dos provedores disponíveis. Isso explica porque a Gartner prevê que o mercado de segurança baseada em nuvem crescerá para $9 bilhões em 2020, a partir da estimativa atual de USD 5.9 bilhões.
A segurança é frequentemente muito complicada e cara para ser mantida internamente. Contratar profissionais qualificados de forma individual está se tornando cada vez mais difícil; até 2022, espera-se uma escassez de 1.8 milhão de trabalhadores em cibersegurança. Terceirizar a segurança resolve essas questões, já que você se beneficia do conhecimento e da tecnologia comprovada de um especialista em segurança.
Seguindo os Padrões do NIST (Instituto de Padrões e Tecnologia dos E.U.A.)
Por fim, tanto as organizações experientes quanto as que são novas em estruturas de governança de segurança devem consultar a estrutura de cibersegurança do NIST. Essa estrutura é desenhada para ajudar empresas e organizações de todos os tipos a administrarem suas próprias estruturas de segurança. Um par de coisas das quais gosto mais na estrutura de cibersegurança são: 1) está escrita em Inglês coloquial (ao invés de um “tecniquês” cibernético), de modo que é direta, possível de ser entendida e seguida por quase qualquer um, e 2) o acesso a todos os materiais é gratuito.
Os tomadores de decisões responsáveis por cibersegurança deveriam considerar que continuar a investir em mais tecnologia e mais pessoal sem que haja uma estrutura de governança em cibersegurança bem definida, pode acabar sendo um esforço inútil.
Ao invés disso, a maioria das empresas deveria mudar o foco de seus investimentos em cibersegurança, implementando uma governança de dados apropriada e confiando mais no conhecimento de comprovadas empresas terceirizadas de cibersegurança. Em suma, é hora de começar a abordar a segurança de forma mais inteligente.
* Chris Richter é vice-presidente Global de Serviços de Segurança da CenturyLink
