Cibersegurança: o que os líderes precisam saber

A necessidade de segurança cibernética explodiu nos últimos anos, pois a adoção repentina e generalizada da cultura de trabalho em casa deixou empresas de todo o mundo revisando seus sistemas, padrões e estratégias de segurança cibernética para o futuro.

É por isso que a BrainStation reuniu quatro especialistas do setor que lideram a estratégia de segurança cibernética da gigante de serviços financeiros Mastercard , da empresa de investimentos Blackstone , do site de rede profissional LinkedIn e da desenvolvedora de software Citrix para uma discussão sobre o que os líderes precisam saber sobre segurança cibernética como parte da Série de Eventos de Liderança Digital da BrainStation.

Você pode assistir a discussão completa do painel aqui:

O que é cibersegurança?

Antes de explorar as maneiras pelas quais o cenário da segurança cibernética está mudando, nossos palestrantes foram convidados a dar suas ideias sobre o que a segurança cibernética implica.

Eugene Dvorochkin, membro sênior da equipe de segurança da informação do LinkedIn, resume a segurança cibernética como “usar tecnologia, processos e controles para proteger sistemas, redes e dados. Em última análise, tudo volta para os dados... Tudo o que estamos tentando fazer é proteger esses dados, proteger sua integridade e garantir que [não haja] uso não autorizado deles.”

Como explica Kurt Roemer, estrategista-chefe de segurança da Citrix, o foco tradicional da segurança cibernética na manutenção da confidencialidade, integridade e disponibilidade dos dados deve se expandir para incluir um quarto fator: segurança. “À medida que adotamos a IoT e outros aplicativos de inteligência artificial e [aplicativos de realidade aumentada], ela está se integrando ao nosso mundo físico de uma maneira em que a segurança se torna criticamente importante.”

Puneet Bhatnagar, vice-presidente sênior / líder de IAM – segurança cibernética na Blackstone, adota uma abordagem mais filosófica: “Eu me pergunto a questão fundamental de 'Como posso ajudar a construir confiança no design de sistemas? Sinto-me à vontade para me inscrever em um aplicativo quando estou oferecendo meus dados pessoais? Eu confio na marca para a qual estou oferecendo essas informações?' É importante que as empresas vejam a segurança cibernética como tudo o que precisam fazer para criar confiança em seus aplicativos e ecossistema.”

Sukhmani Dev, vice-presidente de soluções digitais e de segurança da Mastercard, concorda. “Queremos garantir que a confiança seja refletida em cada transação.”

Alcançar esse objetivo final é um processo tão dinâmico quanto a própria tecnologia. Abaixo estão apenas algumas das tendências mais amplas que nossos painelistas identificaram.

A segurança cibernética é mais importante do que nunca

O COVID-19 e a explosão resultante da cultura de trabalho em casa comprimiram uma evolução que deveria levar uma década em questão de meses. Essa aceleração significa mais atividade online, mais novos usuários e mais complexidade nos sistemas individuais dos quais esses usuários confiam, o que significa oportunidades para maus atores. O resultado é uma necessidade súbita e aguda de mais segurança digital.

Grande parte dessa necessidade se resume ao simples volume; durante o bloqueio, mais pessoas trabalharam e compraram de dispositivos em suas casas. Dvorochkin explica: “Quando você está usando sua rede doméstica, está potencialmente usando dispositivos pessoais como seu computador pessoal ou iPhone para acessar ambientes e dados corporativos, e também depende mais de sistemas de terceiros, como Zoom ou outros métodos de comunicação. Você está entrando em ambientes mais difíceis de proteger.”

Para muitas grandes empresas internacionais, acomodar o trabalho remoto era relativamente simples. Mas para muitas pequenas empresas físicas, isso significou uma primeira incursão no mundo digital – e elas são particularmente vulneráveis ​​a hackers. “[É um equívoco] pensar que apenas empresas grandes e conhecidas são alvos de ataques”, continua Dvorochkin. “Os hackers ficaram mais avançados, mas também as ferramentas e técnicas que eles usam basicamente se tornaram públicas. Qualquer um pode ficar online e começar a hackear qualquer empresa. Não são apenas empresas grandes e conhecidas que estão sendo alvo de hackers sofisticados – pode ser literalmente qualquer loja familiar.”

Dev identifica a crescente complexidade dos sistemas como outro vetor. “Tudo está mais interconectado do que nunca”, diz ela. “Se você pensar em um banco, eles podem ter seus fornecedores, mas seus fornecedores têm fornecedores, e essas são grandes cadeias de suprimentos. Os pontos de conexão cresceram exponencialmente nos últimos anos.”

