Publicidade
Início Blogueria Precisamos falar sobre a tecnologia obsoleta em cibersegurança

Precisamos falar sobre a tecnologia obsoleta em cibersegurança

0
Publicidade

Eu gosto de etimologia. Às vezes entender a origem histórica das palavras traz insights para entendermos melhor um problema ou um cenário. Então, pesquisei sobre a palavra obsolescência e descobri algumas coisas interessantes:

Tem origem no latim. Deriva do termo obsolescere, que significa “tornar-se antiquado” ou “cair em desuso”. Uma junção de “ob-“, que significa “para fora” ou “contrário a”, e “solescere”, que vem de “olescere”, que quer dizer “começar a ser”.

Portanto, obsolescere refere-se ao processo de algo deixar de ser útil ou relevante com o passar do tempo. Descreve o estado ou processo pelo qual algo se torna obsoleto, isto é, ultrapassado ou fora de uso.

Quando falamos que “algo deixa de ser útil” e consideramos o contexto de segurança da informação, não dá para simplesmente jogar essa responsabilidade para Infraestrutura e sistemas, a rotina dessas áreas tem um foco em operação e entregas que corrigem falhas para o negócio e/ou implementações que trarão receita e esperar que essas áreas elimine a obsolescência, em tempo real, não seria uma boa estratégia.

A verdade é que a responsabilidade é nossa também. Líderes e gestores de segurança.

Segurança da informação já possui a responsabilidade da gestão de vulnerabilidade, que por sua vez olha todo o ambiente de tecnologia. Ao identificar obsolescência, o time de segurança poderia ter um indicador que suportasse a equipe de infra e sistemas no pedido de budget e na transformação digital. E mais: no racional de correção de vulnerabilidade em que é feita a análise de criticidade, exploit público, BIA, exposição do ativo, rede segmentada = Risco X, entre outros, caberia adicionar o critério “obsolescência”.

O custo em ter um ambiente obsoleto deve ser levado em consideração. Ambientes onde ficam os servidores e toda tecnologia que provê conectividade para a empresa precisam nascer apartados, pois mesmo que haja uma camada de patches virtuais, o risco ainda existe e toda materialização pode causar danos para a organização.

Olhando para o negócio, é crucial que a empresa não tenha a receita principal em cima de um ambiente legado. Com isso, cria-se riscos críticos, que precisam ser compartilhados com o board. Uma conversa sobre apetite ao risco é mais do que necessária. É esse entendimento que irá direcionar as ações do líder de segurança para desenhar um plano de gestão desses sistemas legados.

Além disso, é importante lembrar que existem várias regulamentações e normas que, direta ou indiretamente, abordam a obsolescência de ativos de TI, principalmente no contexto de segurança da informação, gerenciamento de riscos e conformidade. Isso precisa ser considerado. Porque, embora não exista uma lei específica focada exclusivamente na obsolescência de ativos de TI, várias normas e regulamentações relevantes trazem requisitos que abordam a gestão e substituição de ativos obsoletos.

Entre elas, ISO/IEC 27001; NIST; Sarbanes-Oxley Act (SOX); PCI DSS (Payment Card Industry Data Security Standard); ITIL (Information Technology Infrastructure Library); e Cobit (Control Objectives for Information and Related Technologies).

Sistemas legados são caros e entradas fáceis para invasores. Para encerrar minha discussão e incentivar você a olhar para a obsolescência no seu ambiente, cito um dado menos recente, mas curioso: em 2021, o relatório do Conselho Econômico Digital do Reino Unido indicou que quase 50% dos gastos de TI do governo do Reino Unido eram dedicados a “manter as luzes acesas” em sistemas legados desatualizados. Isso equivale a um gasto anual de 3 bilhões de dólares para aquele país.

Estreite sua parceria com Sistemas e Infraestrutura. E mantenha a área de risco envolvida no processo. Planeje uma apresentação ao board para um acompanhamento e compreensão clara do que está em jogo.

Leonel Conti, diretor de tecnologia da Redbelt Security.

SEM COMENTÁRIOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Sair da versão mobile