Colaboração, diversidade e governança: três maneiras de melhorar a segurança cibernética

O setor de cibersegurança está evoluindo rapidamente, em grande parte devido ao mercado altamente sofisticado e dinâmico do crime cibernético. Mas, olhando para o ano de 2022 e até para depois dele, há muitas razões para otimismo. A defesa está amadurecendo sua abordagem e ficando melhor em articular as ameaças cibernéticas na linguagem do risco empresarial. O setor está utilizando com mais efetivamente a automação e a padronização e aperfeiçoando sua colaboração com outros setores. 

Na HP foi realizado recentemente um painel de CISOs, em que executivos do setor exploraram as melhores formas de lidar com as mudanças no cenário de ameaças. Como resultado, percebemos que o setor de segurança cibernética precisa partir dos pontos positivos para entender a estratégia no contexto da boa governança corporativa e sanar a diversidade e o déficit de qualificação cada vez maiores em seu banco de talentos. 

  1. Invasores são encorajados pela crescente complexidade das cadeias de suprimentos.

O mundo mudou muito em um curto período, principalmente se considerarmos os últimos dois anos. Isso significa adaptar-se rapidamente a uma nova realidade de complexidade empresarial, práticas laborais fluidas e investimentos no digital. Isso acontece, pois, a superfície de ataque está se expandindo exponencialmente à medida que a TI se moderniza para apoiar o trabalho remoto, as experiências de cliente e processos empresariais em constante evolução. O que isso quer dizer? De um lado, isso contribuiu para um número recorde de comprometimento de dados em 2021, enquanto as vulnerabilidades divulgadas saltaram para o maior número de todos os tempos. 

Ainda assim, há uma história mais interessante por trás das manchetes. Há anos temos tratado do tema sob o mesmo velho paradigma agressor-vítima. Nessa relação de “um contra um”, o agressor mira uma vítima e tem êxito ou não. Mas agora, como explicou Joanna Burkey, estamos começando a ver o que poderíamos chamar de ataques de “um contra muitos”.  

Afinal, ataques à cadeia de suprimentos não são novidade, claro, mas está começando a haver um aumento gradual na sofisticação e na ambição de nossos adversários. Eles se deram conta de que não precisam atacar individualmente todas as vezes. Na verdade, podem descobrir um ponto comum que conecta centenas ou até milhares de potenciais vítimas e, então, comprometer esse ponto. Com quase o mesmo esforço, eles têm um aumento significativo nos resultados. Isso é importante porque, mesmo com o papo de “recuo da globalização”, as cadeias de suprimentos estão ficando cada vez mais complexas.  

Com as organizações buscando administrar o risco dos fornecedores, a espiral dos custos e a tensão geopolítica no mundo pós-pandemia, a complexa teia de interdependências a que se prendem está crescendo. Isso nunca foi tão claro quanto no setor aéreo, então foi fascinante ouvir a explicação de Deneen DeFiore, vice-presidente e CISO da United Airlines, de como a área cibernética está deixando a lógica da proteção de dados para adotar a da resiliência. Entender essas dependências entre fornecedores é essencial para gerir o risco efetivamente. 

  1. Colaboração é fundamental para lidar com a complexidade.

Essa complexidade crescente também torna a colaboração setorial ainda mais importante. Como observou Kurt John, diretor executivo de cibersegurança da Siemens nos Estados Unidos, uma vítima de um ataque massivo talvez só consiga ver uma pecinha do quebra-cabeça. Somente por meio da colaboração com outras organizações certas, tanto públicas como do setor privado, é que podemos entender como os agressores estão trabalhando. Por isso, é importante que as organizações realmente pensem no que é útil divulgar a respeito de violações e no que não é interessante. Todos sabemos que os Indicadores de Comprometimento (IOCs) ficam praticamente desatualizados assim que são publicados. Então, o que de relevante pode ser compartilhado entre organizações? 

