*Por Marco Túlio Moraes
É impressionante como muitas vezes criamos narrativas para justificar vieses por vezes prejudiciais. Em Cybersecurity temos uma metáfora que fala de um urso que corre atrás de pessoas na floresta, o que representaria uma ameaça cibernética atacando organizações.
Nessa analogia, para fugir do urso, você não precisaria correr mais rápido do que ele, bastaria apenas ser mais rápido do que as demais pessoas que também estão na floresta. Assim outros serão vítimas e não você. Trazendo à realidade de cybersecurity, a empresa não precisaria necessariamente ter uma segurança muito boa, bastando fazer um pouco mais do que o seu concorrente faz. Em muitos casos, pouco.
A metáfora pode trazer nas entrelinhas a ideia de que devemos correr o risco de fazer negócios digitais com prejuízo de uma boa segurança cibernética. O reflexo disso é sabido. Empresas sofrendo e “ursos” em todos os lugares, não ligando muito para quem está fugindo mais rápido ou mais devagar, pois todos têm sido alvos fáceis.
A verdade é que a tão básica e sonhada higiene básica de segurança não tem sido assim tão básica, e nem tão praticada. O nível de exposição é tanto que embora os ataques sofisticados existam, eles tem optado por serem bem básicos. Além disso, a metáfora do urso é boba e mais atrapalha do que ajuda na conscientização sobre os riscos cibernéticos.
Ainda no discurso da narrativa enviesada, tenho visto um dizer ancestral em cyber segurança que fala que ser atacado é questão de “quando” e não de “se” ter sua ideia principal distorcida de forma magistral. É verdade. Pode ocorrer com qualquer um, mas isso não pode ser justificativa para não se fazer nada, ou se fazer pouco. Do contrário, os incidentes poderão ocorrer com maior frequência e os seus impactos podem se tornar cada vez piores.
A solução que vejo é entender se nossas empresas estão seguras e com isso elevar o tema para uma pauta estratégica de fato. Um primeiro passo para traduzir a definição de “estar seguro” é avaliar (i) o que nos ameaça, (ii) o que está sob ameaça, (iii) a probabilidade de a ameaça ocorrer e (iv) os impactos caso ela ocorra. Isso é o que definimos como risco.
“A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.” (Definição de risco pelo NIST) (1)
Hoje, está todo mundo preocupado com o tal do Ransomware, o que é importante e válido. E faço coro: PREOCUPE-SE. Contudo, o tema vai além e é primordial que cada organização olhe para dentro de casa e entenda quais são os seus principais riscos e defina uma estratégia para lidar com eles.
Sem prejuízo de fazer o básico e sim, brigue pelo básico, entenda que a estratégia de gestão de riscos é o coração de um programa estruturado de Segurança. É fundamental tanto para dar visibilidade quanto para apoiar o negócio na tomada de decisão de como gerenciar esses riscos, e entender quais oportunidades de negócio podem ser potencializadas.
O urso não distingue quem está na floresta
Caso ainda não tenha mapeado seus principais riscos. Pare e faça. Envolva todos aqueles que podem ajudar no seu entendimento e na construção de um plano que faça sentido para sustentar, proteger e viabilizar os negócios, clientes e stakeholders. Apresente. Discuta. Negocie. Implemente. Reavalie.
E, por favor, vamos mudar essa metáfora e sair já dessa floresta. O único de barriga cheia aqui é o urso.
*Marco Túlio Moraes é Chief Information Security Officer da Oiti. Executivo com mais de 20 anos de experiência em tecnologia, riscos e segurança da informação. Reconhecido em 2020 como um dos top 50 global CSOs. Palestrante, mentor de carreira e colunista da Conteúdo Editorial
Referências:
1 https://csrc.nist.gov/glossary/term/risk
