Executivos responsáveis pela segurança da informação devem adaptar técnicas de segurança, já que ela se tornou parte integral da equação de negócios digitais quando se trata de tecnologias como cloud, big data e DevOps, entre outras
Quando se trata de segurança da informação na era digital, a visão de mundo binária de bom ou mau não cabe mais. Os executivos responsáveis pela segurança da informação, os Chief Information Security Officers (CISOs), devem focar em aplicar a nova abordagem denominada Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), enfatiza relatório do Gartner, divulgado nesta terça-feira, 8, na Conferência Gartner Segurança & Gestão de Risco 2017, que acontece em São Paulo.
“A verdade é que não temos certeza em qualquer extremo, seja preto ou branco, seja bom ou mau. Pode ser qualquer um dos dois. Pode ser os dois”, disse Claudio Neiva, vice-presidente de pesquisas do Gartner, durante keynote de abertura da conferência. “Ambiguidade é a nova realidade. Adotem o cinza. A realidade é que os líderes de negócios estão se movendo a toda velocidade para frente, com ou sem você”, afirmou.
A abordagem Carta, segundo o relatório, deve ser aplicada em todo o negócio, do DevOps até os parceiros externos. “Nós precisamos nos concentrar em aplicar a Carta não apenas a produtos já implementados, mas em novos serviços e recursos, conforme eles são construídos”, disse Agusto Barros, diretor de pesquisas do Gartner.
Ainda de acordo com o estudo, as organizações devem aplicar a Carta em todas as três fases da administração de riscos e segurança da informação: executar (proteção contra ameaças e acessos durante a execução); construir (desenvolvimento e parceiros do ecossistema); e planejar (governança de segurança adaptativa e avaliação de novos fornecedores).
O documento enfatiza que quando se aplica a metodologia Carta, data analytics precisa ser uma parte padrão do arsenal. Assim, as companhias podem, apesar das grandes expectativas envolvendo big data, obter real valor com o aprendizado de máquina. “A detecção de anomalias e o aprendizado de máquina estão nos ajudando a achar os vilões que de outra forma passariam por nossos sistemas de prevenção baseado em regras”, comentou Felix Gaehtgens, diretor de pesquisas do Gartner. “É por isso que analytics é tão relevante para operações de segurança hoje. O processo é bom para achar os vilões nos dados que outros sistemas não acham.”
Custo das falhas
O relatório aponta que o tempo médio para detectar uma falha nas Américas é de 99 dias e o custo médio é de US$ 4 milhões. O analytics vai acelerar a detecção e a automação vai agilizar o tempo de resposta, atuando como uma força multiplicadora para a equipe, sem ter que adicionar pessoas. Segundo o estudo, o analytics a e a automação asseguram que as empresas foquem seus limitados recursos em eventos com maiores riscos, de forma confiante.
Para a proteção de acesso no mundo digital, as companhias devem ser monitoradas constantemente. Fazer apenas uma autenticação é fundamentalmente falho quando a ameaça passa do portão. Por exemplo, se um usuário está baixando dados confidenciais para um dispositivo, a informação deve ser encriptada com administração de direitos digitais antes de ser baixada e, então, o usuário deve ser monitorado. Se ele começar a fazer muitos downloads, deve se restringir o acesso ou ativar um alerta para investigação.
“Escrevendo a Carta”
No que se refere ao DevOps, o relatório do Gartner enfatiza que a segurança precisa começar cedo no desenvolvimento e identificar questões que representem um risco à organização, antes de serem enviadas para produção. Aplicações modernas não são desenvolvidas, mas montadas a partir de bibliotecas e componentes. É preciso procurar nas bibliotecas por vulnerabilidades conhecidas e eliminar a maior parte dos riscos. Para códigos proprietários, deve-se balancear a necessidade de velocidade com a necessidade de segurança.
Parceiros do ecossistema, diz o Gartner, adicionam novas capacidades de negócio e novas complexidades de segurança. “A administração de riscos não é mais domínio de uma única empresa e deve ser considerada em nível de ecossistema”, diz Gaehtgens. “O sucesso do meu produto ou serviço agora está diretamente ligado a outros. Meu risco é o risco deles. O risco deles é o meu risco. Estamos todos na mesma.”
Com a metodologia Carta, as organizações devem continuamente avaliar o risco do ecossistema e se adaptar conforme o necessário. Os parceiros também devem analisar a sua companhia, infraestrutura, controle e reputação digital da marca, diz o Gartner. Para ecossistemas com um provedor dominante, a única forma de uma companhia entrar no ecossistema é depois de uma avaliação de riscos e segurança. Se a empresa for muito insegura, pode ser removida do ecossistema. Por isso, o monitoramento contínuo e a avaliação de riscos e reputação de grandes parceiros digitais são essenciais, frisa o relatório.
