Além da Recuperação: Explorando o Problema - Parte 2b de 2

"Na Parte 2a: Além da Recuperação: Explorando o Problema , comecei a discorrer sobre o problema que estamos realmente tentando resolver, ou deveríamos estar, quando se trata de segurança."

Além da Recuperação: Explorando o Problema - Parte 2b de 2

Voltamos à segunda parte da nossa análise aprofundada dos motivos muitas vezes ignorados, mas cruciais, por trás das preocupantes tendências de segurança. Nesta parte, quero apresentar mais alguns conceitos para moldar seu pensamento e começar a mergulhar em como reverter a situação. É nesse ponto que o potencial não aproveitado do armazenamento e da recuperação como um poderoso agente de mudança começará a surgir.

Anteriormente, abordamos três conceitos-chave a serem lembrados para obter resultados de segurança significativos:

1. A segurança em si não é apenas o trabalho da segurança (devemos moldar o processo de negócios)

2. O gerenciamento de riscos é uma má ideia (o gerenciamento de qualidade é a única maneira de reduzir a vulnerabilidade de forma sustentável)

3. Vulnerabilidades são problemas de qualidade (e corrigi-los pode ter implicações comerciais positivas)

A segurança é responsabilidade de todos

Para continuar, quero adicionar mais dois conceitos a esta lista:

4. A segurança não é uma função de TI

Em muitos aspectos, esse ponto está relacionado ao primeiro, que foi o fato de a segurança não ser “o trabalho da segurança”. Mas é de uma perspectiva diferente. Embora possa depender da empresa garantir que ela opere de forma segura, a função da segurança é ajudar todas as partes da empresa a operar dessa forma.

Não é mais aceitável que as funções de segurança permaneçam dentro de uma função de TI; elas devem ajudar proativamente todos os departamentos a definirem o que é bom para que não introduzam riscos aos negócios.

Isso significa que um programa de segurança deve, em última análise, passar sistematicamente por seus processos de negócios. Em primeiro lugar, reformulá-los sempre que possível para que o negócio não produza mais riscos do que o necessário e, em segundo lugar, para que a função de segurança esteja ciente dos riscos de negócios presentes em outros departamentos, a fim de não ser cega a eles e ser capaz de antecipá-los e mitigá-los.

Isso se torna cada vez mais crítico à medida que mais e mais violações ocorrem fora do escopo do que os departamentos de segurança não estão cobrindo em seu escopo tradicional. Problemas com processos de help desk, dentro do departamento jurídico, dados de vendas, RH e outros, todos resultando na exposição de dados confidenciais ou credenciais.

Devemos saber o que acontece no negócio, simplificar esses processos o máximo possível para reduzir o risco e implementar nossas operações de segurança de acordo para ter certeza de capturar qualquer risco residual.

Leia o nosso blog: Colocando a estrutura de segurança cibernética do NIST em ação

5. Ameaças e nossa relação com elas

Uma das alegações mais repetidas dos fornecedores de segurança é sobre o cenário de ameaças em evolução e crescimento.

Não há dúvidas de que os agentes que procuram causar danos às organizações estão crescendo drasticamente. Mas por quê?

A realidade é que uma ameaça só é considerada uma ameaça se você estiver vulnerável ao que ela está explorando. Recentemente, li que mais de 99% das violações complexas do ano passado envolveram vulnerabilidades conhecidas com correções e patches disponíveis, e que quase dois terços delas tiveram correções publicadas há mais de 18 meses.

O fato é que somos responsáveis pelo crescimento do ecossistema de ameaças da mesma forma que seríamos responsáveis pela presença de ratos se mantivéssemos grandes sacos de lona com grãos em nosso jardim. A solução não seria comprar 10.000 armadilhas para ratos, seria não ter os grãos expostos. Posso também salientar que um saco de grãos armazenado em uma lata de metal não atrairá ratos, enquanto um saco cercado por 10.000 armadilhas para ratos ainda atrairá, e eventualmente alguns desses ratos passarão por ele.

Podemos melhorar e, quando o fazemos, descobrimos que as ameaças que se aplicam a nós são significativamente menores. Isso significa que não só precisamos fazer menos detecção e responder aos riscos residuais, mas que seu escopo será mais restrito, permitindo que nos concentremos neles com mais precisão.

Saiba como a Virtual Storage Platform One oferece uma base sólida de dados para aplicativos de missão crítica,
incluindo a mitigação de riscos e ameaças à segurança.

Então, vamos recapitular esses conceitos.

Você não receberá um ataque se não estiver vulnerável a ele, e é mais fácil e muito mais sustentável trabalhar para ser menos vulnerável do que mitigar constantemente cada vez mais riscos. Para isso, é necessário abordar as causas básicas que levam às nossas vulnerabilidades e/ou à nossa incapacidade de corrigi-las rapidamente de forma automatizada.

As razões pelas quais isso não está sendo feito hoje são várias. Em primeiro lugar, a maioria dos profissionais de segurança está focada na tecnologia de segurança, e não no resultado de negócios seguros. Contamos com a tecnologia para tentar gerenciar os riscos, em vez de abordar suas fontes para que não tenhamos esses riscos em primeiro lugar.

Então, como passar da situação insustentável em que nos encontramos atualmente para uma em que melhorias exponenciais podem ser alcançadas?

Em primeiro lugar, toda organização precisa de uma estratégia de segurança que honre esses princípios.

"Estratégia" é uma palavra que ouço muito em segurança, mas algo que raramente vejo na prática. E não, comprar uma lista de ferramentas ou implementar recursos técnicos não é uma estratégia por si só.

(Imagine um diretor executivo perguntando ao diretor de marketing qual é a estratégia de marketing da empresa; e ele responde apenas com uma lista de ferramentas, sem planos, sem metas. Certamente ele seria demitido imediatamente!)