Isso significa mais links fracos para os hackers explorarem – e os hackers perceberam.

Mudando de sistemas para usuários

O crescimento em escala e complexidade também significa que as equipes de segurança cibernética estão lutando em mais frentes do que nunca. Isso, por sua vez, está levando a uma mudança na maneira como os especialistas em segurança cibernética concebem sua tarefa. Se o objetivo é proteger os dados dentro de uma fortaleza digital, o trabalho da segurança cibernética é proteger o perímetro – mas o perímetro e os modos de ataque estão sempre mudando. Bloquear dados não é a resposta – não faz sentido ter um sistema se ninguém pode acessá-lo. Em vez disso, a prioridade está mudando para, primeiro, confirmar as identidades das pessoas que o acessam e, segundo, conceder acesso apenas aos dados de que precisam, em vez de todo o sistema.

“Antes, você poderia ter certas coisas que só poderiam ser consideradas seguras quando estavam nas quatro paredes”, diz Roemer. “E se você virar isso e disser: 'Como podemos proteger isso quando está fora das quatro paredes, na nuvem?' Quando você olha para o modelo de trabalho híbrido, você tem pessoas trabalhando em diferentes situações potencialmente toda semana – em um escritório, em sua casa, talvez em um café novamente, talvez viajando. Como você garante que tem o ambiente de segurança certo disponível para esses indivíduos?”

Para Bhatnagar, isso significa que “o único perímetro real que você tem que pode realmente proteger é o perímetro de sua identidade”. Isso normalmente exige autenticação multifator, o que ajuda a verificar se as pessoas são quem dizem ser (“Há algumas estatísticas malucas por aí”, diz Bhatnagar, “tipo, mais de 90% das violações originadas de algum tipo de comprometimento de e-mail” ).

Como resultado, “não basta ter um bom perímetro de rede ou um bom conjunto de firewalls. Você tem que mudar seu pensamento de ser centrado em sistemas ou rede para ser centrado em identidade ou usuário. Foi quando começamos a pensar nesses novos paradigmas de confiança zero. Com o tipo de volume de informações que as pessoas acessam constantemente, você sempre estará tentando recuperar o atraso se estiver apenas tentando corrigir o sistema ou proteger a rede.”

Mudar o foco para a identidade do usuário ajuda a eliminar o acesso a hackers externos, mas também ajuda a conter o risco interno, limitando o acesso de usuários legítimos aos dados de que precisam. Isso, é claro, depende da capacidade de analisar os dados à sua disposição. Dvorochkin explica: “No passado, as empresas privilegiavam demais as pessoas e podiam acessar tudo carta branca , o que obviamente leva a muito mais risco. [Você precisa ser] muito específico sobre todos os dados que você tem. Você não sabe o que não sabe, portanto, uma boa marcação de identificação é muito importante – saber exatamente onde seus dados estão localizados, quanto há e as transações que você tem com eles, especialmente com fornecedores terceirizados . Porque, novamente, estamos nos tornando cada vez mais dependentes de aplicativos de terceiros, e eles obviamente não têm o mesmo nível de confiança que nossos funcionários internos. Tudo se resume à identificação, ter um bom inventário de ativos e poder limitá-lo.”

Cultura e educação são fundamentais

Você não pode implementar nenhum tipo de estratégia de segurança cibernética, a menos que seus colegas de equipe estejam a bordo. E os seres humanos são sempre o elo mais fraco na cadeia de segurança cibernética – a maioria dos hackers não é feita escrevendo código, mas se passando por uma autoridade e enganando alguém para que forneça uma senha. A solução aqui é tanto social quanto tecnológica.

“A segurança cibernética não é responsabilidade de uma pessoa ou de uma equipe”, diz Bhatnagar. “Todo mundo precisa arregaçar as mangas e assumir. Damos muita ênfase ao treinamento de conscientização do usuário final, ajudando-os a identificar e-mails de phishing, fazendo simulações de phishing e avançando incrementalmente na complexidade dessas simulações, para que estejamos constantemente educando nosso pessoal.”

Isso pode reduzir diretamente instâncias individuais de violações de dados, mas também ajuda a cultivar uma cultura em toda a empresa que valoriza a segurança cibernética. “Uma vez que você divulga isso, é uma linguagem que todos entendem – que não são apenas seus profissionais de segurança cibernética que precisam ser super técnicos, mas que existe uma estrutura geral que outros líderes de negócios podem entender. Você pode usar isso para aumentar a conscientização e obter o orçamento, o financiamento e os recursos necessários para continuar fazendo melhorias estratégicas.”

Dev destaca a importância da cultura corporativa. “E junto com a cultura”, diz ela, “eu também diria treinamento... É uma maneira muito diferente de pensar e operar, em comparação com sistemas legados. O resto da tecnologia, design e assim por diante se encaixarão se você tiver a atitude correta em relação à cultura.”

Para Roemer, isso começa no topo. “A segurança é uma responsabilidade compartilhada, e todos nós precisamos ser profissionais de segurança. A liderança precisa ir ao RH e informá-los de que os recursos de segurança são necessários em toda a organização e falar sobre como eles podem fornecer oportunidades de requalificação e avanço para aqueles que consideram a segurança uma carreira atraente e podem atrair esses indivíduos - não apenas da organização de TI, mas de toda a organização, pois faz sentido – e, assim, entre em contato com o resto da organização [e comunique que] precisamos desesperadamente de profissionais de segurança adicionais e todos precisamos ser considerados profissionais.”

Mudando de táticas para plataformas

Um tanto paradoxalmente, dada a mudança de foco da segurança total do sistema para o perímetro de identidade do usuário, também estamos vendo uma mudança de táticas para plataformas – ou seja, para organizar os esforços de segurança cibernética em uma estratégia holística, em vez de uma série de ações individuais. manchas.

Roemer explica: “A razão para isso é que se tornou muito difícil gerenciar [uma coleção de] produtos pontuais. Eles não se integram bem e não temos recursos para usá-los para sua eficácia. Portanto, quanto mais podemos construir e consolidar em uma plataforma, mais podemos ampliar os recursos de segurança.”

Dvorochkin acrescenta que isso significa coordenar não apenas as táticas, mas também equipes inteiras. “Muitas vezes, os domínios ou funções da tecnologia são isolados. Obviamente, estamos todos tentando alcançar o mesmo objetivo, que é tornar a empresa bem-sucedida”.

Para Bhatnagar, uma abordagem mais estratégica inclui ter um centro de operações de segurança bem equipado e financiado. Embora seja sempre bom ser proativo, isso não significa que uma violação não acontecerá eventualmente e, quando isso acontecer, é imperativo que uma organização esteja pronta para entrar em ação. “Sempre há coisas que sairão do campo esquerdo, porque os hackers continuam a ficar mais avançados e suas técnicas continuam a ficar mais persistentes.”

A segurança cibernética é sempre dinâmica

Dvorochkin ecoa o sentimento de Bhatnagar – a capacidade de resposta é crucial. A estratégia de segurança cibernética precisa ser dinâmica para combater os ataques de forma proativa e reativa. Do lado reativo, ele diz: “Não é uma questão de se , é uma questão de quando você será violado; é quase impossível estar totalmente protegido continuamente. Alguma coisa eventualmente vai passar. Proteger o perímetro é importante, ter bons controles de detecção é importante – mas você também precisa ter uma boa resposta, uma boa avaliação e ser capaz de testar a si mesmo.”

Do lado proativo, isso significa avaliar constantemente sua estratégia; você não pode simplesmente configurá-lo e esquecê-lo. “[Há] um equívoco de que, 'Ok, bem, investimos em tecnologia, fizemos essa configuração única, temos um programa de segurança cibernética, estamos prontos para começar”, continua Dvorochkin. “Uma configuração única de implementação de algumas ferramentas – não irá protegê-lo. A tecnologia muda quase diariamente por causa da relação sinérgica entre tecnologia e cibernética, e a segurança cibernética está mudando com a mesma rapidez. Então você tem que ser dinâmico, tem que estar sempre atualizado e tem que ter um bom investimento da sua empresa – porque a cibersegurança não é barata.”

“Considere seu portfólio de tecnologia da informação um conjunto de investimentos”, acrescenta Roemer. “Assim como em seus investimentos pessoais, reavalie de tempos em tempos o que está funcionando bem, o que não está, e onde você precisa largar os cachorros e passar para algo que lhe dará um retorno melhor. A segurança é muito assim. Precisamos de agilidade e, se você considerar seu portfólio de tecnologia da informação não como um conjunto de decisões, mas como um conjunto de investimentos que são constantemente avaliados, você pode ajudar a avançar e atender às necessidades de segurança de hoje e de amanhã.”

( Este artigo foi atualizado pela última vez em janeiro de 2022. )