Insights cibernéticos de um ex-hacker, Parte 2a

Além da Recuperação: Explorando o Problema - Parte 2 de 5

Bem-vindo à parte 2 da série Além da Recuperação, na qual começarei a elaborar o problema que estamos tentando resolver.

Entendendo a causa raiz

Acho que todos concordamos que, para chegar aos resultados certos, para encontrar as soluções certas para um problema, é essencial entender completamente o problema em si. E antes de podermos falar sobre como aproveitar o verdadeiro valor dos recursos de armazenamento e recuperação (ou, de fato, de muitas outras tecnologias de segurança), é essencial entender o problema real para resolvê-lo da melhor forma possível.

Uma observação interessante que fiz ao longo dos anos é que, quando pergunto a diferentes profissionais de segurança qual é, na opinião deles, o problema mais fundamental da segurança, eles respondem com respostas extremamente diferentes. Em geral, todos os problemas são válidos, mas raramente são fundamentais. Em outras palavras, eles descrevem coisas causadas por outra coisa, mas geralmente não expandem seu escopo para abordar a verdadeira causa. Não é de surpreender, portanto, que o problema da segurança continue a crescer.

Mas vamos dar um passo atrás e analisar o setor de segurança atualmente. Como “especialista do setor”, sou constantemente questionado sobre novas tendências tecnológicas, novas vulnerabilidades, novas dinâmicas de operação de gangues criminosas etc.

Não acho nada disso particularmente relevante. Porque não é.

Não sou um bom “especialista do setor” porque, na verdade, não me preocupo com o “setor de segurança”. O que me interessa é que as empresas alcancem resultados. As empresas não estão financiando a segurança porque se preocupam com qualquer uma das coisas acima. Elas estão financiando a segurança para obter um retorno sobre o investimento em termos de redução de riscos.

Leia o nosso blog: Colocando a estrutura de segurança cibernética do NIST em ação

Gastos com segurança versus resultados de segurança

Então, com essa métrica, como estamos nos saindo?

Nas últimas duas décadas, observamos um aumento contínuo nos gastos com segurança da informação. Esses gastos aumentaram exponencialmente não apenas em termos absolutos, mas também como uma porcentagem dos orçamentos gerais e de TI.

A redução correspondente em incidentes, ou risco explorado, tem sido... inexistente.

De fato, isso piorou e continua piorando. O interessante é que a cada ano o número de vulnerabilidades descobertas aumenta e, devido ao fato de não podermos corrigir todas elas, o número de vulnerabilidades que carregamos aumenta exponencialmente.

O que é interessante nisso? O fato de que essa tendência de quantas vulnerabilidades existem em nossas organizações, sejam elas “gerenciadas por riscos” ou não, é aproximadamente análoga aos danos causados por violações todos os anos.

Se você pensar bem, isso é claramente insustentável. Você poderia argumentar que as práticas e as tecnologias de segurança impediram muitos ataques, mas qual é o significado comercial disso se o invasor simplesmente mudar para outra forma de comprometer a organização e o resultado final for o mesmo?

Saiba como a Plataforma de Armazenamento Virtual One fornece uma base sólida de dados para aplicativos de missão crítica, incluindo mitigação de riscos e ameaças à segurança.

A tendência alarmante de rendições de segurança

Essa falta de sucesso levou a algumas citações famosas sobre segurança da informação:

"Existem apenas dois tipos de empresas: aquelas que foram hackeadas e aquelas que serão hackeadas." Robert S Mueller III, diretor executivo do FBI

E o mais geral “não é se, mas quando”.

Em uma perspectiva comercial, essa tendência está levantando dúvidas sobre a relação custo-benefício dos gastos com segurança de informações e dados.

Isso também provocou uma mudança de pensamento: que a recuperação, no contexto da resiliência, talvez devesse ser a principal prioridade. Dessa forma, apesar da estagnação nos gastos com ferramentas de segurança, as empresas têm investido (sabiamente, eu diria, considerando as circunstâncias) em seus recursos de recuperação.

É um pensamento lógico. Se não pudermos parar de ser atingidos com sucesso, devemos nos concentrar em nossa capacidade de nos recuperarmos rapidamente e bem.

Mas para mim isso é bastante impressionante se você pensar sobre isso. Ele sinaliza a rendição das equipes de segurança aos criminosos cibernéticos. "Fazemos o que podemos, mas no final do dia sabemos que a casa vai ser derrubada e teremos que reconstruí-la."

Uma abordagem falha: Por que não estamos conseguindo fazer a segurança corretamente

Mas e se houvesse outra maneira? E se estivéssemos procedendo sem entender completamente o conceito de segurança, o que significa que nossa abordagem era falha e que essa era a razão pela qual ela era ineficaz e proporcionava tão pouco retorno sobre o investimento?

-Gostaria de compartilhar com você algumas epifanias que tive em meus 25 anos de carreira. Esses conceitos simples moldaram meu pensamento e me permitiram fazer algo que vi poucos conseguirem: diminuir o risco permanentemente ao longo do tempo e, ao mesmo tempo, reduzir continuamente os gastos com segurança e gerar um aumento líquido no resultado final da organização. Sim, uma função de segurança interna que não é um centro de custos, muito pelo contrário.

