CISOs precisam assumir novo modo de pensar a segurança, alerta Gartner

Quando se trata de segurança da informação na era digital, a visão de mundo binária de bom ou mau não cabe mais. Os executivos responsáveis pela segurança da informação, os Chief Information Security Officers (CISOs), devem focar em aplicar a nova abordagem denominada Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), enfatiza relatório do Gartner, divulgado nesta terça-feira, 8, na Conferência Gartner Segurança & Gestão de Risco 2017, que acontece em São Paulo.

“A verdade é que não temos certeza em qualquer extremo, seja preto ou branco, seja bom ou mau. Pode ser qualquer um dos dois. Pode ser os dois”, disse Claudio Neiva, vice-presidente de pesquisas do Gartner, durante keynote de abertura da conferência. “Ambiguidade é a nova realidade. Adotem o cinza. A realidade é que os líderes de negócios estão se movendo a toda velocidade para frente, com ou sem você”, afirmou.

A abordagem Carta, segundo o relatório, deve ser aplicada em todo o negócio, do DevOps até os parceiros externos. “Nós precisamos nos concentrar em aplicar a Carta não apenas a produtos já implementados, mas em novos serviços e recursos, conforme eles são construídos”, disse Agusto Barros, diretor de pesquisas do Gartner.

Ainda de acordo com o estudo, as organizações devem aplicar a Carta em todas as três fases da administração de riscos e segurança da informação: executar (proteção contra ameaças e acessos durante a execução); construir (desenvolvimento e parceiros do ecossistema); e planejar (governança de segurança adaptativa e avaliação de novos fornecedores).

O documento enfatiza que quando se aplica a metodologia Carta, data analytics precisa ser uma parte padrão do arsenal. Assim, as companhias podem, apesar das grandes expectativas envolvendo big data, obter real valor com o aprendizado de máquina. “A detecção de anomalias e o aprendizado de máquina estão nos ajudando a achar os vilões que de outra forma passariam por nossos sistemas de prevenção baseado em regras”, comentou Felix Gaehtgens, diretor de pesquisas do Gartner. “É por isso que analytics é tão relevante para operações de segurança hoje. O processo é bom para achar os vilões nos dados que outros sistemas não acham.”

Custo das falhas

O relatório aponta que o tempo médio para detectar uma falha nas Américas é de 99 dias e o custo médio é de US$ 4 milhões. O analytics vai acelerar a detecção e a automação vai agilizar o tempo de resposta, atuando como uma força multiplicadora para a equipe, sem ter que adicionar pessoas. Segundo o estudo, o analytics a e a automação asseguram que as empresas foquem seus limitados recursos em eventos com maiores riscos, de forma confiante.

Para a proteção de acesso no mundo digital, as companhias devem ser monitoradas constantemente. Fazer apenas uma autenticação é fundamentalmente falho quando a ameaça passa do portão. Por exemplo, se um usuário está baixando dados confidenciais para um dispositivo, a informação deve ser encriptada com administração de direitos digitais antes de ser baixada e, então, o usuário deve ser monitorado. Se ele começar a fazer muitos downloads, deve se restringir o acesso ou ativar um alerta para investigação.

“Escrevendo a Carta”

No que se refere ao DevOps, o relatório do Gartner enfatiza que a segurança precisa começar cedo no desenvolvimento e identificar questões que representem um risco à organização, antes de serem enviadas para produção. Aplicações modernas não são desenvolvidas, mas montadas a partir de bibliotecas e componentes. É preciso procurar nas bibliotecas por vulnerabilidades conhecidas e eliminar a maior parte dos riscos. Para códigos proprietários, deve-se balancear a necessidade de velocidade com a necessidade de segurança.

Parceiros do ecossistema, diz o Gartner, adicionam novas capacidades de negócio e novas complexidades de segurança. “A administração de riscos não é mais domínio de uma única empresa e deve ser considerada em nível de ecossistema”, diz Gaehtgens. “O sucesso do meu produto ou serviço agora está diretamente ligado a outros. Meu risco é o risco deles. O risco deles é o meu risco. Estamos todos na mesma.”

Com a metodologia Carta, as organizações devem continuamente avaliar o risco do ecossistema e se adaptar conforme o necessário. Os parceiros também devem analisar a sua companhia, infraestrutura, controle e reputação digital da marca, diz o Gartner. Para ecossistemas com um provedor dominante, a única forma de uma companhia entrar no ecossistema é depois de uma avaliação de riscos e segurança. Se a empresa for muito insegura, pode ser removida do ecossistema. Por isso, o monitoramento contínuo e a avaliação de riscos e reputação de grandes parceiros digitais são essenciais, frisa o relatório.