Adeus ano velho, feliz ano novo, que tudo se realize no ano que vai nascer… A famosa música vem sempre recheada de esperança para um ciclo renovado, diferente e cheio de realizações. Na Segurança Cibernética, a expectativa é de um cenário distinto, com orçamentos mais recheados para contratação de ferramentas inovadoras e de pessoas capacitadas, um board que anda junto e veste a camisa da Segurança e colaboradores conscientizados.
Talvez esses pontos estejam no top 5 da lista de desejos dos CISOs para 2022. Mas o fato é que, nesta profissão, é preciso buscar uma renovação constante de ideias, de métodos de abordagens e de estratégias. Como já diria Horatio Nelson Jackson, um médico americano pioneiro em automóveis: “Não se pode fazer o trabalho de hoje com métodos de ontem para estar no negócio de amanhã”.
“Precisamos reagir às antigas vulnerabilidades com novas estratégias, com é o caso do Log4j, por exemplo. O importante é mudar o mindset para não cair no modo reativo. Na nossa profissão, lidaremos todos os dias com vulnerabilidades e incidentes, foi assim em 2021 e será igual em 2022, o importante é estar um passo à frente dos atacantes”, destaca André Vidal, CISO na Pagar.me, durante mesa redonda produzida pela TVD em parceria com a Forcepoint.
Douglas Rocha, Gerente Executivo de Segurança da Informação no Inter, concorda e acrescenta que ser CISO é estar sempre preparado para um cenário de crise, porém, é preciso contar com apoio da alta direção. “Nós escolhemos essa profissão. Não é uma área fácil de vender para a diretoria e muito menos de operacionalizar. Será a primeira área a ser questionada diante de um incidente, mas é algo que gostamos de fazer. Por isso, contar com o apoio da diretoria nos fará ainda mais capazes de navegar em águas mais agitadas. É perigoso navegar sozinho”, completa o executivo durante o debate que focou nas previsões de Cyber Security para 2022.
Envolvimento dos terceiros
Outra tendência apontada pelos CISOs que participaram do debate é a atenção redobrada quando o assunto de segurança se expande aos terceiros. As empresas que possuem dados compartilhados com parceiros precisam contar com políticas bem estabelecidas de avaliação constante de risco, um processo fundamental para conhecer e mitigar os riscos de segurança e privacidade.
Na visão dos debatedores, os terceiros exercem papel fundamental nas empresas, tanto com equipes alocadas quanto por meio de sistemas integrados que sustentam os processos de negócio. Ter acesso às bases de dados ou APIs exige um alto nível de controle e políticas de segurança, além de padrões de conformidades com regulações ligadas aos segmentos específicos, como o financeiro por exemplo, e à Lei Geral de Proteção de Dados.
“Teremos que olhar com mais atenção a atuação dos parceiros a fim de garantir o mesmo nível de proteção e conformidade da nossa empresa. Isso, sem dúvida, será uma grande tendência para 2022, principalmente quando envolvem proteção de dados e incidentes em operadores”, destaca João Araújo, DPO na Unimed Fortaleza.
É importante também entender se os parceiros estão atentos com a complexidade do cenário de vulnerabilidades, caso haja alguma violação, é preciso ter estratégias para lidar com um incidente causado no terceiro. “As vulnerabilidades irão aparecer, onde existe um código, as chances de ter algum ponto vulnerável são grandes. Precisamos renovar nossa maneira de lidar com problemas que não são nossos, mas podem nos afetar”, pontua Douglas Rocha.
“Inclusive, ficar atentos aos colaboradores de terceiros e desenvolvedores que contam com acesso privilegiado. Isso precisa ser auditado e controlado constantemente”, acrescenta Luiz Faro, Director Sales Engineering da Forcepoint.
Mundo híbrido e o papel do CISO
Mesmo antes da pandemia, os negócios já estavam caminhando para um modelo híbrido, tanto em termos tecnológicos com aposta forte na computação em nuvem, quanto nos processos de trabalho remoto. Neste contexto, o Multicloud segue como tendência para 2022 e traz junto conceitos como Zero Trust e SASE.
Na visão de Douglas Rocha, o SASE já é uma realidade e tem ajudado as equipes de Segurança a terem mais visibilidade dos ambientes, além de facilidade de integrar com outros recursos de rastreabilidade e controles, por exemplo. Já o conceito de Zero Trust, deve amadurecer mais no próximo ano, promovendo verificação constante nos acessos. “É importante a gente se lembrar que a nuvem é como um data center, exige as mesmas regras de proteção e responsabilidade de quem está contratando”, reforça André Vidal. “Segurança deve ser feita em camadas, tanto no mundo físico quando no virtual”, acrescenta Fernando Galdino, Head de Cyber Security e Governança de TI na Eurofarma.
De todas as previsões de Cyber Security, a resiliência cibernética é o ponto central para trazer equilíbrio em um mundo híbrido, cercado de desafios e oportunidades. Para Claudio Creo, CISO na TIM Brasil, o ponto central para a área de SI ter sucesso é o apoio da organização e a criação de uma área específica para cuidar dos temas de Segurança dentro na empresa. Isso ajudará a equilibrar o desgaste dos executivos de SI que vivem em alta pressão e cenário de alerta constante com a alta dos ataques cibernéticos. “O maior problema é acumular funções, pois a resposta de incidente, por exemplo, é um ciclo grande e complexo, não cabe apenas a uma pessoa, é multidisciplinar”, pontua André Vidal.
Os CISOs chamam atenção para a escassez de mão de obra, causando estresse nos times. “Mas uma coisa é fato, estamos conquistando uma mudança cultural importante, em que durante o incidente, as equipes de SI não são crucificadas. Vamos seguir mudando e perseguindo a excelência em Cyber”, diz Luiz Faro. “Precisamos cuidar bem dos nossos times, eles estão sempre dispostos a se mobilizar para responder um incidente. 2021 foi um ano difícil, mas de consolidação dos times. Para o próximo ano, ressalto a importância de seguir cuidando dos nossos colaboradores”, conclui Fernando Galdino.
