Além da Recuperação: O Dinheiro Fala Mais Alto

Na Parte 2b:Além da Recuperação: Explorando o Problema, examinei mais profundamente a questão central que precisamos abordar em relação à segurança, destacando os fatores muitas vezes negligenciados, mas essenciais, que contribuem para as tendências de segurança.

Imagine que eu aborde meu diretor financeiro com um orçamento de 1 milhão de dólares para pedir uma solução de recuperação. O argumento é que, apesar de nossos melhores esforços e dos gastos com segurança, é impossível evitar violações e, portanto, precisamos minimizar os danos quando, inevitavelmente, formos atingidos.

Expressando isso abertamente ou não, é provável que meu diretor financeiro tenha algumas perguntas. Uma delas pode ser o questionamento sobre o que exatamente estamos fazendo com os, digamos, 5 milhões de dólares já alocados anualmente para a segurança, se ainda precisamos de uma solução de recuperação.

Isso pode causar um certo ceticismo em nossa capacidade de realizar nosso trabalho de manter a organização segura e o que estamos fazendo com o investimento existente, o que nunca é bom.

Avaliando as chances de uma violação de segurança

Eles então podem perguntar quais são as chances de serem atingidos tanto que isso faria uma diferença material. Você pode dar uma resposta aproximada de 10% para um determinado ano.

Você realmente se surpreenderia se, com 10% de chance de algo acontecer (que, na opinião deles, você já deveria ter evitado), e sem nenhuma garantia de que esse novo gasto funcionaria melhor, o diretor financeiro achasse que investir esse dinheiro em marketing teria retornos mais concretos para a empresa?

Eu não. Com minha visão de negócios, é o que eu faria, e nenhum tipo de medo e indignação em relação à segurança mudaria isso, para melhor ou pior.

Agora, imagine que eu tenha solicitado os mesmos 1 milhão de dólares para a mesma solução, mas dizendo que o objetivo era diminuir o custo de qualquer cenário de incidente, reduzindo o tempo de inatividade associado a cada um deles.

Isso significa que preciso de menos recursos para gerenciar os riscos que podem levar a esses problemas, liberando-os para corrigir os problemas do processo no início, o que reduzirá o risco que a empresa está introduzindo e carregando ano após ano.

Isso, por sua vez, significa que posso reduzir a quantidade de recursos de que preciso para gerenciar operacionalmente os riscos, pois estou carregando um número cada vez menor deles. Se esse valor representar um gasto cumulativo de 500 mil dólares a menos a cada ano, porque corrigimos as causas principais que levaram aos problemas que os gastos estavam mitigando, então reduzi meus gastos anuais com segurança dos atuais 5 milhões para 4,5 milhões e, em seguida, 4 milhões e 3,5 milhões de dólares por ano.

Isso significa que, em vez de falar sobre risco intangível, agora estou pedindo um investimento de 1 milhão de dólares que criará uma economia total de 3 milhões de dólares (0,5 milhão de dólares + 1 milhão de dólares + 1,5 milhão de dólares) nos próximos três anos. É uma decisão óbvia. Ainda não mencionei a redução de riscos, que, na verdade, será maior do que no primeiro cenário porque teremos reduzido o que pode dar errado. Isso significa que a probabilidade de um incidente é menor e, quando ocorrer, provavelmente será mais limitado.

Assim, ao usar a recuperação como uma rede de segurança para priorizar um trabalho mais proativo, mudei o argumento de que poderíamos ter nossos resultados financeiros reduzidos devido a uma violação para um argumento de que os aumentaremos por meio da promoção de eficiências organizacionais.

Aplicando lógica financeira a outras soluções

O mesmo tipo de lógica financeira também pode ser usado com outras soluções de segurança. Por exemplo, um investimento em uma plataforma de varredura de vulnerabilidades pode ser apresentado como um mecanismo pelo qual, em vez de encontrar e remediar os CVEs (Vulnerabilidades e Exposições Comuns) que ela nos aponta, podemos nos perguntar o que os está causando. E, em seguida, persiga as causas que continuam introduzindo vulnerabilidades (ou, no caso de patches ausentes, nossa incapacidade de implantá-los automaticamente) para que o número de problemas que precisam de intervenção diminua com o tempo.

Em vez de apenas "corrigir" vulnerabilidades individuais, olharíamos para cada uma delas como um fio a ser puxado para descobrir o que está nos levando a acumular essas vulnerabilidades. Esse é o início da curva descendente de incidentes ao longo do tempo que vimos em nosso exemplo de aviação em uma parte anterior.

A diferença, no caso da recuperação, está no fato de que ela é o que nos proporciona a rede de segurança que pode ser usada para liberar recursos do combate a incêndios para que possam ser alocados para esses esforços proativos. Isso é fundamental, pois nossa incapacidade de fazer isso atualmente é, na minha experiência, o maior obstáculo para superarmos a atual espiral de deterioração da segurança.

