Organizações brasileiras estão avançando no processo de digitalização em ritmo diretamente proporcional à disponibilidade de recursos humanos. No entanto, à medida que expandimos nossos serviços online, também aumentamos a quantidade de equipamentos, softwares, componentes (micro serviços) e identidades. Isso naturalmente amplia não apenas a superfície de ataque, mas também diversifica as possibilidades de ataques contra nossas organizações. Além disso, estamos cada vez mais integrados a ecossistemas de organizações do mesmo segmento de mercado, e a hiperconectividade e mobilidade acrescentam novos desafios à gestão de nossos ambientes tecnológicos.
De acordo com o Gartner, 75% dos profissionais de segurança em todo o mundo consideram a cobertura de ameaças como o maior desafio enfrentado nos últimos cinco anos. Complementando essa visão, o ISC2, organização responsável por uma das certificações mais valorizadas na área de segurança, aponta que existe uma defasagem global de 4 milhões de profissionais qualificados. No Brasil, um relatório da Fortinet revela que há uma escassez de 750 mil profissionais de segurança, evidenciando a urgência de abordagens eficazes para lidar com essa crise de capacitação profissional.
Por todas essas razões, vemos com clareza que não dispomos de recursos financeiros e humanos suficientes para mitigar em 100% os riscos cibernéticos. Precisamos, portanto, selecionar nossas batalhas observando diretamente o nosso principal objetivo: criar uma organização resiliente diante de todos esses desafios. Isso implica em uma mudança no modelo mental, passando de uma abordagem focada apenas na proteção para uma que priorize a resposta e recuperação.
Para isso, precisamos abandonar o conceito de intolerância a falhas. É fundamental entender melhor nossos sistemas e serviços, tanto os que prestamos à população quanto os que utilizamos internamente, qualificando-os em níveis de importância. Isso nos permitirá determinar os níveis de investimento em proteção e priorizar métodos de detecção de problemas, além de estabelecer planos de resposta mais claros. Assim, garantimos condições de restaurar nossos serviços e de manter nossas organizações em funcionamento.
Embora tenhamos feito progressos significativos na busca por proteção, para sermos realmente resilientes, precisamos implementar métodos que nos permitam detectar falhas rapidamente e estabelecer processos de resposta que minimizem impactos. Um exemplo disso pode ser observado nas operadoras de cartão de crédito, que trabalham com a premissa de que fraudes são inevitáveis. Mesmo assim, continuam a oferecer cartões aos seus clientes. Isso não significa que a questão das fraudes não esteja sendo abordada. A ideia é clara: reconhecemos que temos um problema com fraudes, mas não interrompemos nossos serviços. Em vez disso, focamos em aprimorar nossos métodos de detecção de ações fraudulentas e em desenvolver processos de resposta que incluam coordenação com entidades de justiça e repressão ao crime.
Reconhecer que problemas ocorrerão não é uma forma de se eximir de responsabilidade; pelo contrário, é um ato responsável que envolve o reconhecimento de obstáculos e a busca por desenvolver nossa capacidade de contorná-los. Um exemplo disso é o ato de dirigir: atualmente, não há como garantir risco zero de acidentes, mas ainda assim dirigimos todos os dias. Sempre que possível, buscamos recursos que nos ajudem a identificar potenciais colisões, como sensores de ponto cego, sensores de faixa com computador de bordo e dispositivos que analisam o nível de direção, entre outros.
Assim como nos casos dos cartões de crédito e dos automóveis, é prudente reconhecer que uma segurança absolutamente inviolável é impossível nos dias de hoje, principalmente quando entendemos que vivemos em um ecossistema onde as organizações estão profundamente interconectadas. Se um dos componentes desse ecossistema falhar, todos corremos o risco de falhar também. Essa interdependência cria uma vulnerabilidade, pois, se uma empresa for comprometida, pode abrir brechas para ataques aos seus parceiros e clientes. Um ataque bem-sucedido em uma parte da cadeia pode ter efeitos devastadores em toda a rede.
A colaboração e a inteligência coletiva podem ser poderosas armas contra criminosos cibernéticos, criando barreiras mais difíceis de serem ultrapassadas e uma rede de segurança que protege todos os seus integrantes. Portanto, é fundamental que as organizações deixem de atuar de forma isolada e comecem a adotar uma postura colaborativa, enfrentando os desafios de segurança de forma conjunta.
Tudo isso nos mostra a necessidade urgente de revisar o modelo mental em relação à intolerância a falhas em segurança da informação. Precisamos racionalizar nossas ferramentas de segurança e estabelecer meios eficazes de colaboração em inteligência de ameaças com nossos parceiros e fornecedores.
Cláudio Neiva, CTO de segurança para a América Latina.