Atualmente, a conversa costuma ser muito voltada à possibilidade de uma organização ter sido violada ou não. Mas, se as violações são praticamente inevitáveis, talvez devamos focar mais em compartilhar descobertas sobre ataques e resultados post-mortem que de fato ajudem os outros. Em, se esse é o intuito, as organizações deveriam pensar de outra forma sobre quais informações estão sendo compartilhadas.  

 

Um exemplo útil é como a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) dos EUA coordenou a troca de informaçõesnos primeiros dias da saga da Log4Shell. A agência fez um trabalho incrível ao organizar diferentes e boas informações vindas de diversas fontes do mercado, sem dúvidas vamos aprender com essa situação. Porque, como explicou Ian Pratt, chefe global de Segurança de Sistemas Pessoais da HP Inc., o crime cibernético organizado hoje é conduzido como empresa, ou seja, essas organizações se tornaram mestres em compartilhar inteligência, informações e ferramentas para atingir seus objetivos. 

  1. Segurança cibernética tem um problema humano – precisamos parar com os jargões.

No setor global de cibersegurança, faltam mais de 2 milhões de profissionais. Neste momento de crise, precisamos cultivar o início de algo muito maior e melhor aumentando nosso banco de talentos e eliminando as barreiras de entrada no nosso setor. A área é cheia de jargões, conhecimentos específicos e credenciais. Como muitos de nós já estamos percebendo, isso não tem nos ajudado a recrutar novos talentos.  

Segundo o levantamento “Demanda de Talentos em TIC e Estratégia”, divulgado pela Associação das Empresas de Tecnologia da Informação e Comunicação (Brasscom), o Brasil conta com apenas 53 mil profissionais se formando em cursos de perfil tecnológico por ano. Por outro lado, o estudo mostrou que existe uma demanda média anual de 159 mil profissionais de Tecnologia da Informação e Comunicação. 

A diversidade também é fundamental, e ainda resta muito a ser feito nesse sentido. De acordo com um novo estudo da HP, 30% das mulheres nos EUA tentaram uma promoção no ano passado. Porém, das que tentaram, menos da metade conseguiram, contra 52% dos homens. O setor de segurança cibernética, assim como o de tecnologia como um todo, é problemático em termos de diversidade, particularmente em relação a colocar mulheres em cargos de direção. Devemos dedicar um tempo para entender como apoiar mais as mulheres e suas carreiras, já que elas são essenciais para fomentar uma força de trabalho diversa e atrair novos talentos. 

De acordo com um levantamento da HackerSec, empresa que atua com capacitação em cibersegurança, o número de mulheres que buscam cursos de cibersegurança triplicou nos últimos anos. Por isso, os empregadores devem se empenhar muito mais para aproveitar esse grande banco de recursos humanos subaproveitado. Como explicou Kurt John, a diversidade é o melhor jeito de impulsionar a criatividade nas respostas às ameaças que todos nós enfrentamos. 

A boa notícia é que as diretorias empresariais estão começando a reconhecer a importância da diversidade e da cibersegurança – assim como os CISOs estão finalmente começando a falar a língua do risco empresarial. Isso é razão de sobra para otimismo. Embora os agentes de ameaças estejam trocando conhecimentos e usando macrotendências, tais como a automação e a comoditização, para obter agilidade e sucesso, nós também estamos. 

O que tem ficado cada vez mais claro é que os líderes de cibersegurança têm muito mais chances de tomar as decisões certas para suas empresas se enxergarem essa questão no contexto da governança corporativa eficaz e se buscarem se concentrar em como a estratégia cibernética enfatiza e promove a boa governança.  

Para criarmos uma estratégia específica para cada negócio e que seja adequada a seu propósito, é vital que façamos com que o “G” da sigla “ESG” – relativa a meio ambiente, sociedade e governança – realmente signifique algo que ajude as equipes de cibersegurança a assumir a dianteira novamente.  

Fonte: Dciber.