Colaboração, diversidade e governança: três maneiras de melhorar a segurança cibernética
Marcos Razón, Diretor e Gerente geral da HP
Inc. para a América Latina
O setor de cibersegurança está evoluindo
rapidamente, em grande parte devido ao mercado altamente sofisticado e dinâmico
do crime cibernético. Mas, olhando para o ano de 2022 e até para depois dele,
há muitas razões para otimismo. A defesa está amadurecendo sua abordagem e
ficando melhor em articular as ameaças cibernéticas na linguagem do risco
empresarial. O setor está utilizando com mais efetivamente a automação e a
padronização e aperfeiçoando sua colaboração com outros setores.
Aqui na HP realizamos
recentemente um painel de CISOs, em que
executivos do setor exploraram as melhores formas de lidar com as mudanças no
cenário de ameaças. Como resultado, percebemos que o setor de segurança
cibernética precisa partir dos pontos positivos para entender a estratégia no
contexto da boa governança corporativa e sanar a diversidade e o déficit de
qualificação cada vez maiores em seu banco de talentos.
- Invasores
são encorajados pela crescente complexidade das cadeias de suprimentos
O mundo mudou muito em um curto período,
principalmente se considerarmos os últimos dois anos. Isso significa adaptar-se
rapidamente a uma nova realidade de complexidade empresarial, práticas laborais
fluidas e investimentos no digital. Isso acontece, pois, a superfície de ataque
está se expandindo exponencialmente à medida que a TI se moderniza para apoiar
o trabalho remoto, as experiências de cliente e processos empresariais em
constante evolução. O que isso quer dizer? De um lado, isso contribuiu para um
número recorde de comprometimento de dados em 2021, enquanto as vulnerabilidades divulgadas saltaram para o maior número de todos os tempos.
Ainda assim, há uma história mais
interessante por trás das manchetes. Há anos temos tratado do tema sob o mesmo
velho paradigma agressor-vítima. Nessa relação de “um contra um”, o agressor
mira uma vítima e tem êxito ou não. Mas agora, como explicou
Joanna
Burkey, estamos começando a ver o que
poderíamos chamar de ataques de “um contra muitos”.
Afinal, ataques à cadeia de suprimentos
não são novidade, claro, mas está começando a haver um aumento gradual na
sofisticação e na ambição de nossos adversários. Eles se deram conta de que não
precisam atacar individualmente todas as vezes. Na verdade, podem descobrir um
ponto comum que conecta centenas ou até milhares de potenciais vítimas e,
então, comprometer esse ponto. Com quase o mesmo esforço, eles têm um aumento
significativo nos resultados. Isso é importante porque, mesmo com o papo de “recuo da globalização”,
as cadeias de suprimentos estão ficando cada vez mais complexas.
Com as organizações buscando administrar
o risco dos fornecedores, a espiral dos custos e a tensão geopolítica no mundo
pós-pandemia, a complexa teia de interdependências a que se prendem está
crescendo. Isso nunca foi tão claro quanto no setor aéreo, então foi fascinante
ouvir a explicação de Deneen DeFiore, vice-presidente e CISO da United
Airlines, de como a área cibernética está deixando a lógica da proteção
de dados para adotar a da resiliência.
Entender essas dependências entre fornecedores é essencial para gerir o risco
efetivamente.
- Colaboração
é fundamental para lidar com a complexidade
Essa complexidade crescente também torna
a colaboração setorial ainda mais importante. Como observou Kurt John, diretor
executivo de cibersegurança da Siemens nos Estados Unidos, uma vítima de um
ataque massivo talvez só consiga ver uma pecinha do quebra-cabeça. Somente por
meio da colaboração com outras organizações certas, tanto públicas como do
setor privado, é que podemos entender como os agressores estão trabalhando. Por
isso, é importante que as organizações realmente pensem no que é útil divulgar
a respeito de violações e no que não é interessante. Todos sabemos que os
Indicadores de Comprometimento (IOCs) ficam praticamente desatualizados assim
que são publicados. Então, o que de relevante pode ser compartilhado entre
organizações?
Atualmente, a conversa costuma ser muito
voltada à possibilidade de uma organização ter sido violada ou não. Mas, se as
violações são praticamente inevitáveis, talvez devamos focar mais em
compartilhar descobertas sobre ataques e resultados post-mortem que de fato ajudem os outros. Em, se esse é o intuito, as
organizações deveriam pensar de outra forma sobre quais informações estão sendo
compartilhadas.
