Conheça seu inimigo: Insights cibernéticos de um ex-hacker

Além da Recuperação: Além da Tecnologia

Introdução (parte 1 de uma série de 5 partes)

Bem-vindo a uma nova série de blogs da Hitachi Vantara, na qual espero que você conheça insights exclusivos pela primeira vez. Insights que vão muito além da conversa tradicional sobre “recuperação” e que têm um impacto real na estratégia e no resultado final. Se você é um líder de segurança progressivo, líder de TI ou, de fato, um líder de negócios, esta série é para você. Garanto que abordaremos tópicos que lhe interessam.

Você já pensou em como os recursos de armazenamento e recuperação podem ajudar a simplificar suas operações, eliminar dívidas técnicas, acelerar seus programas de TI e segurança ou até mesmo aumentar seus resultados?

Esta é uma série que trata menos da recuperação no sentido tradicional e mais do amadurecimento dos processos de segurança, TI e negócios para torná-lo não apenas mais resiliente, mas também mais eficiente e lucrativo. Ah, e nada de jargões técnicos. Estamos falando de negócios aqui.

Sobre o autor: Greg van Der Gaast

Por isso, este é um bom momento para me apresentar, seu anfitrião nesta jornada.

Meu nome é Greg van der Gaast e, acima de tudo, gosto de resolver problemas.

Não quero dizer fazer o que todos os outros estão fazendo para resolver um problema. Refiro-me a realmente pensar sobre o problema, o panorama geral, o porquê e fazer o melhor possível para obter o melhor resultado geral, independentemente do status quo.

Isso me levou a chegar a algumas conclusões surpreendentes e a desenvolver certos princípios durante minha carreira. Princípios que mudaram o jogo para mim e para as organizações que os implementaram, e dos quais espero que você se beneficie.

Posso dizer que o início de minha carreira na área de segurança se deu com o filme HACKERS. Como motivador para entrar nessa coisa toda de hacking, Angelina Jolie não é ruim. No dia do meu aniversário de ^{18 anos}, comecei a fazer trabalhos secretos para o Departamento de Defesa dos EUA e, posteriormente, para o FBI. (Houve um pequeno “esforço de recrutamento espontâneo” em minha casa depois que roubei alguns dados de testes, após os testes subterrâneos de cinco bombas atômicas, de uma instalação de armas nucleares.)

Dizer que eu era bom com tecnologia e segurança cibernética seria um eufemismo, e passei a ganhar a vida implementando todos os tipos de tecnologia de segurança de ponta para várias grandes organizações.

Realização: Abordagem de negócios em primeiro lugar

E então cheguei a uma conclusão. Uma empresa, uma organização, não é um computador.

Eu era ótimo em tecnologia de segurança, mas, na verdade, estava fazendo um péssimo trabalho para alcançar efetivamente o resultado de tornar a organização mais segura. E apesar de toda a propaganda nos círculos de segurança sobre “proteger” a empresa, eu provavelmente estava fazendo mais mal do que bem em termos dos custos que estava incorrendo e da sensação de segurança limitada no mundo real (para não mencionar a potencialmente falsa) que estava gerando.

Eu também não estava sozinho. O setor de segurança como um todo parecia estar indo na direção errada. Se você está se perguntando sobre o que estou falando, basta ver as estatísticas sobre o aumento do custo das violações, apesar dos gastos recordes com segurança todos os anos. E, embora o setor estivesse comemorando seu sucesso em ser cada vez mais importante e as organizações estivessem gastando cada vez mais em pessoal, produtos e serviços de segurança, o fato é que o quadro continuava piorando, como demonstram as estatísticas.

Assista ao nosso webinar: Prepare-se e proteja-se contra ameaças cibernéticas e ransomware

Desconstruindo o status quo

Essa percepção e uma década pensando em como resolver os problemas subjacentes em várias funções, desde auditor, CISO e tecnólogo-chefe do maior VAR do mundo, me afastaram um pouco do status quo da segurança na busca de resultados melhores e mais sustentáveis. De maneiras que, como se vê, têm muitas outras vantagens, como a geração de economias operacionais significativas e a criação de novas oportunidades de negócios.

Uma das maiores mudanças foi a mudança de mentalidade, de uma mentalidade tecnológica para uma mentalidade que prioriza os negócios. Ou seja, pensar na melhor forma de alcançar o resultado ideal de segurança, como um negócio inteiro, e não apenas como uma função tecnológica.

