Os distintos modelos de Gestão de Riscos têm como desafio lidar com uma realidade complexa, em constante transformação. Disso resulta que, apesar da evolução e amadurecimento desta disciplina, ela apresenta limitações. Sem nenhum demérito, este tipo de desafio pode ser visto em quaisquer outras áreas do conhecimento humano em que se tenta colocar em uma planilha um mundo complicado, que muito muda e pouco entendemos. Os economistas e sua dificuldade de prever as grandes transformações econômicas que o digam.
Os crescentes ataques cibernéticos bem-sucedidos são uma boa evidência de que algo não está funcionando, apesar de contínuos esforços em Gestão de Riscos e implementação de controles por ela tão diligentemente indicados. Mesmo o mais bem estruturado programa de segurança corporativa está exposto.
Uma digressão sobre possíveis causas a estas frequentes manchetes é o coração da Gestão de Riscos.
Se aceita amplamente que Risco = Impacto x Probabilidade, para um dado evento de segurança. Isso pode funcionar bem para eventos conhecidos, mas o que dizer dos desconhecidos?
Consideremos os chamados "Cisnes Negros". O termo foi criado por Nassim Taleb, filósofo, matemático e investidor libanês, para denominar grandes acontecimentos que são inesperados e que trazem grandes consequências. Como, por definição, não podem ser previstos, também não cabem na Análise de Riscos.
Para o propósito deste artigo podemos agregar um segundo grupo de riscos aos Cisnes Negros: eventos conhecidos, mas com probabilidade de ocorrência negligenciável. O famoso risco residual. Afinal de contas, a lógica da fórmula acima aponta que podemos negligenciar eventos de alto impacto, se sua probabilidade for muito baixa, pois o risco geral pode ser baixo e aceitável. A fórmula dá um critério objetivo para alicerçar a difícil decisão de quais projetos entram e quais não no programa de segurança.
Tanto os Cisnes Negros, como o risco residual, resultam igualmente perigosos à sobrevivência das empresas. São eventos resultantes de ataques novos e avançados, que nunca foram previstos ou que até já foram pensados, mas para os quais a probabilidade de ocorrência foi considerada desprezível.
Então, como preparar-se para enfrentar o imprevisível ou improvável, de modo eficiente do ponto de vista de alocação de recursos?
Acreditamos que a resposta é complementar a Gestão de Riscos com uma "rede de proteção", focada em assegurar a resiliência. Quando o pior acontecer, como detectar o evento e responder imediatamente? Como limitar os danos?
Isso requer uma combinação de capacidades de detecção, com inteligência preditiva e de ameaças, e resposta automática. Ferramentas de correlação de eventos turbinadas com inteligência de ameaças, machine learning e algoritmos de analytics compõem o elemento de detecção, e boas plataformas também apoiarão a orquestração da resposta.
A tecnologia de microssegmentação definida por software é uma medida chave na resposta automática, podendo reduzir a superfície de ataque ou mesmo colocar em quarentena o sistema comprometido. Ao isolar imediatamente um sistema comprometido do restante da rede, atua-se na limitação do impacto e no aumento da resiliência. Não importa a natureza do ataque, ele estará contido em um microssegmento definido em segundos para detê-lo e de lá não poderá sair. É como o típico (bom) cofre de banco dos filmes: ao soar o alarme, grades baixam do teto ao chão isolando diferentes partes do cofre e o criminoso fica preso em um desses "microssegmentos".
O que acabamos de descrever é uma implementação prática e provada do conceito de Arquitetura de Segurança Adaptativa, apresentado pelo Gartner. Acreditamos tratar-se de um conceito-chave para a sobrevivência das empresas no mundo em constante transformação digital que vivemos. Se não podemos antecipar todos os eventos e os riscos, devemos nos preparar assumindo o pior, não importa que natureza de vulnerabilidade e ameaça enfrentaremos. Para isso é preciso ir além da Gestão de Riscos e assegurar a resiliência dos negócios.
Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina.