O orçamento direcionado para cibersegurança é completamente irregular. Existe uma infinidade de riscos à integridade de rede por aí, e novos aparecem todos os dias. Os recursos dos hackers são aparentemente ilimitados, e os cibercriminosos estão literalmente reinvestindo seus lucrativos ganhos em inovadoras maneiras de abusar, extorquir e roubar sua organização. Porém, para despistar, frustrar e impedir os nefastos esquemas desses bem equipados e financiados adversários, nós, profissionais da cibersegurança, temos um lamentável e escasso orçamento.
E ainda nos pedem para esticar esse escasso dinheiro ao máximo possível para nos defender de toda ameaça concebível lá fora, garantindo para todos os envolvidos no negócio (gestão, executivos e o conselho de administração) que, “fazemos tudo o possível”. Se esse cenário te parece familiar – e não apenas por lembrar uma trama de Missão Impossível – você não está sozinho.
Um chefe de segurança da informação que eu conheço me explicou o problema dessa maneira: “Me dão um orçamento de cibersegurança que tem o tamanho de um pote de margarina. Então me pedem para espalhá-la igualmente e uniformemente em cima de uma superfície de ataque do tamanho da lua. A pior parte não é nem isso ser impossível, mas de que serei responsabilizado quando falhar”.
Infelizmente, nós nunca teremos margarina o suficiente para fazer esse trabalho direito enquanto os empresários pensarem em cibersegurança como um problema do TI – em vez de um obstáculo real, com os riscos administrativos que de fato possui.
Mudando as regras
Pode parecer uma situação sem possibilidade de vitória, ou não. Como o Capitão Kirk nos ensinou quando se tornou a primeira pessoa a passar no teste Kobayashi Maru (sempre que nós geeks precisamos de conselhos de liderança, nos voltamos para James T. Kirk), “Se você não pode vencer o jogo, então mude as regras”.
Quando se trata de orçamentos e prioridades para cibersegurança, essas são as conversas que chefes de segurança da informação precisam ter com os empresários:
Chega de notícias “sensacionais”, por favor!
Não importa quais riscos à cibersegurança que você viu na CNN que ameacem outras organizações, então por favor pare de me mandar todas essas “histórias interessantes” para ler. O que mais importa são os riscos específicos que ameaçam a nossa organização. São sobre essas que precisamos falar e nos focar. Frequentemente executivos sem conhecimento técnico se deixam levar pelas dramáticas histórias de horror com a “brecha do mês” e perdem a noção de quais são as ameaças específicas e muitas vezes até mundanas da sua própria organização.
Priorize as joias da coroa
Quais são nossos recursos digitais mais críticos que precisamos proteger e como devemos priorizar nossa estratégia de segurança adequadamente? Essas joias da coroa podem ser óbvias: informações do cartão de crédito de clientes para organizações do varejo, o código-base para uma companhia de software ou as informações pessoais de saúde para um hospital. Mas talvez sejam coisas nem tão óbvias assim, como o compartilhamento de arquivos com um acordo de fusão detalhado e aquisição de documentação que só o departamento de finanças está ciente. Sem contexto, o TI não pode tomar essas decisões; só os responsáveis pelo negócio podem direcionar e priorizar de maneira adequada. Ou, no mínimo, entender que eles precisam estar envolvidos na discussão.
Se não podemos ver, não podemos proteger
Nós temos total visibilidade e as ferramentas que precisamos através da rede e da corporação para monitorar e proteger tudo que é mais valioso e mais vulnerável? Se não temos, então financiar essas iniciativas precisa ser uma prioridade estratégica e a nível corporativo. Líderes executivos precisam entender que cibersegurança não é mais um custo para se ter um negócio, é um custo para se manter no negócio e, consequentemente, precisa ser financiado de maneira apropriada. A única forma de fazer isso é ter líderes calculando o impacto financeiro dos riscos identificados e trabalhando juntos para priorizar soluções adequadamente.
Procure aumentar o pote de Manteiga
Líderes de negócio gostam de discutir só o resultado final. Infelizmente, eles veem a cibersegurança como um centro de custo porque não entendem totalmente o impacto que um ataque ou brecha pode ter em termos financeiros reais ou as vantagens competitivas que eles poderiam ganhar conquistando e mantendo “confiança” no mercado. Depende de nós enquanto profissionais de cibersegurança mudar a perspectiva deles e desafiar suas suposições envolvendo-os nessas discussões que podem mudar tudo.
No final, nós podemos conseguir apenas um pote de manteiga um pouco maior que o anterior, mas pelo menos saberemos exatamente onde espalhá-la melhor para fazer com que ela fique.
* Kevin Magee é diretor Regional de Vendas no Canadá da Gigamon
