Ao observar o movimento atual do mercado de cibersegurança, alguns aspectos chamam a atenção com relação à estratégia que alguns gestores estão levando em conta para priorizar seus investimentos na área.
Em tempos de instabilidade econômica e com muitas soluções de segurança precificadas em dólar, é natural que as empresas tenham maior cautela ao considerar a aquisição de novos produtos ou serviços. Por este motivo, e pelas restrições naturais de orçamento que se impõem, a principal estratégia que tem orientado as escolhas está baseada em baixo custo e rápido resultado. Ou seja, soluções que forneçam um resultado pontual a curto prazo e que tenham um preço compatível com o orçamento disponível.
Diante desse cenário, em muitas situações, a lista de prioridades costuma ater-se à contratação de serviços de Pentest, Monitoração de Segurança de alguns ativos, assim como de ferramentas tradicionais de Análise de Vulnerabilidades e Antimalware, por exemplo.
Mas será que esta estratégia é adequada e suficiente para enfrentar um cenário de ameaças em constante evolução e os desafios de migração para a nuvem?
Este modelo de trabalho com visão de curto prazo não precisa ser desprezado, pois pode resolver problemas de cibersegurança específicos, mas evidentemente não prepara as empresas para lidar com as complexidades atuais e futuras.
É importante estabelecer um planejamento a médio e longo prazo que esteja alinhado às demandas de proteção da organização e que seja economicamente viável. Um planejamento de cibersegurança bem estruturado, que faça parte de um Plano Diretor de Segurança da Informação, por exemplo, é uma ótima ferramenta para buscar novos investimentos junto aos executivos da empresa e justificar a sua necessidade. A seguir, apresento alguns caminhos que podem auxiliar no desenvolvimento desta estratégia.
Primeiramente, é fundamental conhecer o negócio da empresa. Assim, é possível trabalhar no mapeamento das ameaças a que o negócio está suscetível e entender quais ameaças se relacionam ao ambiente de tecnologia. Uma ameaça de negação de serviço ao ambiente tecnológico pode estar relacionada à uma ameaça de sabotagem ao negócio da empresa. Já uma ameaça de vazamento de informações de clientes se relaciona à uma ameaça de dano à imagem da organização. Uma ameaça de acesso indevido aos sistemas pode estar relacionada à uma ameaça de fraude financeira.
O mapeamento das ameaças ajuda a desenvolver as próximas etapas do planejamento, pois elucida os principais gaps de segurança do ambiente.
Na sequência, pode-se ser realizado um assessment mapeando quais tecnologias de segurança, processos e serviços que estão implantados para a proteção do ambiente e qual é o nível de maturidade da empresa para cada um deles. Neste mapa devem ser incluídos também as tecnologias de segurança, processos e serviços que não estão implantados atualmente, cujo nível de maturidade pode ser definido como "inexistente".
O nível de maturidade pode ser avaliado considerando a abrangência de proteção que a tecnologia, processo ou serviço possui no ambiente, as ameaças relacionadas, assim como a abrangência de gerenciamento e monitoração, envolvendo aspectos como SLA, funcionamento 8×5 ou 24×7, entre outros. A definição de cada nível de maturidade pode variar, dependendo da necessidade de cada empresa, mas pode seguir um modelo semelhante a este:
1. Inexistente: Nenhum investimento foi realizado.
2. Pontual: Foi realizado um investimento pontual e a solução não tem a abrangência necessária, não atende de forma adequada, ou não acompanhou a evolução das demandas do ambiente e do cenário de ameaças.
3. Padronizado: A solução está implantada e atende às necessidades essenciais do ambiente atual, mas pode ser expandida para aprimorar a proteção e para estender sua capacidade às demandas futuras do ambiente e do cenário de ameaças.
4. Gerenciado: A solução está implantada de forma abrangente no ambiente, atende as necessidades atuais, é gerenciada e monitorada, mas há oportunidades de melhoria e de escalabilidade para atender às demandas futuras do ambiente e do cenário de ameaças.
5. Otimizado: A solução está implantada de forma abrangente no ambiente, é gerenciada e monitorada, excede as expectativas atuais do ambiente e acompanha a evolução do cenário de ameaças.
Por fim, pode-se obter uma visão de custo para cada tecnologia, processo e serviço cujo nível de maturidade precisa ser aperfeiçoado. Dessa forma, será possível definir qual a melhor estratégia de priorização, levando em conta a relação custo x benefício para implantação das soluções e a relevância de cada item para a proteção do ambiente.
O modelo apresentado fornece agilidade no desenvolvimento de uma estratégia bem fundamentada, com linguagem objetiva e direta, que pode se adaptar a novas realidades. Certamente existem outras formas de estabelecer um planejamento de médio e longo prazo para priorizar os investimentos em cibersegurança. O importante é agir neste sentido para enfrentar as ameaças em constante transformação, acompanhar a evolução tecnológica e as novas estratégias de proteção.
Ivan Soares, consultor de segurança da Arcon.
