Segurança já não é 'algo que temos', mas 'algo que fazemos'

| Press release
Apenas com o monitoramento cuidadoso das ameaças, minuto a minuto, dia a dia, e o aprimoramento contínuo dos sistemas, aplicações e processos, as empresas serão capazes de proteger seus bens mais valiosos

Por André Aval Scatolini

Apenas com o monitoramento cuidadoso das ameaças, minuto a minuto, dia a dia, e o aprimoramento contínuo dos sistemas, aplicações e processos, as empresas serão capazes de proteger seus bens mais valiosos

No passado, as áreas de Tecnologia da Informação adotavam uma abordagem para lidar com a segurança cibernética, similar à utilizada por um príncipe medieval na construção de seu castelo. Construção de muros bem altos, para se defender das flechas, e bem espessos, para resistir ao ataque de aríetes. Escavar trincheiras profundas para impedir o exército invasor de se aproximar e, depois, construir uma fortaleza – no ponto mais alto, o centro de defesa – para guardar as riquezas.

A analogia das armas físicas – ‘flechas', ‘aríetes’, ‘exércitos’ – com as armas cibernéticas – vírus, fishing, falsificações, invasões – é perfeita para mostrar como os dados costumavam ser protegidos. O problema da abordagem do ‘castelo’ era a incapacidade de proteger as organizações do grande número de crimes cibernéticos complexos, planejados e maliciosos que elas enfrentavam. Era simplesmente impossível construir muros tão altos ou trincheiras tão largas. Além disso, o castelo tinha que ser ligado a muitos campos amigáveis (aplicações móveis e baseadas na internet, parceiros e provedores de sistemas) e, portanto, seus muros apresentavam fragilidades.

Atualmente, é alarmante a quantidade de maneiras utilizadas pelos hackers para acessar os dados de uma empresa – por meio de uma vulnerabilidade em uma única aplicação, entre as centenas mantidas pela equipe de TI, ou em um dos milhares de endpoints dos quais uma organização depende para operar. Ao mesmo tempo, as habilidades, a astúcia, os recursos e a determinação dos criminosos cibernéticos crescem a todo o momento. Enquanto as empresas incluídas na lista Fortune Global 500 e os órgãos governamentais estão lutando para se defender nesse ambiente, o que o resto de nós pode fazer?

A abordagem inteligente criada por CIOs e departamentos de TI está mudando a atitude dessas organizações em relação à segurança cibernética, bem como sua estratégia. Elas pararam de usar verdades absolutas – “minha solução de segurança da TI é impenetrável" - e começaram a aceitar nuances do cinza. Elas pararam de tratar a segurança como uma coisa que elas que ‘têm’ e começaram a pensar nela como algo que ‘fazem’. A segurança não pode ser um estado. Deve ser um processo de teste, monitoramento, evolução e adaptação constantes.

A segurança das aplicações – que inclui tanto as móveis quanto as baseadas na web – é o começo para todas as empresas. 80% dos ataques cibernéticos contra organizações ocorrem devido às vulnerabilidades nas aplicações que a empresa usa diariamente para tudo, da comunicação e colaboração até o CRM e contabilidade. 

Para os criminosos cibernéticos, a lógica é perfeita. Novas formas de ataque surgem a cada semana e, muitas vezes, os desenvolvedores não conseguem incluir funções de segurança na fase de desenvolvimento, o que contribui para a existência de brechas que os criminosos podem explorar. Portanto, essas aplicações precisam ser atualizadas regularmente para corrigir problemas, mas, em um departamento de TI caótico, podemos apostar que existirão algumas versões não atualizadas ou vulnerabilidades não corrigidas, deixando a porta aberta para a violação dos dados.

Os melhores CIOs estão se defendendo, adotando o que chamamos de 'industrialização do controle da segurança da aplicação'. Simplificando, isso significa trabalhar com parceiros para testar e monitorar de forma robusta e contínua a segurança de uma aplicação usada por uma organização, aplicando o mesmo rigor para todas as soluções da empresa. O quanto antes isso ocorrer durante a adoção e desenvolvimento de uma tecnologia, principalmente as críticas, maior a eficácia.

Se você assistiu ao filme “Onze Homens e um Segredo”, você sabe que nem o cofre do famoso cassino Bellagio – com seu sistema de segurança de última geração e mecanismos infalíveis - é 100% seguro. Nenhuma rede de TI corporativa é. Apenas com o monitoramento cuidadoso das ameaças, minuto a minuto, dia a dia, e o aprimoramento contínuo dos sistemas, aplicações e processos, as empresas serão capazes de proteger seus bens mais valiosos.

(*) André Aval Scatolini é vice-presidente da área de Infraestrutura de Serviços e Produtos da Capgemini no Brasil