É isso que torna os recursos de recuperação um grande facilitador e acelerador de mudanças na suscetibilidade da nossa organização a ataques e, ao mesmo tempo, melhora nossos resultados no processo. E isso antes de começarmos a contar com eles para nos salvar caso as coisas piorem. Existem alguns modelos financeiros realmente interessantes que podem ser criados em torno disso para obter apoio da empresa, que vão muito além de apenas falar sobre riscos.

Naturalmente, quanto mais eficaz, garantida e confiável for a sua solução de recuperação, mais você poderá reduzir os impactos dos efeitos adversos e mais recursos poderão ser realocados para reduzir os riscos e aumentar os resultados financeiros a longo prazo. Trata-se de um enorme multiplicador de força estratégico.

Na verdade, vamos intensificar um pouco as coisas. Até agora, falamos sobre a redução do esforço e dos custos de segurança (apagar incêndios) por meio de uma abordagem mais estratégica em torno das causas raiz, mas há muito mais em termos de resultados quando você está buscando uma abordagem de gerenciamento de qualidade versus uma abordagem de gerenciamento de risco.

Abordando a causa raiz

Anteriormente, discutimos como praticamente todos os problemas de segurança são problemas de qualidade. O que não mencionamos é que nem todos os problemas de qualidade são problemas de segurança (por exemplo, código ruim pode ser lento ou instável, mas não explorável de outra forma). Mas muitas vezes eles têm as mesmas causas básicas.

Permita-me compartilhar um exemplo específico. Imagine que sua equipe de segurança estava sobrecarregada tentando ficar por dentro de milhares de vulnerabilidades introduzidas no ambiente todos os anos, a maioria das quais são resultados de práticas inadequadas em seu departamento de engenharia.

Você aborda a causa raiz do problema defendendo que os desenvolvedores sejam treinados, melhor selecionados, adotem melhores práticas/processos, etc. O resultado é uma redução significativa no número de vulnerabilidades produzidas, o que já cria um ROI em termos de OpEx de segurança reduzido.

Eu enfrentei essa situação uma vez e foi um grande sucesso. Mas não foi só isso que aconteceu. Ao abordar os problemas de qualidade que estavam causando vulnerabilidades no código e nas instâncias de computação, os aplicativos também ficaram mais estáveis, rápidos e fáceis de adaptar às solicitações de recursos do cliente (o que se tornou mais lucrativo).

Corrigir problemas levou menos tempo e recursos, as pessoas em toda a organização que usavam sistemas internos tornaram-se mais produtivas e os engenheiros de confiabilidade do site que estavam esgotados devido à dificuldade em manter as plataformas ativas pararam de sair (economizando uma fortuna no recrutamento e evitando algumas grandes faltas que tiveram impactos reais nos negócios).

Por fim, os clientes tiveram uma melhor experiência usando o produto (SaaS), o que melhorou as taxas de retenção/renovação e até mesmo o moral dos funcionários aumentou.

Depois, houve o grande. Os custos de computação em nuvem caíram 30%, um valor grande o suficiente para pagar por toda a função de segurança.

Existem alguns vídeos que você pode procurar sobre a reintrodução de lobos no Parque Nacional de Yellowstone, em Montana. Embora a intenção original fosse controlar a população de alces, sua presença mudou tudo, desde as espécies presentes, os tipos de vegetação, até mesmo o curso dos rios, restaurando massivamente o equilíbrio do ecossistema de uma forma que ninguém poderia prever. A segurança como uma função de qualidade alcança algo notavelmente semelhante, mas só pode ser alcançada se você puder liberar o recurso para fazê-lo. E quanto melhor for sua rede de segurança, mais progresso (em vez de apagar incêndios) pode ser alcançado.

E acontece que a Hitachi Vantara tem a solução de recuperação mais rápida do mundo.

Leia o nosso resumo da solução: A recuperação de ransomware mais rápida do mundo

De instantâneos imutáveis.

Todos esses impactos positivos terão um valor comercial. Encorajo todo profissional de segurança a fazer duas coisas. Em primeiro lugar, comece a pensar além de apenas gerenciar riscos. Pense em como podemos reduzir custos abordando os problemas de TI e de negócios que causam nossos problemas. Em segundo lugar, comece a pensar em quais outros benefícios nossa abordagem focada na causa raiz/qualidade pode gerar para os negócios. Cada um terá um possível modelo financeiro que mostre valor para o negócio e nos ajude a angariar apoio para elevar nossa posição e impulsionar nossos programas.

Acompanhe-nos em nossa próxima edição, na qual veremos como nossos recursos de armazenamento e recuperação podem nos ajudar a superar alguns de nossos obstáculos mais difíceis: Sistemas legados e dívida técnica.

Ler Parte 2a: Além da Recuperação: Explorando o Problema 

Recursos adicionais

• WEBINAR: Prepare-se, não tenha medo de ataques de ransomware
• INSIGHTS DO ARTIGO: Criando uma infraestrutura de dados sólida na era da IA e da nuvem híbrida
  
• BLOG: Colocando a estrutura de segurança cibernética do NIST em ação