5 passos para maior Segurança e Resiliência Cibernética no Novo Normal

Publish date:

Há aproximadamente um ano, um típico Cisne Negro tomou conta do mundo. “Cisne Negro”, pela definição do autor Nassim Taleb, é um evento de baixa probabilidade, alto impacto em caso de ocorrência, e que a natureza humana considera explicável e previsível após a sua ocorrência. Sim, a pandemia que enfrentamos neste período é um bom […]

Escrito por Leonardo Carissimi

Há aproximadamente um ano, um típico Cisne Negro tomou conta do mundo. “Cisne Negro”, pela definição do autor Nassim Taleb, é um evento de baixa probabilidade, alto impacto em caso de ocorrência, e que a natureza humana considera explicável e previsível após a sua ocorrência. Sim, a pandemia que enfrentamos neste período é um bom exemplo de um Cisne Negro, assim como 11 de Setembro, o nascimento da Internet, e há tantos outros exemplos de cisnes positivos ou negativos no livro do Taleb. Ainda conforme o autor, um pequeno número de Cisnes Negros explica quase tudo no mundo, e a nossa evolução vive de saltos – não de forma linear como os livros de história simplificam.

Teorias à parte, nos últimos doze meses, como uma resposta ao Cisne Negro da Covid-19 vivenciamos uma aceleração sem precedentes na Transformação Digital dos negócios. As empresas mostraram uma capacidade notável de responder ao evento e reorientar esforços para a Transformação Digital e o trabalho remoto (Home Office). Por algumas semanas no segundo trimestre de 2020 todos estavam buscando expandir capacidade de tecnologias de acesso remoto como VPNs, e o uso de sistemas em nuvem pública. Em alguma medida, o Cisne Negro negativo da Covid causou um Cisne Negro positivo nos negócios, daqueles que fazem a história evoluir em um salto.

Em alguns casos, este movimento seguiu de acordo com Planos de Continuidade de Negócio previamente definidos, e observando controles e práticas adequadas de Segurança Cibernética. Em muitos outros, no entanto, foi realizado com bastante esforço e competência mas sem roteiros previamente estudados, definidos e testados. E com alto nível de tolerância ao risco cibernético – afinal com uma crise destas proporções na porta e a necessidade dos negócios sobreviverem, os riscos cibernéticos pareceram os menores para os negócios naquele momento.

Um fator importante para a maior aceitação dos riscos cibernéticos no meio da gestão da crise maior, é o entendimento de que esta condição seria provisória. Ou seja, independentemente se esta migração acelerada e repentina para a nuvem e para o Home Office foi de acordo com planos bem elaborados e geridos de continuidade e segurança ou não, esta deveria ser uma migração para um estágio de contingencia provisório. Supostamente por algumas semanas. Naquele momento, não se imaginava que muitos de nós completaríamos um ano de trabalho em Home Office, por exemplo.

Assim, a questão que se coloca é que muitos negócios estão vivendo em regime de contingencia há muito tempo. Uma situação longe do ideal de diversos pontos de vista – desempenho dos processos, na esfera trabalhista, na condição psicológica dos colaboradores, formação de cultura corporativa e espírito de equipes, etc – e no que tange à segurança das suas operações e à continuidade de seus negócios cada vez mais dependentes de tecnologia.

Se já estamos vivendo em regime de contingência, qual a contingência da contingência? E qual a segurança da operação em contingência? Lembrando que os níveis altos de risco cibernéticos foram aceitos porque havia uma crise maior, se requeria resposta rápida, e tudo isso seria “apenas por algumas semanas”…

Então: qual a segurança e a resiliência dos negócios em tempos de pandemia, no qual operar em regime de contingência – e  com maiores riscos assumidos lá atrás – recebe o nome glamoroso de “Novo Normal”? Seria realmente normal viver um ano com controles de segurança e planos de continuidade de negócios inadequados?

Abaixo apresentamos cinco passos que recomendamos revisitar por serem fundamentais para assegurar a segurança e a resiliência cibernética dos negócios neste “Novo Normal”:

  • Identifique os novos riscos ao negócio: A segurança cibernética deve ser revista dado o novo cenário. Desde a última Análise de Riscos Cibernéticos, o que mudou: quantos novos sistemas foram para a Nuvem, quantas funções críticas de negócio agora são realizadas no ambiente de Home Office? É fundamental avaliar o nível de maturidade do Programa de Segurança Cibernética do negócio, e sua capacidade de responder ao novo cenário. As políticas – e os controles associados – de trabalho remoto, uso de dispositivos pessoais, acesso remoto, controle de aplicativos autorizados, etc estão atualizadas? Identificar os novos riscos, avalia-los e tomar decisões acerca de quais são aceitáveis e quais não são; quais devem ser mitigados, como e quando; e executar ações emergenciais para mitigação dos riscos considerados excessivamente altos para o negócio.
  • Revise o Plano de Continuidade de Negócios: Hoje, processos críticos de negócio funcionam desde a casa de colaboradores que estão sujeitas a flutuações no serviço de banda larga, quedas de energia, etc. Para os colaboradores críticos, sua empresa tem mapeados os locais de trabalho? Eles estão em grandes cidades ou partiram para localidades mais remotas no interior e litoral, com condições mais aprazíveis para o bem estar dos mesmos e familiares, mas mais desfavoráveis de energia e acesso à Internet? Se algo ocorre no seu Home Office, com qual nível de segurança eles vão trabalhar na rede wi-fi da cafeteria próxima? Quanto tempo um destes colaboradores pode ficar sem acesso aos sistemas chave da empresa para efetuar uma transação crítica para o negócio? Qual o impacto financeiro do atraso? Estas e outras questões precisam ser consideradas em revisões do Plano de Continuidade de Negócios neste momento.
  • Não esqueça da Segurança das suas Aplicações: Um grande desafio da segurança cibernética hoje é a aceleração sem precedentes da Transformação Digital, e o aumento exponencial de uso de sistemas online – comércio eletrônico, jogos, aplicativos mais diversos. Então, a segurança dos aplicativos é chave. A pressão para migrar processos para o mundo digital e sobreviver ao Cisne Negro Covid-19 foi imensa, bem como a já citada flexibilização de controles e maior aceitação de riscos cibernéticos no processo de responder à crise maior. Mas as pressões dos negócios por processos ágeis e rápida oferta de serviços e funcionalidades não podem impactar a qualidade e a segurança dos aplicativos e serviços online disponibilizados. A segurança deve ser parte integrante da esteira de desenvolvimento, e avaliar os riscos, as funcionalidades de segurança incorporadas, as vulnerabilidades do código e arquitetura das aplicações nos diferentes estágios do processo. Inclusive com o produto pronto e já disponível, por meio de varreduras de vulnerabilidades periódicas.
  • Revise a Segurança na Nuvem: De forma similar, onde temos rápida migração de cargas de dados e aplicações para ambientes de nuvem pública, temos riscos de não estar atuando com a arquitetura, funcionalidades e controles de segurança mais adequados para este ambiente. Não que a nuvem pública seja insegura! Mas, observa-se que muitos negócios não têm claras as suas responsabilidades em termos de segurança neste ambiente, considerando que alguns controles críticos de segurança são automaticamente tratadas pelo provedor de nuvem, quando na realidade é responsabilidade do negócio. Importante fazer uma análise caso a caso de responsabilidades – o que inclui considerar qual modelo de serviço contratado: IaaS, PaaS ou SaaS. A regra geral é o que é conhecido como Modelo de Responsabilidade Compartilhada, em que os clientes são responsáveis ​​por escolher como seus dados são tratados NA nuvem, e o provedor é responsável pela segurança DA nuvem.
  • Reestruture as Operações de Segurança: Um outro item que merece destaque é o de manter operações de segurança cibernética adequadas ao novo desenho do negócio. Assegurar que controles e ferramentas adotadas para mitigar os riscos estejam em funcionamento nos novos ambientes de nuvem e robustecer a segurança dos endpoints. Revise o escopo de cobertura dos serviços atuais: eles já cobrem os novos ambientes de nuvem? Eles têm controles adequados para os endpoints, dado que muitos destes agora estão em Home Office? Coletar e monitorar logs, identificar eventos suspeitos, aplicar técnicas de inteligência de ameaças, gerir de forma eficaz as soluções de segurança perimetral, atualizar as soluções de segurança de endpoints (Antivírus, Data Loss Prevention, Endpoint Detection & Response, entre outras), soluções de segurança de bancos dados, são exemplos de controles que se fazem necessários. Estas operações tipicamente vão requerer cobertura em regime 24×7 e podem ser desafiadoras para times enxutos de segurança cibernética das empresas, mas felizmente há um mercado maduro e importante globalmente para prestação de Serviços Gerenciados de Segurança que pode apoiar.

O chamado “Novo Normal” traz muitos desafios importantes para a Segurança e Resiliência Cibernética. Em 2020, foi fator crítico de sobrevivência para os negócios mudar rapidamente. Daqui pra frente, será fator igualmente crítico adequar seus Planos de Continuidade e Programas de Segurança Cibernética para refletir as mudanças de infraestrutura e processos adotadas naquela época. Um novo Cisne Negro pode estar ali adiante, para testar a resiliência e a segurança cibernética dos negócios. E, dado que os Cisnes Negros não podem ser previstos, é fator de sobrevivência estar preparado para ser resiliente.