Uma estratégia deve ser um plano para entender nossa situação atual (porque muitas funções de segurança têm pouca visibilidade da função de TI de sua organização, quanto mais de toda a empresa!), nossa situação ideal e o roteiro para ir da primeira para a segunda.

Isso normalmente inclui um programa para obter apoio da alta administração, estabelecer as estruturas necessárias para impulsionar mudanças holísticas, apresentar os modelos financeiros para justificar tudo para o negócio, definir a maneira de menor risco para cada um de seus departamentos operar e muito mais.

A aparência desse programa pode ser encontrada nos apêndices do meu livro, What We Call Security (também gentilmente patrocinado pela Hitachi Vantara).

Esse programa pode gerar mudanças drásticas na qualidade (e a segurança é um aspecto da qualidade aqui) de seus processos de negócios e de TI, de modo que sua organização se torne mais segura por natureza, permitindo que você necessite apenas de uma "mola propulsora" para lidar com o resto.

A ilusão de controle

No entanto, há um ou dois problemas com essa abordagem.

O primeiro é o tempo. Construir um programa requer tempo.

Não há como evitar isso: redefinir seus processos de negócios e de TI para torná-los inerentemente mais seguros e garantir que os futuros sejam ainda mais seguros leva tempo. Costumo dizer aos clientes que, dependendo do tamanho e da complexidade da organização, é preciso esperar de 3 a 5 anos para atingir um alto nível de maturidade.

A segunda está relacionada à primeira: incêndio. Um dos principais motivos para transformar a segurança em uma abordagem proativa e orientada para a qualidade é o grande número de incêndios que as equipes de segurança têm de enfrentar devido ao fato de termos seguido o caminho errado por tanto tempo. Isso significa que apenas uma porcentagem muito pequena de recursos, se houver, pode ser alocada para trabalhar em iniciativas estratégicas, como um programa de segurança holístico, conforme mencionado acima. E os recursos que fazem isso são frequentemente interrompidos ou chamados de volta para apagar incêndios.

Por um lado, esse estado de coisas é o motivo pelo qual os recursos de recuperação são tão importantes. Chegamos a um ponto em que, mesmo com 100% dos recursos lutando para detectar e responder a cada ataque, o número de vulnerabilidades (novamente, no sentido mais amplo da palavra) em nossos ambientes significa que é realmente apenas uma questão de tempo até que sejamos violados e precisemos nos recuperar rapidamente.

Visite nossa página de soluções de recuperação de ransomware para saber como: Aproveitar a recuperação rápida em escala.

Mas há uma proposta de valor muito maior para soluções de armazenamento e recuperação do que apenas ser capaz de se recuperar de um ataque bem-sucedido: "reduzir o risco" e reorientar.

Se você conseguir recuperar seus sistemas e dados em, digamos, um quarto do tempo, terá reduzido efetivamente os possíveis custos de uma violação devido ao tempo de inatividade em 75%. (A propósito, a Hitachi Vantara oferece a solução de recuperação mais rápida do mercado, ampliando esse efeito.)

Isso significa que eu poderia, hipoteticamente, tirar até 75% do recurso de mitigação de um problema e manter os mesmos ou melhores números de risco (como a Expectativa de Perda Anual).

Posso então realocar esse recurso para meu programa proativo que gerará reduções duradouras na quantidade de risco que minha organização gerará e que a segurança precisará gerenciar.

Como um aparte, quero dizer que algumas pessoas notarão uma “falha” nesse pensamento. Embora a recuperação possa ajudar a garantir o retorno da integridade e da disponibilidade de seus dados após uma violação, ela não pode restaurar a confidencialidade dos dados depois que eles são divulgados.

Isso é verdade, mas qual porcentagem de sistemas na maioria das organizações realmente armazena dados tão confidenciais? Na minha experiência, geralmente é inferior a 10% e raramente superior a 20%. Isso significa que parte do recurso liberado retirado do combate/mitigação de todos os incêndios/riscos pode ser focado nos sistemas em que a recuperação não pode oferecer proteção total de forma que o resultado geral ainda seja superior. Simplesmente nos dá melhores opções em termos de priorização.

Como alguém que pensa estrategicamente sobre a obtenção de um resultado geral de uma organização mais segura, isso é o que chamo de efeito Liberdade de Recuperação. E ele é enorme.

Isso me permite encurtar minha jornada rumo a uma organização mais segura. Reduzir os riscos, liberar recursos, permitir que eu concentre mais recursos, tempo e atenção nos fatores que estão causando os incêndios em primeiro lugar. Isso pode reduzir drasticamente o tempo necessário para implementar um programa, em alguns casos, em anos, acelerando a redução de riscos e antecipando o momento em que começo a ver a economia de OpEx de segurança, bem como todos os outros benefícios tangíveis de uma segurança orientada pelo gerenciamento da qualidade (alguns dos quais destacaremos em uma próxima edição).

Esse impacto é significativo o suficiente para compensar todo o custo da solução de recuperação, tornando-a um investimento direto no resultado final, em vez de um investimento provisório contra algum risco arbitrário. Melhor ainda, esse investimento gerará maiores reduções no risco e reduzirá a probabilidade de você precisar de sua solução de recuperação para realmente se recuperar.

Prefiro que você a use para melhorar seus negócios. E é isso que exploraremos em nossa próxima edição. Até lá.

Leia a Parte 1: Além da Recuperação: Além da Tecnologia

Recursos adicionais

• WEBINAR: Prepare-se, não tenha medo de ataques de ransomware
• INSIGHTS DO ARTIGO: Criando uma infraestrutura de dados sólida na era da IA e da nuvem híbrida
• BLOG: Colocando a estrutura de segurança cibernética do NIST em ação