1. Segurança não é trabalho de segurança.

A segurança é um pouco como manter um navio flutuando. Os navios têm vazamentos o tempo todo. Toneladas de pressão de água no casco significam que a água encontrará a menor rachadura, canos com vazamento, ondas batendo na proa etc., tudo isso contribui para a entrada de água. Mas não há problema, os navios têm bombas de porão para lidar com essas entradas indesejadas. É um pouco como sua função de segurança típica.

No entanto, se o seu navio estiver vazando milhares de galões de água a cada minuto devido a lacunas no casco, vedações ruins, canos com vazamento e outros, as bombas de esgoto não poderão salvá-lo e comprar mais não será a solução. Isso não é problema, pois não é função da bomba manter o navio flutuando, mas sim do navio. O projeto de todo o navio funciona de forma a manter a entrada de água em um nível mínimo, e a função da bomba de esgoto é apenas lidar com uma quantidade controlável.

Esperar que uma função convencional de segurança de TI mantenha sua organização segura por si só é como colocar bombas de porão em um prédio de apartamentos, jogá-lo no Atlântico e esperar que ele flutue.

2. O gerenciamento de riscos por si só é uma má ideia.

Imagine que você é um fabricante de aeronaves, tem um novo modelo em serviço e alguém descobre que um parafuso crítico na fuselagem (substitua o trem de pouso, etc., se preferir) pode se soltar durante o voo.

Você montaria oficinas em todo o mundo e realizaria operações de verificação e aperto de parafusos para minimizar o risco de um incidente, expandindo essa operação à medida que seus negócios e sua frota crescessem? Ou descobriria por que esses parafusos estavam se afrouxando, resolveria o problema com um projeto melhor, o usaria na produção futura e adaptaria o que já estava em campo e nunca mais teria de lidar com isso?

Essa é a diferença entre o Gerenciamento de Riscos puro e o Gerenciamento da Qualidade.

Observe que qualquer semelhança com eventos da vida real amplamente abordados é mera coincidência, pois essa é uma história que venho usando para ilustrar esse ponto há algum tempo. No entanto, se você a observar através dessa lente do mundo real, poderá ver o quão importante pode ser a diferença entre o gerenciamento de riscos e o gerenciamento da qualidade.

E, na segurança cibernética, ainda nos concentramos quase que exclusivamente no primeiro caso. Enquanto isso, os setores maduros reduziram com sucesso o número de incidentes que ocorrem ao longo do tempo, reduzindo também os gastos com isso. Em seguida, eles gerenciam apenas o risco residual que não pode ser eliminado de forma econômica com um gerenciamento de qualidade.

Esse é o único lugar em que devemos gerenciar os riscos da maneira convencional (pense na nossa bomba de porão).

E é por isso que os resultados negativos ao longo do tempo em setores maduros se parecem com o gráfico à esquerda, e os resultados negativos em segurança se parecem com o gráfico à direita.

Nem é preciso dizer que essa abordagem também traz grandes benefícios financeiros para a empresa, sobre os quais falaremos mais adiante.

3. A segurança é uma questão de qualidade.

Se o ponto acima não fez muito sentido para você, acho que fará depois que você aceitar esta ideia: a segurança é principalmente sobre a exploração de vulnerabilidades (na interpretação mais vaga da palavra). Mas o que são vulnerabilidades se não problemas ou defeitos de qualidade?

Defeitos no código, na configuração, na construção, no design, na arquitetura, no processo, no contexto etc., que permitem a ocorrência de um evento imprevisto ou indesejado que pode ser aproveitado por agentes mal-intencionados para nos comprometer.

Quando percebemos isso, vemos como as abordagens convencionais de gerenciamento da qualidade em uso em outros setores podem ser aplicadas para evitar que tantos riscos sejam introduzidos em primeiro lugar. Isso significa que reduzimos a quantidade de vulnerabilidade que carregamos ao longo do tempo, não porque estamos gastando cada vez mais recursos para mitigá-la, mas porque abordamos as causas básicas que as criaram em primeiro lugar.

Adotando uma abordagem holística

Para resumir os conceitos acima, para que haja segurança, todas as partes de uma organização devem ser pensadas com a segurança em mente. Isso inclui sistemas, aplicativos, processos e muito mais, em toda a empresa. O objetivo final da segurança deve ser definir como todas essas coisas devem ser feitas para fazer negócios com segurança e ter que gerenciar os riscos o mínimo possível.

Acompanhe-nos em nossa próxima edição, na qual apresentarei mais alguns princípios que, espero, façam você repensar a forma como aborda a segurança, a maneira como essa mudança pode ser alcançada e como o armazenamento e a recuperação podem ser um grande acelerador para isso.

Leia a Parte 1: Além da Recuperação: Além da Tecnologia

Recursos adicionais

• WEBINAR: Prepare-se, não tenha medo de ataques de ransomware
• INSIGHTS DO ARTIGO: Criando uma infraestrutura de dados sólida na era da IA e da nuvem híbrida
• BLOG: Colocando a estrutura de segurança cibernética do NIST em ação