Por muitos anos a palavra resiliência foi a mais utilizada para se referir ao combate dos desafios em Cibersegurança. Definida como facilidade e/ou habilidade de adaptação ao novo e/ou ao desconhecido, na área de Segurança de Dados, ser resiliente era implementar ferramentas capazes de prover alguma previsibilidade, planejamento, resistência e combate aos diversos riscos e aos ataques. Ela (a resiliência) se tornou tema frequente de muitas palestras, inclusive das minhas.
Os tempos mudaram. Os ataques evoluíram e se tornaram ainda mais sofisticados e amplos, expandindo para ambientes industriais, hospitais, companhias de energia elétrica, minedoradoras, empresas de óleo e gás, entre muitas outras. Atualmente, eles abrangem além de TI (Tecnologia da Informação) ambientes de IoT (Internet das Coisas) e OT (Tecnologia Operacional/industrial). Com isso, a superfície de ataques cresceu e envolveu câmeras de videomonitoramento, máquinas de ponto, catracas, aparelhos de ar-condicionado, POS (ponto de vendas) etc.
Agora, a palavra atual é antifragilidade. Cunhada pelo matemático de formação Nassim Nicholas Taleb, quem fez fortuna no ramo de investimentos, autor de livros como: "A lógica do Cisne Negro", "Arriscando a Própria Pele" e o mais recente "Antifrágil", a palavra foi aplicada por ele como definição de o oposto de frágil, carregando também a mensagem de transcender o comportamento de evitar riscos. Ela traz a ideia de que as coisas precisam do caos e da desordem para prosperar e florescer. A antifragilidade tem a propriedade singular de nos permitir lidar com o desconhecido, fazer coisas sem entendê-las e podermos fazê-las bem.
No passado, alguns profissionais já entendiam que mesmo que indesejável, era possível aprender muito com um ataque. A partir dele era possível evoluir processos, justificar investimentos em novas ferramentas, melhorar a governança, contratar pessoas ou serviços para uma evolução da maturidade em Segurança Cibernética.
Uma vulnerabilidade bastante comum é o vazamento de senhas. Senhas são fáceis de adivinhar e mais de 90% dos ataques envolvem roubo de credenciais. Assim devemos implementar o duplo fator de autenticação para evitar este tipo de ameaça. É preciso também fazer simulações para testar tempo de resposta e entender como agir na situação de ataque. Ainda, é válido promover treinamento à toda equipe com bastante frequência para que os usuários de tecnologia estejam cientes de como é possível reduzir os riscos digitais.
Em sendo a remoção das fragilidades o melhor caminho para a antifragilidade, temos muitas lições para levar ao nosso dia a dia em Segurança. No caso de um ataque, é preciso identificar a causa raiz o mais rápido possível. E a partir dela, implementar uma ampla estratégia de segurança que atenda e se integre aos negócios e às atividades-fim da organização.
Podemos falar também em desenvolver políticas e planejamento de segurança; implementar governança; promover capacitação e exercitá-la com frequência, incluindo todos os integrantes da empresa; além de adotar ações preventivas e preditivas.
Apesar de todas as ferramentas atuais disponíveis de segurança, as empresas nunca estão 100% protegidas, o tempo todo. Inspirado no autor (Taleb) vejo que temos que ter menos certezas, aceitar mais as incertezas e tomar decisões baseadas em probabilidades e em cenários de exposição. Não devemos ter a pretensão de que iremos acertar mais do que errar, mas na hora de errar, devemos estar preparados o suficiente para não arriscar tudo.
Nycholas Szucko, diretor regional da Nozomi Networks para América Latina.