Um exemplo útil é como a Agência
de Cibersegurança e Segurança de Infraestrutura (CISA) dos EUA coordenou a
troca de informações nos primeiros dias da
saga da Log4Shell. A agência fez um trabalho incrível ao organizar diferentes e
boas informações vindas de diversas fontes do mercado, sem dúvidas vamos
aprender com essa situação. Porque, como explicou Ian Pratt, chefe global de
Segurança de Sistemas Pessoais da HP Inc., o crime cibernético organizado hoje é
conduzido como empresa, ou seja, essas
organizações se tornaram mestres em compartilhar inteligência, informações e
ferramentas para atingir seus objetivos.
- Segurança
cibernética tem um problema humano – precisamos parar com os jargões
No setor global de cibersegurança, faltam mais de 2 milhões de profissionais. Neste momento de crise,
precisamos cultivar o início de algo muito maior e melhor aumentando nosso
banco de talentos e eliminando as barreiras de entrada no nosso setor. A área é
cheia de jargões, conhecimentos específicos e credenciais. Como muitos de nós
já estamos percebendo, isso não tem nos ajudado a recrutar novos talentos.
Segundo o levantamento “Demanda de Talentos em TIC e Estratégia”, divulgado pela Associação das Empresas de Tecnologia da
Informação e Comunicação (Brasscom), o Brasil conta com apenas 53 mil
profissionais se formando em cursos de perfil tecnológico por ano. Por outro lado,
o estudo mostrou que existe uma demanda média anual de 159 mil profissionais de
Tecnologia da Informação e Comunicação.
Isso significa que o País tem um grande
desafio pela frente. Já que o relatório também estima que as empresas de
tecnologia devem demandar 797 mil novos talentos de 2021 até 2025. No entanto,
com o número de formandos muito distante do necessário, a projeção é de um
déficit anual de 106 mil talentos – 530 mil em cinco anos.
Pensando nisso, temos uma oportunidade
de ampliar o escopo da cibersegurança olhando para fora do setor. Podemos
trazer pessoas com formações não tradicionais, uma vez que não necessariamente
precisamos de diploma universitário para todos os cargos. Podemos mirar
profissionais em meio ou final de carreira que tenham um conjunto rico de
competências – por exemplo, em administração ou comunicação.
A diversidade também é fundamental, e
ainda resta muito a ser feito nesse sentido. De acordo com um novo estudo da
HP, 30% das mulheres nos EUA tentaram uma promoção no ano passado. Porém, das
que tentaram, menos da metade conseguiram, contra 52% dos homens. O setor de
segurança cibernética, assim como o de tecnologia como um todo, é problemático
em termos de diversidade, particularmente em relação a colocar mulheres em cargos
de direção. Devemos dedicar um tempo para entender como apoiar mais as mulheres
e suas carreiras, já que elas são essenciais para fomentar uma força de
trabalho diversa e atrair novos talentos.
De acordo com um levantamento da
HackerSec, empresa que atua com capacitação em cibersegurança, o número de
mulheres que buscam cursos de cibersegurança triplicou nos últimos anos. Por isso, os empregadores devem se empenhar muito mais para
aproveitar esse grande banco de recursos humanos subaproveitado. Como explicou
Kurt John, a diversidade é o melhor
jeito de impulsionar a criatividade nas
respostas às ameaças que todos nós enfrentamos.
A boa notícia é que as diretorias
empresariais estão começando a reconhecer a importância da diversidade e da
cibersegurança – assim como os CISOs estão finalmente começando a falar a
língua do risco empresarial. Isso é razão de sobra para otimismo. Embora os
agentes de ameaças estejam trocando conhecimentos e usando macrotendências,
tais como a automação e a comoditização, para obter agilidade e sucesso, nós
também estamos.
O que tem ficado cada vez mais claro é
que os líderes de cibersegurança têm muito mais chances de tomar as decisões
certas para suas empresas se enxergarem essa questão no contexto da governança
corporativa eficaz e se buscarem se concentrar em como a estratégia cibernética
enfatiza e promove a boa governança.
Para criarmos uma estratégia específica
para cada negócio e que seja adequada a seu propósito, é vital que façamos com
que o “G” da sigla “ESG” – relativa a meio ambiente, sociedade e governança –
realmente signifique algo que ajude as equipes de cibersegurança a assumir a
dianteira novamente.
Sobre HP
HP Inc. cria tecnologia que faz com que
a vida seja melhor para todos, em todas as partes. Por meio do nosso portfólio
de produtos e serviços de sistemas pessoais, impressoras e soluções de
impressão 3D, criamos experiências que surpreendem. Mais informações sobre a HP
Inc. disponível em http://www.hp.com
Nenhum comentário