Em um clima econômico desafiador, não há garantias quando se trata de orçamentos de segurança cibernética, e os CISOs devem se preparar para ajustar os investimentos de acordo
*Por Mandy Andress
Em sua recente reunião anual em Davos, executivos do Fórum Econômico Mundial (WEF) revelaram uma conclusão alarmante do Relatório Global de Perspectivas de Segurança para 2023: 91% dos líderes organizacionais globais questionados acreditam que, devido à situação a geopolítica atual, existe uma probabilidade moderada ou alta de que um “evento cibernético catastrófico de longo alcance” aconteça nos próximos dois anos.
A recente guerra Rússia-Ucrânia concentrou as mentes corporativas no ambiente de ameaças que suas organizações enfrentam, disse um entrevistado. “Precisamos gastar tempo e recursos para entender como o cenário de riscos mudou, se a diferença na motivação do invasor nos torna mais propensos a sermos alvos, o que será atacado e como será atacado”, disseram os autores do relatório.
Em outras palavras, espera-se que os profissionais de segurança cibernética de hoje protejam uma superfície de ataque em expansão de uma gama crescente de ameaças e agentes mal-intencionados.
Durante a pandemia, o rápido crescimento do trabalho remoto e o lançamento de novas soluções em nuvem permitiram que as empresas continuassem operando, mas também criaram ambientes de TI mais distribuídos, de natureza diferente daqueles anteriormente gerenciados pelos CISOs e suas equipes. Depois, há o surgimento das tecnologias da Internet das Coisas (IoT), que interconectam ativos físicos e introduzem novas oportunidades de ataque. E, finalmente, há que ter em conta o aumento considerável do cibercrime. Como aponta o relatório do WEF, isso inclui ataques patrocinados por estados-nação, exacerbados pela guerra na Ucrânia e forçando organizações públicas e privadas a repensar sua postura de segurança.
Em suma, subam, estagnem ou caiam em 2023, os orçamentos de segurança cibernética precisam acompanhar o nível de risco que as organizações enfrentam.
Em uma pesquisa de maio de 2022 com 1.200 executivos C-level em 16 países, conduzida pela ThoughtLab e apoiada pela Elastic, três em cada dez entrevistados (30%) reclamaram que os orçamentos de segurança cibernética de suas organizações já eram inadequados. Ainda mais, 38% previram que esse seria o caso em dois anos. Essa descoberta ocorre porque mais de um quarto dos entrevistados (27%) concordaram que suas organizações não estão bem-preparadas para um cenário de ameaças em constante mudança, uma proporção que subiu para 29% apenas entre os CISOs.
Com tudo isso em mente, estas são minhas quatro recomendações sobre a melhor maneira de gerenciar os gastos com segurança cibernética em 2023:
1) Calcule uma divisão de 80/20 para investimentos em segurança cibernética
A regra 80/20, ou Princípio de Pareto, afirma que 80% de todos os resultados são derivados de 20% das causas. É uma boa regra também para investimentos em segurança cibernética em empresas de médio e grande porte. Aqui, 80% dos gastos com segurança cibernética devem ser direcionados aos fundamentos e ao que pode ser alcançado usando as ferramentas existentes e os recursos disponíveis. Como treinamento de equipe, atualização regular do sistema, autenticação de dois fatores (2FA) e alocação de credenciais. Enquanto isso, os 20% restantes do orçamento devem ser direcionados a nichos de alto risco, como investir em novas tecnologias para combater ameaças, realizar auditorias externas de sistemas e garantir que os recursos estejam disponíveis para responder rapidamente a violações de alto nível.
2) Deixe de lado os produtos e sistemas legados
Muitas empresas se apegam a produtos e sistemas legados, geralmente com o desejo de obter o máximo retorno de investimentos anteriores – criando uma falsa economia. Na melhor das hipóteses, força a equipe de segurança cibernética a gastar esforços e recursos para fortalecer ativos de tecnologia que raramente ou nunca são usados. Na pior das hipóteses, pode enfraquecer significativamente as barreiras organizacionais contra possíveis ataques. Em vez disso, as equipes devem avaliar regularmente a utilidade dos produtos e serviços e remover aqueles que não agregam mais valor significativo à organização para reduzir possíveis pontos de entrada de criminosos e proteger os ambientes de nuvem
3) Invista em plataformas que suportam múltiplas funções
Ao optar por investir em novas plataformas – ou avaliar aquelas já em uso pela organização – as equipes devem buscar economias de escala e implantar apenas plataformas capazes de suportar múltiplas funções para conter a proliferação de produtos e promover a consolidação de ferramentas. A combinação certa de plataformas cuidadosamente selecionadas pode limitar as vulnerabilidades criadas por uma extensa rede de ferramentas isoladas, reduzir os custos gerais de gerenciamento e simplificar a experiência do usuário.
4) Certifique-se de aproveitar ao máximo as ferramentas existentes
Pode parecer mais simples (e muitas vezes mais empolgante!) investir em novas tecnologias ao lidar com problemas de TI. Mas ‘novo’ nem sempre significa ‘melhor’. Um influxo constante de novas tecnologias pode resultar em um ambiente altamente complexo, onde o tempo e os recursos de uma equipe são mais focados na manutenção das próprias ferramentas do que em atingir os principais objetivos de negócio em relação à segurança cibernética. Portanto, antes de investir em novas tecnologias, verifique se a organização está maximizando o uso das soluções existentes. Isso inclui garantir que os sistemas operacionais sejam mantidos adequadamente, que os usuários atualizem regularmente seus sistemas e que toda a funcionalidade dos serviços já existentes esteja sendo usada.
Não há espaço para complacência, gaste com sabedoria
O cenário de segurança cibernética é mais arriscado, mais complexo e mais caro de gerenciar do que nunca. E mais do que isso, os riscos, a complexidade e os custos só aumentam. As empresas que não prestam atenção imediata à situação atual correm o risco de ficar ainda mais para trás.
Como resultado, não há espaço para complacência em 2023. E não há garantias de que os orçamentos de segurança cibernética sejam protegidos por equipes executivas forçadas pelo clima econômico a difíceis decisões comerciais e financeiras. Meu conselho para colegas CISOs? Gaste com sabedoria e esteja preparado para ajustar o curso, se necessário.
*Mandy Andress, CISO da Elastic
