Cybersecurity: Estamos fazendo certo?

Estar no congresso ISACA CSX de abrangência global onde quase todos os palestrantes que abordam diretamente Cybersecurity entendem que poucas empresas estão executando a estrutura completa associada ao assunto pode ser um choque para muitos. Mas se refletirmos bem, vemos que esta é uma verdade que dói e incomoda em diversas empresas.

Durante os 3 dias de congresso e mais um dia de treinamento intensivo no domingo, o consenso foi de que Cybersecurity está sendo efetivamente implementado por uma minoria de empresas.

Ocorreram afirmações de diversas formas, algumas mais agressivas outras mais polidas. Houve aberto questionamento ao modelo NIST referente a avaliação de riscos cibernéticos o qual deveria possuir métricas quantitativas equivalentes a outros modelos publicados pelo NIST e não ser baseado de forma exclusiva ao modelo qualitativo que se resume em dizer que a probabilidade varia de Muito Alta a Muito Baixa. Um pesquisador da Stanford apresentou soluções baseadas em modelos matemáticos que permitiriam a previsão dos ataques, seus impactos e definir ações prioritárias.

Foco em temas de auditoria foi questionado

Empresas tendem a focar no mínimo para atender as demandas de auditoria, as quais são superficiais frente a profundidade e abrangência do contexto de Cybersecurity e Cybernetics.

Auditorias normalmente pedem a análise de risco e foco em SOX, o que limita o escopo de Cybersecurity. Sendo o tema tratado como segurança nacional de infraestrutura crítica, foi questionado algumas vezes conforme citado anteriormente, por que o NIST não utiliza um padrão equivalente ao das usinas nucleares de análise de risco que trabalha com mecanismos estatísticos estruturados e não apenas de forma qualitativa. Talvez a falta de profissionais com visão estatística seja o problema ou o desejo de respostas rápidas que nem sempre são as corretas.

Todos os Key speakers apresentaram observações convergentes a este ponto e um deles entende que os governos e empresas vão cobrar uma abordagem equivalente quando ambientes utilidades sejam diretamente atingidos atingindo todo um país do ocidente.

Compartilhamento de informações

A falta de compartilhamento efetivo de informações, como ocorre na indústria de aviação e de energia, por exemplo, foi um fator apontado para que outras empresas possam efetivamente aprender com os incidentes. Desta forma acreditam ser possível melhorar ainda a precisão das estatísticas. Mas será que as empresas estariam dispostas a compartilhar informações sem que sejam obrigadas por lei?

A velocidade do tratamento e compartilhamento das informações de acidentes aéreos e das usinas de energia foi apontado como um modelo que deve ser seguido. Essa abordagem não é nova. No livro "Man-made Catastrophes and risk Information Concealment" de Chernov & Sornette existem diversos casos onde desastres ocorreram exatamente pela omissão e não compartilhamento de informação.

Ofuscação de outros domínios de Cybersecurity

A falta de conhecimento sobre o que realmente é Cybersecurity está criando um GAP que aumenta a exposição a deficiências de segurança da informação como um todo.

Cybersecurity está sendo tratada como uma questão puramente tecnológica, quando deveria ser bem mais abrangente. Alguns palestrantes entendem que em alguns anos, a infraestrutura tenderá a deixar de ser um problema focal de segurança, porém a forma que as pessoas trabalham e o modo como aplicativos/aplicações são desenhados serão o grande desafio da segurança em conjunto com supply chain.

Um dos embasamentos mais utilizados desta posição foi a cloud que demanda a aplicação rápida de patches pelos SLAs bem definidos e boas práticas na camada de infraestrutura. Porém, a capacitação deficiente de pessoas e processos tenderão a expor cada vez mais as empresas.

Atualmente as pessoas buscam comodidade e facilidade sem muita preocupação com segurança. Este cenário tende a piorar consideravelmente e a supply chain tende a passar a ser um dos principais vetores de ataque, visto que pouquíssimas empresas efetivamente se preocupam em avaliar seus parceiros e não é comum romperem contratos, visto que a avaliação da capacidade de segurança é raramente considerada.

Dois palestrantes em especial citaram a enfase de muitas empresas em lidar com questões avançadas que ainda não estão maduras o suficiente. Muitas vezes são soluções antigas reformatadas e um pouco melhoradas que recebem nomes de AI e Big Data. Neste cenário enfatizaram o esquecimento do básico de Segurança em detrimento da exibição de funcionalidades de aplicações e sistemas.

Cybersecurity: questão social

A preocupação em fazer campanhas e treinamentos focadas para o ambiente corporativo, desconsiderando as questões sociais também foi apontada como um dos maiores GAPs dos atuais modelos.

É necessário que as pessoas estejam engajadas não apenas no trabalho, mas em todos os ambientes, incluindo os familiares. As empresas devem estimular treinamentos e conhecimentos sobre o tema para o dia-a-dia da mesma forma que estimulam a segurança física em ambientes industriais que possuem risco a vida.

As empresas necessitam fortalecer a cultura de segurança para o funcionário perceber que ele só tem a ganhar ao levar esse comportamento para casa e ser um multiplicador em sua comunidade.

A cultura de punição também foi apontada como uma ação que não resolve porque gera medo, o que afasta as pessoas do tema. É necessário estimular que os champions das áreas de negócios sejam identificados e estimulados dentro e fora da organização. Apenas com uma sociedade consciente do problema, de como ela pode ser explorada e manipulada é que o tema Cybersecurity tende a ser tratado no dia-a-dia corporativo.