O Gartner Inc anuncia que, considerando o número crescente de ameaças na segurança de informação, os executivos de segurança e risco precisam construir organizações resilientes que suportem ataques e continuem alcançando os objetivos corporativos. Para Andrew Walls, vice-presidente do Instituto, ''as empresas precisam balancear seus investimentos em 60% em prevenção e 40% em detecção e resposta a ataques. A não ser que alguma aplicação específica exija uma proporção diferente''.
Para Jay Heiser, vice-presidente de pesquisa, 95% das falhas de segurança em cloud computing serão de responsabilidade do usuário e não da tecnologia, motivo pelo qual a empresas precisam estabelecer um plano de governança estratégico em cloud. Explicou que os CSO – Chief Security Officer estão apenas cuidando dos aspectos de implementação e requerimentos técnicos, deixando de lado os aspectos de gerenciamento e continuidade do ciclo de governança.
"Antes que os profissionais de segurança e risco possam se dedicar à resiliência é importante que compreendam a intersecção de duas macrotendências que impactam a segurança corporativa: a transformação dos negócios digitais e a crescente capacidade e sofisticação dos adversários digitais", afirma Claudio Neiva, diretor de Pesquisas do Gartner do Brasil.
Tendo em vista essas tendências, o Gartner divulgou recomendações para esse cenário:
Tendência número 1: Transformação dos negócios digitais
A convergência de pessoas, negócios e coisas cria forças digitais que transformam os modelos de negócios. Com tantas atividades de TI acontecendo fora dos departamentos de TI, as organizações encontrarão questões críticas envolvendo privacidade, segurança e riscos. O Gartner prevê que, por volta de 2017, 50% dos gastos de TI serão realizados fora do controle do departamento tradicional de TI. Isso criará novos desafios importantes para as áreas de tecnologia e para os líderes de segurança.
Tendência número 2: Crescente capacidade e sofisticação de adversários digitais
A taxa de ameaças digitais continua a crescer, conforme os criminosos inovam com rapidez e desviam enormes quantias de informações privadas de corporações por meio de sua infraestrutura. Defesas tradicionais, como programas de antivírus e firewalls de rede, têm apresentado falhas ao tentar bloquear a corrente contínua de violações. Além disso, normas regulatórias e de conformidade são reativas e muito prescritivas. Para combater essas forças obscuras, as organizações precisam considerar o papel do responsável em riscos digitais como o futuro do gerenciamento de segurança e riscos de tecnologia.
A resiliência é a melhor abordagem para tratar as ameaças, tanto as catastróficas como as diárias. "Ela é nosso Cruzeiro do Sul", afirma Walls. "A resiliência não trata apenas de ameaças catastróficas, mas também de ameaças cotidianas e contínuas."
Imagine, por exemplo, cidades que apresentam ocorrências de crimes, incêndios e doenças, assim como departamentos de polícia, bombeiros e hospitais. Uma tentativa de prever todos os incêndios seria inviavelmente cara e afetaria a qualidade de vida dos cidadãos. Ao invés disso, as cidades têm certos controles para evitar incêndios, recursos de detecção e resposta a emergências. "Trata-se de absorver os golpes e recuperar-se de grandes eventos, ao mesmo tempo em que se aceita certos riscos para o alcance do sucesso", diz John A. Wheeler, diretor de Pesquisas do Gartner.
Para gerenciar a segurança digital, as organizações devem adaptar-se a seis princípios de resiliência:
- Parar com formalismos ao focar em questões de conformidade e passar a tomar decisões baseadas em riscos
Seguir um regulamento, uma estrutura ou apenas fazer o que os auditores dizem, nunca resultou em uma proteção apropriada ou suficiente para uma organização. O "Pensamento Baseado em Riscos" compreende os principais problemas que o negócio pode encontrar e priorizar controles e investimentos em segurança para atingir os resultados de negócios esperados.
- Parar de proteger apenas a infraestrutura e começar a dar suporte aos resultados de negócios
A infraestrutura deve continuar a ser protegida, porém as estratégias de segurança precisam ser revistas para conseguirem atingir os resultados desejados de negócios, como o desempenho corporativo, o fornecimento de serviços públicos ou uma missão militar.
- Parar de ser o defensor e tornar-se um facilitador
Resista à tentação de dizer o que fazer para a equipe de negócios e decida o nível de risco adequado para a organização. Ao invés de rejeitar solicitações de negócios para transferir dados para ambientes Cloud (na Nuvem), por exemplo, trabalhe de forma eficaz com as contrapartes de negócios para entrar em acordo quanto aos níveis apropriados de segurança.
- Parar de tentar controlar a informação e começar a determinar como ela deve fluir
Negócios digitais introduzirão novos e massivos volumes, assim como novos tipos de informação, que devem ser protegidos adequadamente. É impossível aplicar controles apropriados para proteger os dados quando a localidade não é conhecida. Mapear os fluxos de informação se tornará uma tarefa primária de profissionais de segurança e risco de TI que tenham visão de futuro.
- Aceitar os limites da tecnologia e passar a focar em pessoas
A tecnologia de segurança apresenta limites. Portanto, é necessário ser capaz de moldar comportamentos e motivar as pessoas a fazerem a coisa certa, e não apenas tentar forçá-las a fazer aquilo que lhe dizem. A abordagem estratégica do Gartner quanto à segurança da informação, chamada "segurança centrada em pessoas", enfatiza a responsabilidade e confiança individual e remove a ênfase em controles de segurança restritivos e preventivos.
O 'Phising' (sigla que significa uma forma de fraude eletrônica caracterizada por tentativas de adquirir dados pessoais de diversos tipos), por exemplo, é o vetor inicial de infecção de 80% de todas as violações. Entretanto, não há muitos controles técnicos completamente eficazes para esse problema. Quando os funcionários estão motivados e compreendem a importância da segurança, a taxa de cliques em e-mails de 'Phising' cai drasticamente.
- Parar de tentar proteger exageradamente sua organização e investir em detecção e resposta
A disparidade entre a velocidade de comprometimento e a velocidade de detecção é uma das falhas mais gritantes descobertas em investigações de violações. No mundo digital, o ritmo de mudanças é rápido demais, impossibilitando a antecipação e defesa contra todos os tipos de ataque. Profissionais de segurança devem reconhecer que ocorrências de comprometimento são inevitáveis e que é melhor investir em capacidades técnicas, procedurais e humanas para detectar uma ocorrência de comprometimento.
A abordagem priorizando a Gestão de Risco indica a maturidade da organização e do profissional de segurança da informação para a proteção da informação e atendimento aos objetivos corporativos.