*Por Rangel Rodrigues
Não basta ter as melhores soluções implantadas se o mindset dos colaboradores e gestores continuam com uma visão turva, permitindo que pequenos pecados capitais de segurança ocorram em virtude da falta de tempo ou devido ao excesso de atividades que precisam ser feitas. Ignorar um relatório de vulnerabilidades com 600 issues ou não saber como agir diante de um incidente de ransomware não pode ser mais uma desculpa.
O fato é que em muitas empresas, homens de negócios e profissionais de TI ainda tentam buscar o caminho mais fácil por natureza para driblar o dilema da segurança. Com isso, aceitam riscos iminentes mediante uma pressão e, às vezes, a falta de incisão e resiliência dos profissionais de infosec nestas situações podem tornar o projeto de segurança um desastre.
O tempo talvez seja o maior vilão dos profissionais de cibersegurança. O deadline curto para cumprir o go live de uma aplicação que precisa subir para produção sem estar aderente aos requisitos de segurança, logo, aparecem os entraves como problemas de infraestrutura e incidentes de segurança que acabam colocando todos em fúria e frustrados com os resultados desastrosos.
Há muitos anos tenho ajudado empresas a manter um nível de segurança da informação adequado em seus ambientes e o que mais escuto de alguns profissionais é a “falta de tempo para revisar o relatório de vulnerabilidades”. “podemos ir para produção com issues high” ou “precisamos de um risk exception” sem realmente aplicar esforços necessários para substituir um componente de uma API vulnerável para uma versão mais segura.
Às vezes, as organizações investem tanto em soluções de segurança – on- primises ou cloud, mas efetivamente a falta de clareza entre os processos de segurança sobre o que pode e o que não pode fazer e a ausência de conscientização com as áreas de TI e negócios acabam implicando em futuros problemas de comunicação ao longo de um projeto.
A ausência de suporte dos executivos, clareza e entendimento com a importância da proteção da informação está relacionado à pressão que estas áreas sofrem dos executivos, a fim de terem que apresentar resultados financeiros rápido como o aumento de market share ou qualquer outra coisa semelhante. O fato é que o CEO e o conselho executivo precisam compreender que eles são os principais patrocinadores para a proteção da informação e consequentemente os gestores e colaboradores.
Logo, todos devem andar no mesmo compasso, pois há alguns anos tenho vivenciado experiências com projetos de segurança onde tive que mudar de estratégias e a forma de abordagem com os gestores, justificando os benefícios da segurança com investimento de melhorias no ambiente. Mas percebi que, às vezes, não havia interesse da parte em dar andamento ao processo de gestão de segurança da informação.
A omissão por alguns líderes é um desastre para o sucesso do programa de segurança. Opa! não me diga que estou sendo duro neste artigo, mas pelo contrário, é despertar entre nós profissionais de segurança o que deve ser feito e como devemos agir efetivamente.
A maturidade de segurança é um processo e devemos imputar uma ótica diferente do que o mundo acha que devemos fazer. Precisamos ter em nós profissionais um caráter íntegro e devemos agir com proatividade em busca conhecimento, pois os resultados vêm na dedicação e assim nos tornamos mais experientes e resilientes.
O obstáculo é que muitos executivos na organização não entendem o processo de segurança e quer tudo na mesma hora! A vida é composta por eventos e processos, como uma mulher que fica grávida (evento), mas o tempo que a criança leva para se formar e nascer, é feito de meses (processo). Pronto, se entendermos exatamente este paradigma, venceremos tudo de maneira mais fácil!
Há muitos anos ouvimos e compreendemos que segurança nunca será 100%, mas devemos buscar um ponto de equilíbrio, um risk apetite aceitável para a organização e nós profissionais de segurança carecemos também em ter discernimento para entender a necessidade do negócio e desenhar os processos de acordo com a velocidade que o negócio espera receber. Mas isso também significa ter um SLA definido documentado em uma matriz de responsabilidades sendo essencial para o bom entendimento.
Evidente que chegamos à conclusão que a pressão do business para entrega de resultados não pode ser um fator que venha impedir que os objetivos de segurança sejam devidamente alcançados. Por hora, a verdade é que muitos não querem ter responsabilidade para resolver o problema, mas procuram buscar um culpado para o fato de algo ter dado errado.
Por outro lado, também, o negócio precisa de mais iniciativa de buscar todas as respostas necessárias para viabilizar o time de segurança a fazer o seu trabalho com precisão e rapidez. Sabe aquele ditado; “Deixa Deus fazer o trabalho dele, Ele é o piloto da aeronave e pare de colocar a mão”. A área de segurança deve ter claro o que precisa ser feito. Claro que surgirão situações distintas que irão requerer uma análise mais minuciosa antes de dar um veredito e, para fechar, a área de segurança da informação que nunca aceita um risco é o owner, e vamos deixar isso registrado.
Temos que ser otimistas com o novo, independente das notícias de invasão como o ransomware DarkSide aqui nos EUA com o recente ataque à Colonial Pipeline, uma das maiores operadoras de dutos de combustível. Creio que mesmo diante da proporção deste ataque, ainda surgirão outros no futuro, além dos contínuos problemas internos de comunicação e compreensão com a importância da ciberseguranca. O papel dos profissionais de segurança é manter-se motivados e otimistas com os desafios que terão pela frente.
Entretanto, meu mindset continua sendo o mesmo que o anterior: trabalhar sempre olhando para frente atuando no preventivo e com uma visão generalista em cibersegurança, entendendo aspectos de Privacy, MITRE ATT&ACK, NIST CSF, cloud, SASE, Zero Trust, etc. Ou seja, estar em constante atualização com as novas tendências da transformação digital.
Mesmo assim, será ainda que em virtude de tudo que abordamos até aqui e já vimos nestes últimos 20 anos, a melhor alternativa ainda continua sendo a “educação”? Obviamente que a melhoria contínua no ponto de vista de cibersegurança sobrevém e tornará umas das mais eficazes ferramentas para sobrevivência no futuro para a interrupção de ataques…
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.