Essas últimas semanas estão intensas para o Twitter, desde as demissões em massa e o anúncio apressado do retorno da comercialização do recurso que permite a falsificação de pessoas e marcas, até o bloqueio não intencional de alguns usuários que habilitaram uma configuração específica de autenticação de múltiplos fatores (MFA).
Além disso, vimos também grandes demissões de indivíduos-chave nos grupos de Segurança da Informação, Privacidade e Compliance. E a situação muda a cada dia!
À primeira vista, pode parecer que isso tem um impacto maior para as pessoas que para as empresas/negócios, mas toda questão destaca como é fácil para a percepção de uma empresa mudar da noite para o dia e levanta questões sobre a estabilidade das posturas de segurança entre os fornecedores. Então, o que podemos aprender com tudo isso que está acontecendo no Twitter?
Em primeiro lugar, devemos reconhecer que, embora a aquisição do Twitter venha sendo promovida há muito tempo, a maioria dessas mudanças não foram anunciadas com antecedência. Isto significa que é possível que a postura de segurança e privacidade de uma empresa que hospeda nossos dados seja alterada da noite para o dia, e isso envolve nosso próprio perfil de risco de cibersegurança.
Sua empresa está preparada para isso? Até que ponto a segurança da sua empresa depende de controles nativos dentro da própria tecnologia do seu provedor de aplicações? Qual é a sua capacidade de aplicar rapidamente os controles de segurança na nuvem no caso de qualquer mudança em sua aplicação ou provedor de serviços na nuvem?
Quando questões como estas surgirem com qualquer fornecedor de tecnologia que possua dados organizacionais, as equipes farão perguntas e estarão interessadas em planos de risco, tais como:
- Qual o impacto disso na disponibilidade de serviços?
- Isso irá impactar as atualizações de serviços?
- Isso transforma as linhas de comunicação que temos com o fornecedor e como isso pode afetar nossa capacidade de resolver problemas?
Sob o modelo de responsabilidade compartilhada, as empresas precisam ter um mapa de controles e responsabilidades, e estes devem ser revisados para antecipar quaisquer mudanças de risco diante de quaisquer mudanças importantes nos negócios de seus fornecedores. Os processos devem ser bem definidos, documentados e continuamente verificados, permitindo que a empresa esteja à frente de qualquer problema.
Em segundo lugar, isto ressalta o risco permanente para uma empresa na qual funcionários armazenam e trocam dados sensíveis na infinidade de aplicações SaaS. Das quais a maioria, inclusive, não estão sob o controle de suas equipes de TI. Permitir o uso de uma aplicação SaaS confiável (mas não gerenciada) nem sempre representa um risco tão grande quanto o uso de um serviço de transferência de arquivos não confiável com uma política de privacidade ruim. Mas é fundamental lembrar que a divulgação dos seus dados em toda parte só aumenta o risco de que um serviço exponha essas informações.
É por isso que tantas empresas preferem implementar uma política de acesso baseada em zero trust, limitando a quantidade e o tipo de dados que estão expostos a tais serviços.
Precisamos também considerar a possibilidade de que um ou mais funcionários possam sabotar o serviço, vazar dados sensíveis ou simplesmente cometer um erro porque estão estressados e sobrecarregados. Como uma ameaça interna (potencialmente em grande escala) afetaria sua empresa se questões semelhantes ocorressem em um de seus fornecedores de aplicações ou de nuvem?
Como em qualquer estratégia de segurança cibernética, é fundamental considerar o equilíbrio entre risco e benefício comercial. Dessa forma, enquanto as empresas continuam consumindo serviços de nuvem em um ritmo crescente, talvez a queda do Twitter ajude a aumentar a conscientização dos líderes no board em relação a esses novos tipos de risco. Além disso, existe a esperança de que isso talvez também nos ajude como profissionais de infraestrutura e segurança a justificar nossos programas e o investimento contínuo, tanto em controles de segurança na nuvem quanto em estruturas de segurança de zero trust.
Richard Davis, chefe de Redes e Soluções de Segurança da Netskope para EMEA.