Gosto de perguntar a uma sala cheia de especialistas em segurança por que eles entraram na segurança cibernética. Foi porque gostaram de otimizar os resultados para a empresa ou porque gostaram de trabalhar com tecnologia? A resposta honesta geralmente é porque eles têm interesse em tecnologia.

Essa abordagem de segurança quase puramente focada em tecnologia não tem sido boa para as empresas. Ela nos impede de considerar um panorama mais amplo com melhores resultados. Os custos aumentaram, os gastos relativos aumentaram, mas a frequência e o impacto das violações só estão aumentando. Isso também é insustentável.

Não me entenda mal, todos os setores da empresa utilizam a tecnologia. Vendas, marketing, jurídico, etc. Mas o objetivo desses departamentos geralmente se concentra no resultado para a empresa, não na tecnologia que usam para alcançá-lo.

Assista ao nosso webinar: Resiliência cibernética e estratégias de mitigação de ransomware

Segurança como um facilitador de negócios

Isso me levou a analisar como alcançar os resultados da segurança e, ao mesmo tempo, maximizar todas as sinergias e oportunidades possíveis ao longo do caminho, inclusive as comerciais. O objetivo de minha abordagem tem sido ajudar os clientes a “resolver problemas de negócios, para que você pare de ter problemas de segurança”.

Tive o privilégio de prestar consultoria sobre esse assunto a várias organizações, desde universidades até o Google, passando pelo conselho consultivo da MasterCard.

Mas o que isso tem a ver com a Hitachi Vantara, ou mesmo com o armazenamento e a recuperação em geral?

Da maneira mais fundamental, nada.

Mas as mudanças que precisam acontecer para que possamos de fato progredir na redução de riscos (em vez de gerenciar cada vez mais riscos) e fornecer valor tangível às empresas seriam quase impossíveis sem isso. Ou seja, o armazenamento e a recuperação possibilitam e aceleram enormemente uma transição que permite que as empresas sejam mais resilientes por natureza, além de mais ágeis e econômicas.

E quando digo que os recursos de armazenamento e recuperação podem nos tornar mais “inerentemente resilientes”, o que quero dizer com inerentemente é que nossas organizações não serão derrubadas em primeiro lugar. Isso pode parecer estranho, aproveitar os recursos de recuperação de forma que seja menos provável que você precise se recuperar, mas é algo que esperamos que faça todo o sentido até o final desta série.

Repensando a segurança

Por enquanto, como uma pequena amostra, vou deixá-lo com algumas perguntas. Você já pensou em:

• Como a recuperação mais rápida reduz efetivamente os valores de risco, reduzindo a interrupção de incidentes? Como você poderia realocar o recurso que estava mitigando esses riscos anteriormente?
• Como a recuperação confiável pode permitir que você redirecione os recursos de seus riscos para resolver os problemas de TI e processos de negócios que os estão introduzindo?
• Como essa capacidade de lidar com as causas raiz pode reduzir de forma sustentável seus custos de OpEx de segurança, pois você tem cada vez menos problemas sendo criados em primeiro lugar?
• Os problemas de qualidade que causam os problemas de segurança provavelmente também têm outros custos que não são de segurança, o que significa que você economiza dinheiro para a empresa ao resolvê-los, em vez de gastar quantias cada vez maiores gerenciando riscos?
• Como você tem efetivamente uma cópia do seu ambiente em seus backups e pode aproveitá-la para testes e prototipagem rápida de alterações para aumentar a eficiência e eliminar o débito técnico?
• Você já pensou em analisar modelos financeiros que mostram como as abordagens de segurança de qualidade [em oposição ao gerenciamento de riscos] têm um benefício líquido para a empresa antes mesmo de considerar o risco arbitrário?

Acompanhe as nossas novidades

Esses são apenas alguns dos conceitos que exploraremos nesta série, portanto, continue acompanhando para saber mais.

Por enquanto, gostaria de agradecer à Hitachi Vantara por me dar a oportunidade de compartilhar com vocês e espero que se juntem a nós na próxima edição, em que analisaremos o espaço de segurança, por que estamos lutando para progredir e como podemos mudar as coisas para o benefício da empresa.