Por Luiz Firmino*
De acordo com a teoria do caos, o efeito borboleta simplesmente afirma que uma pequena mudança em um estado de um sistema pode resultar em grandes diferenças em um estado posterior. As asas de uma borboleta podem criar pequenas mudanças na atmosfera que podem atrasar, acelerar ou até mesmo impedir a ocorrência de um tornado em outro local.
Quando há um incidente cibernético em qualquer parte do mundo, ele impacta o resto do mundo. Diante de uma ameaça imediata, a reação natural é fortalecer as defesas com toda pressa. Essa é exatamente a abordagem que as empresas estão adotando, e compreensivelmente, pois estão mais preocupadas em evitar perdas.
Grande parte dos gastos com segurança cibernética é enquadrada no escopo de quanto dinheiro a empresa perderia no caso de um potencial ataque cibercriminoso. Uma das práticas mais usadas para vender soluções de cibersegurança é tornar o medo real para o tomador de decisão.
Essa abordagem baseada no medo ajuda a vender soluções, mas leva a más práticas de gastos, como complementar os sistemas de negócios existentes com requisitos de segurança cibernética, investir em soluções focadas e especializadas e orçamentos de gastos de maneira reativa e míope.
Essa abordagem é o equivalente a tratar cada requisito de segurança cibernética que surge como uma árvore em uma vasta floresta de requisitos semelhantes. As empresas estão lidando com cada árvore por conta própria, quando deveriam considerar toda a floresta para navegar nela corretamente.
Muitas das empresas atuais funcionam em sistemas e processos que foram criados antes da rápida digitalização e foram projetados sem levar em conta essas implicações. A abordagem mais comum para atender às necessidades de segurança cibernética de uma empresa é complementar seus sistemas e processos existentes com soluções de segurança cibernética. Como o transplante de funções e requisitos de segurança adicionais supera o projeto original de muitos desses processos estabelecidos, as empresas acabam tendo resultados não intencionais e menos eficientes.
As empresas tendem a rever suas necessidades de segurança cibernética em uma base ad hoc. Esse tipo de implementação não é incomum. Faz sentido, é simples e há resultados claros. Não há necessidade de consertar algo que não está quebrado, certo? Embora seja fácil cair na prática de abordar os requisitos à medida que eles surgem, há desvantagens. É difícil avaliar a eficácia dessas soluções com base no dinheiro gasto.
Sem uma estratégia abrangente, os gastos ocorrem conforme a necessidade e não levam em conta as prioridades. Além disso, há o risco de implantar sistemas excessivamente complexos. Uma empresa que constrói um programa de segurança cibernética dessa maneira acabará tendo soluções díspares. Quaisquer deficiências no sistema tornam-se difíceis de diagnosticar também.
As empresas precisam lidar com a segurança cibernética de forma holística, e não em uma base ad hoc. Ter uma estratégia adequada significa ter a capacidade de lidar com os desafios à medida que eles surgem. O desafio na construção de um programa de cibersegurança eficaz é relativamente novo. As empresas reconhecem a necessidade disso, mas abordam a segurança cibernética como um novo componente de negócios a ser adicionado aos processos de negócios existentes. Não deveria ser assim. A segurança cibernética muda como os negócios são feitos e afeta todos os processos de negócios. Cibersegurança é tudo.
As empresas que esperam implementar estratégias de segurança cibernética altamente eficazes precisam dar um passo atrás e considerar sua organização toda e como a segurança cibernética afeta cada parte dela. A base de uma estratégia de segurança cibernética é construída a partir de uma avaliação completa para identificar os ativos de uma empresa, os processos de negócios críticos e as ameaças a esses ativos e processos. Uma contabilidade exaustiva destes elementos permitirá uma avaliação rigorosa dos riscos para determinar a prioridade em que esses riscos têm de ser abordados.
Munidos do conhecimento adquirido a partir de uma avaliação abrangente, as empresas podem começar a elaborar uma estratégia para sua organização que leve em conta o todo e não apenas suas partes díspares. Uma abordagem holística fornece a capacidade de visualizar como a empresa está implementando a segurança de ponta a ponta.
Uma estratégia formulada dessa forma capturará os riscos potenciais e os priorizará por gravidade, impacto para a organização, custo, oportunidades de integração de soluções e nível de dificuldade de implementação. Essas decisões são complicadas e envolvem sérias considerações, mas não poderiam sequer ser consideradas sem um quadro completo do perfil de risco de uma organização.
Uma estratégia holística de segurança cibernética afirma que a segurança cibernética toca todas as facetas de um negócio. Sob essa abordagem, os processos de negócios geralmente precisariam ser redesenhados com considerações de segurança cibernética integradas no nível fundamental. Isso significa projetar uma estratégia de segurança cibernética desde o início, com a capacidade de integração em novos processos de negócios e escalabilidade, em vez de implantar soluções que devem ser enxertadas em processos de negócios existentes.
Uma estratégia abrangente e abrangente de segurança cibernética também permite o design de plataformas que consistem em soluções integradas, em vez de soluções pontuais. Isso fornecerá uma visão geral dos requisitos de segurança cibernética que permitirão estratégias de gastos avançadas e com visão de futuro.
Com a adoção de um método holístico, as empresas tornam-se seguras por design e não por necessidade. As empresas passam de uma abordagem baseada no medo para a segurança cibernética e, em vez disso, começam uma abordagem baseada no risco. As decisões não são mais táticas e míopes. Tornam-se estratégicos e perspicazes. Os gastos não são mais reativos. Torna-se proativo e antecipatório.
Com essa forma de pensar, as empresas podem colocar as borboletas em formação!
*Luiz Firmino é Transversal CISO, Information Security Director da Digital@FEMSA
