A proteção das infraestruturas críticas é vital para manter os serviços essenciais funcionando. Mas como superar os desafios da falta de visibilidade para reduzir o tempo de detecção e de resposta aos incidentes? Na visão de Eduardo Cabral, Security Regional Sales Manager na Splunk, a detecção das ameaças é um processo que evoluiu muito nos últimos anos, por outro lado, o tempo na resposta é ainda o ponto mais crítico para resolver essa equação.
A pesquisa global “The State of Security 2022” da Splunk ouviu mais de 1.200 líderes de Segurança e descobriu que existe um GAP no processo. A maioria dos entrevistados respondeu que leva em média 14 horas para responder um incidente após a detecção. Isso amplia o custo de inatividade do sistema, causando impacto de US$ 200 mil dólares a hora do ambiente fora do ar. De acordo com o levantamento, o custo médio anual do tempo de inatividade vinculado aos ataques de segurança cibernética para as organizações está na ordem de US$ 33,6 milhões.
“A escassez de mão de obra qualificada é um dos principais causadores na demora no tempo de resposta ao incidente”, destaca Cabral durante evento da TVD, que reuniu na última quinta-feira (21) líderes de Segurança para debater o tema e como superar os desafios desse processo. “A resposta é eficaz quando ela é acompanhada com o fator humano e conhecimento do negócio”, acrescenta Robson Santos, CISO da Comgás.
Para Longinus Timochenco, CISO na KaBuM!, é fundamental que os times de SI identifiquem o que realmente deve ser detectado, monitorado e controlado para então priorizar a resposta e não cair na cilada de gastar energia com falsos positivos. “Essa priorização deve contemplar também nosso público interno, assim facilita esse processo de monitoramento”, diz.
Na visão do executivo, os três pilares básicos da Segurança como Processos, Pessoas e Tecnologia seguem em alta quando o assunto é inteligência na detecção e na resposta dos incidentes cibernéticos. “Nós atuamos nessa ordem, envolvendo estratégias dentro do SOC e integrando uma proteção lógica e física, incluindo os Data Centers”, explica Timochenco.
Robson Santos, concorda e acrescenta que hoje o CISO tem muitos recursos para a detecção, tanto que alguns alertas geram até mesmo algum falso positivo, causando impactos na resposta. Mas, de fato, o que faz a diferença é conhecer o processo das empresas em que o gestor está inserido, pois o conhecimento do negócio somado à visibilidade, principalmente em infraestruturas críticas, é crucial para sucesso e agilidade na resposta.
“Pra mim, Segurança virou um ativo de negócio. É preciso que nós gestores estejamos próximos das áreas mais críticas para ter melhor discernimento sobre os alertas da detecção e entender o que, de fato, exige uma resposta rápida. Se tudo o que foi detectado é crítico ou um falso positivo”, completa.
Paulo Condutta, CISO no Banco Ourinvest, ressalta também que o bom plano de resposta deve ser muito bem desenhado, inclusive contando com a colaboração das áreas de risco e de negócio. “A utilidade tem que estar muito bem mapeada dentro do BIA (Business Impact Analysis) para assim criar mecanismos para a área de Cyber apoiar e dar todo o suporte na resposta. Principalmente no acionamento de uma possível indisponibilidade do ambiente”, acrescenta Condutta.
A discussão completa já está disponível no canal da TVD no YouTube. Veja outros compartilhamentos de líderes de empresas como Acelen, Raízen, Assurant, SPC Brasil, Eurofarma e Banco Digio.