Uma das principais necessidades que temos como organização e até como seres humanos, independentemente do setor no qual nossos negócios são desenvolvidos (saúde, educação, finanças, governo, etc), é a segurança da informação, que é parte ativa e fundamental do ecossistema tecnológico atual.
A segurança da informação vem sendo trabalhada há vários anos em empresas, tenham elas mais ou menos maturidade. E ao longo do tempo, novas práticas, regulamentações e até novos conceitos como a própria segurança cibernética vão sendo introduzidos.
Construir uma estratégia abrangente, peça por peça
A segurança cibernética inclui uma série de estratégias, metodologias e tecnologias que trabalham juntas para nos proteger contra ameaças digitais atuais e futuras. No entanto, quando realizamos auditorias de segurança, tanto internas como externas à TI nas organizações, descobrimos que a maioria delas não possui uma estratégia real em termos de implementação de projetos de segurança cibernética e, de fato, persiste um forte desconhecimento da gestão de riscos, que é a peça chave no desenvolvimento de qualquer arquitetura tecnológica, independentemente de onde ela reside (data center, nuvem, terceiros, etc.)
Hoje, é importante e de fato necessário definir uma estratégia de longo prazo na implementação de arquiteturas seguras dentro das empresas, o que não é uma tarefa fácil, pois para isso existem várias metodologias. Assim, ao tentar definir uma estratégia, geralmente não conseguimos saber com quais peças tecnológicas devemos concebê-las ou pior, em que ordem devemos implementá-las.
Se vocês se lembram de um jogo de LEGO, definir um projeto de cibersegurança é semelhante a construir uma figura com essas peças, na qual cada uma é um projeto. Como sabemos, temos peças de várias formas, tamanhos e cores. Os projetos de segurança cibernética funcionam da mesma maneira – há uma ampla gama de tecnologias necessárias em um exercício de garantia de TI e devemos escolher com quais peças começaremos, qual será o tamanho e em que período de tempo faremos a implementação.
Escolhendo o jogo correto
O problema é mais complexo quando precisamos entender que, assim como em um LEGO, as peças devem estar perfeitamente interconectadas para ter uma única figura final (estratégia) que perdure ao longo do tempo, ou caso contrário, teríamos muitas peças (projetos) umas sobre as outras, mas de maneira instável. Isso seria mais parecido com um jogo JENGA, aquele jogo em que colocamos uma torre de fichas e jogamos para removê-las uma a uma até que a torre inteira desmorone. Curiosamente, muitas decisões que tomamos em termos de projetos ou tecnologias operam mais como o JENGA do que como o LEGO, porque não há figura (estratégia) ou design bem pensado antes da implementação e apenas cobrimos deficiências (lacunas – descobertas) que surgem de auditorias ou de riscos que se materializam e para os quais não estávamos preparados.
Montar um LEGO de segurança cibernética é então uma tarefa que requer imaginação e uma base consistente, que ofereça suporte à figura (estratégia) final que você deseja criar. A primeira coisa a escolher é a figura final, a estratégia para um fim. Muitos decidem montar um LEGO que os leve a cumprir alguma regulamentação local ou internacional, outros decidem montar uma figura (estratégia) focada em algum projeto e outros mais ousados e maduros decidem seu LEGO com base no gerenciamento de riscos. Esta última é a melhor opção, porque é transversal a qualquer tecnologia e cobre ameaças conhecidas, desconhecidas, recentes e futuras em uma única abordagem.
Qual seria então a ordem a seguir para montar essa figura?
- A primeira peça, a maior e mais importante, deve ser a gestão de riscos, porque ela definirá a forma final da figura (estratégia), o tamanho (cobertura do projeto), a forma (tipo de tecnologia) e a cor (recursos necessários) das seguintes peças (projetos).
- A segunda peça, quase do mesmo tamanho que a anterior e com o mesmo nível de importância, deve ser a de políticas, normas e padrões.
- As peças a seguir, resultado da identificação de riscos e controles, devem ser colocadas dependendo do nível de exposição ao risco, levando em consideração os recursos da organização para definir a forma (tipo de tecnologia), o tamanho (cobertura do projeto) e a cor (recursos necessários) de cada uma.
Tendo sempre em mente a figura (estratégia) definida no início, é essencial que cada peça seja interconectada para que a estratégia seja estável e que perdure ao longo do tempo como uma única unidade e não se desintegre diante do menor movimento de hoje em dia com as mudanças vertiginosas que sofre o ecossistema tecnológico.
Em resumo, toda figura (estratégia) de cibersegurança deve ser implementada levando em consideração a união de múltiplos e diversos projetos (peças) devidamente interconectados. Formada por elementos tão complexos quanto qualquer projeto de TI (recursos, prazos, tecnologias), ter em mente uma figura (estratégia) clara tornará muito mais fácil conceber uma peça sólida ao longo do tempo. Finalmente, não estamos sozinhos nessa definição, temos muitas ferramentas (fabricantes, fornecedores, integradores, ISPs, consultores / auditores) que podem nos guiar na definição de como implementar nosso próprio LEGO de cibersegurança dentro da organização, é necessário apenas ter estratégia e imaginação.
Oscar Cortes, engenheiro sênior da Fortinet.