O orçamento margarina – e porque isso não funciona

Segundo Kevin Magee, diretor Regional de Vendas no Canadá da Gigamon, cibercriminosos têm recursos aparentemente ilimitados e podem investir em novas maneiras de roubar, enquanto os profissionais de cibersegurança precisam “fazer render” os escassos recursos contra todo tipo de ataque

Compartilhar:

O orçamento direcionado para cibersegurança é completamente irregular. Existe uma infinidade de riscos à integridade de rede por aí, e novos aparecem todos os dias. Os recursos dos hackers são aparentemente ilimitados, e os cibercriminosos estão literalmente reinvestindo seus lucrativos ganhos em inovadoras maneiras de abusar, extorquir e roubar sua organização. Porém, para despistar, frustrar e impedir os nefastos esquemas desses bem equipados e financiados adversários, nós, profissionais da cibersegurança, temos um lamentável e escasso orçamento.

 

E ainda nos pedem para esticar esse escasso dinheiro ao máximo possível para nos defender de toda ameaça concebível lá fora, garantindo para todos os envolvidos no negócio (gestão, executivos e o conselho de administração) que, “fazemos tudo o possível”. Se esse cenário te parece familiar – e não apenas por lembrar uma trama de Missão Impossível – você não está sozinho.

 

Um chefe de segurança da informação que eu conheço me explicou o problema dessa maneira: “Me dão um orçamento de cibersegurança que tem o tamanho de um pote de margarina. Então me pedem para espalhá-la igualmente e uniformemente em cima de uma superfície de ataque do tamanho da lua. A pior parte não é nem isso ser impossível, mas de que serei responsabilizado quando falhar”.

 

Infelizmente, nós nunca teremos margarina o suficiente para fazer esse trabalho direito enquanto os empresários pensarem em cibersegurança como um problema do TI – em vez de um obstáculo real, com os riscos administrativos que de fato possui.

 

Mudando as regras

 

Pode parecer uma situação sem possibilidade de vitória, ou não. Como o Capitão Kirk nos ensinou quando se tornou a primeira pessoa a passar no teste Kobayashi Maru (sempre que nós geeks precisamos de conselhos de liderança, nos voltamos para James T. Kirk), “Se você não pode vencer o jogo, então mude as regras”.

 

Quando se trata de orçamentos e prioridades para cibersegurança, essas são as conversas que chefes de segurança da informação precisam ter com os empresários:

 

Chega de notícias “sensacionais”, por favor!

 

Não importa quais riscos à cibersegurança que você viu na CNN que ameacem outras organizações, então por favor pare de me mandar todas essas “histórias interessantes” para ler. O que mais importa são os riscos específicos que ameaçam a nossa organização. São sobre essas que precisamos falar e nos focar. Frequentemente executivos sem conhecimento técnico se deixam levar pelas dramáticas histórias de horror com a “brecha do mês” e perdem a noção de quais são as ameaças específicas e muitas vezes até mundanas da sua própria organização.

 

Priorize as joias da coroa

 

Quais são nossos recursos digitais mais críticos que precisamos proteger e como devemos priorizar nossa estratégia de segurança adequadamente? Essas joias da coroa podem ser óbvias: informações do cartão de crédito de clientes para organizações do varejo, o código-base para uma companhia de software ou as informações pessoais de saúde para um hospital. Mas talvez sejam coisas nem tão óbvias assim, como o compartilhamento de arquivos com um acordo de fusão detalhado e aquisição de documentação que só o departamento de finanças está ciente. Sem contexto, o TI não pode tomar essas decisões; só os responsáveis pelo negócio podem direcionar e priorizar de maneira adequada. Ou, no mínimo, entender que eles precisam estar envolvidos na discussão.

 

Se não podemos ver, não podemos proteger

 

Nós temos total visibilidade e as ferramentas que precisamos através da rede e da corporação para monitorar e proteger tudo que é mais valioso e mais vulnerável? Se não temos, então financiar essas iniciativas precisa ser uma prioridade estratégica e a nível corporativo. Líderes executivos precisam entender que cibersegurança não é mais um custo para se ter um negócio, é um custo para se manter no negócio e, consequentemente, precisa ser financiado de maneira apropriada. A única forma de fazer isso é ter líderes calculando o impacto financeiro dos riscos identificados e trabalhando juntos para priorizar soluções adequadamente.

 

Procure aumentar o pote de Manteiga

 

Líderes de negócio gostam de discutir só o resultado final. Infelizmente, eles veem a cibersegurança como um centro de custo porque não entendem totalmente o impacto que um ataque ou brecha pode ter em termos financeiros reais ou as vantagens competitivas que eles poderiam ganhar conquistando e mantendo “confiança” no mercado. Depende de nós enquanto profissionais de cibersegurança mudar a perspectiva deles e desafiar suas suposições envolvendo-os nessas discussões que podem mudar tudo.

 

No final, nós podemos conseguir apenas um pote de manteiga um pouco maior que o anterior, mas pelo menos saberemos exatamente onde espalhá-la melhor para fazer com que ela fique.

 

* Kevin Magee é diretor Regional de Vendas no Canadá da Gigamon

 

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365