O mundo está hiper conectado e interdependente. "Too Big to Fail", livro escrito por Andrew Ross Sorkin, oferece uma visão ampla sobre os eventos que levaram à crise financeira de 2008. Sorkin explora as possíveis causas da crise, como o uso excessivo de alavancagem por bancos e outras instituições financeiras. Como resultado, o sistema financeiro foi forçado a reestabelecer políticas e regulações para tornar o sistema mais resiliente.
O ambiente tecnológico não sustenta apenas o mercado financeiro, mas todos os mercados de forma global. Assim, fazemos parte de uma matriz tecnológica complexa. Falhas em um único ponto podem ter impactos amplos e rápidos devido à automação e interdependência. Uma das grandes discussões atualmente é sobre a gestão de terceiros (supply chain). Considerando que somos componentes dessa matriz,será que "terceiros" ainda é o termo certo? Ou somos apenas partes dessa matriz que precisam colaborar mais como um ecossistema? Ou seja, nosso ambiente tecnológico hoje é "too big to fail" e, por isso, podemos esperar, dentre outras coisas, a participação dos governos com políticas e regulações na busca por um sistema mais resiliente.
O desafio está não apenas na aceitação de que falhas podem ocorrer em quaisquer componentes desta matriz tecnológica, mas também na habilidade de construir planos que possam reduzir ou compensar os impactos de eventos similares provenientes de fontes e formas diferentes, sejam elas naturais, sistêmicas ou cibernéticas, por exemplo. Um conforto para CISOs e CIOS está na transparência sobre a falha operacional do fornecedor tecnológico em oposto a um ataque cibernético, dando a este fornecedor a credibilidade merecida. A segurança da informação, portanto, não é apenas uma questão de vantagem competitiva e proteção cibernética, mas uma necessidade fundamental para garantir a estabilidade e a resiliência de todo o ecossistema digital.
A recente falha da Crowdstrike demonstrou a necessidade de reavaliarmos as políticas e procedimentos de recuperação de nossas organizações. Nossos ambientes estão cada vez mais híbridos (on-premise e multicloud) e complexos (níveis de micro serviços). É aqui, no modelo de responsabilidade compartilhada, que mora o desafio de ter flexibilidade, agilidade e segurança de uma forma que possamos compreender nossas responsabilidades na integridade de sistemas críticos.
O que podemos aprender com a falha da Crowdstrike?
Ninguém está livre de falhas. Por isso, é essencial saber avaliar a importância dos ambientes e soluções para a resiliência da nossa organização, além de entender os impactos potenciais de falhas naturais, humanas ou cibernéticas na missão ou negócio da instituição. A administração dos ambientes tecnológicos é complexa e vai além das capacidades técnicas, envolvendo aspectos políticos, financeiros, mão de obra qualificada e, o mais crítico, a estratégia de negócios. Considere, mas não se limite, aos pontos destacados abaixo:
- Avaliação de Riscos: Devemos implementar avaliações contínuas de riscos para identificar vulnerabilidades potenciais e preparar estratégias de mitigação adequadas. Envolva os representantes de terceiros no planejamento de resposta a incidentes, como quando um prestador de serviço é infectado por ransomware e certifique-se de criar cenários realistas para que as empresas parceiras entendam as funções de risco associadas e viabilidade no mundo real.
- Resiliência Organizacional: A capacidade de uma organização de se recuperar de incidentes de segurança ou falha sistêmica é crucial. Isso requer não apenas tecnologias robustas, mas também processos bem definidos e uma cultura organizacional que priorize a resiliência. Considere a criação de um processo de avaliação de grau de maturidade de seus fornecedores que possam representar um alto risco à sua resiliência.
- Colaboração com Fornecedores: É vital manter uma comunicação aberta e colaborativa com fornecedores de tecnologia. Transparência em relação a possíveis vulnerabilidades e incidentes ajuda a fortalecer a segurança coletiva. Desenvolva manuais de resposta a incidentes de terceiros e socialize-os com líderes de unidades de negócios e outras funções de risco. Os incidentes raramente se desenrolam exatamente como no manual, portanto, todos os participantes – especialmente os principais tomadores de decisão de negócios – precisam estar preparados para fornecer uma resposta coordenada no caso de incidentes de terceiros. Compartilhe proativamente manuais de resposta a incidentes, com os parceiros, especialmente os mais críticos. Fornecer visibilidade em seu plano os incentiva a serem mais próximos e reforça a colaboração recíproca.
- Exercite o plano com as empresas parceiras: Convide terceiros críticos para participar de exercícios de mesa conduzidos com base em possíveis cenários de incidentes. Esta é uma oportunidade de dar visibilidade em relação ao seu ecossistema. Por exemplo, quem está conectado a sua infraestrutura, como estão conectados e qual é a razão.
- Formação e Capacitação: A segurança da informação deve ser uma responsabilidade compartilhada por toda a organização. Investir na formação e capacitação contínua dos funcionários em práticas de segurança cibernética é fundamental. Seus parceiros tecnológicos também precisam manter um plano de capacitação de seus funcionários para ter pessoas capacitadas trabalhando junto da sua operação.
- Estratégia do negócio: A segurança da informação deve ser integrada à estratégia de negócios de forma ampla, considerando as interações entre diferentes áreas como TI, finanças, recursos humanos e governança. Implante gatilhos automáticos para contingências ou alertas comuns de terceiros. Isso pode incluir alimentar automaticamente indicadores de risco de terceiros para o SOC, verificar ou revogar acesso a domínios específicos e alertar o proprietário da empresa para entrar em contato com o terceiro.
Em um mundo onde a tecnologia é a espinha dorsal de quase todas as operações, reavaliar continuamente nosso enfoque em segurança da informação é imperativo. Mesmo implementando as melhores práticas de resposta a incidentes, sejam cibernéticos ou sistêmicos, o fato é que problemas sempre acontecem. Nossa missão é aprender com estes eventos e tentar sempre a antecipação de cenários para que o plano ajude a reduzir ao máximo possíveis impactos em um ambiente digital cada vez mais complexo e interconectado.
Cláudio Neiva, CTO de segurança para a América Latina.