Transformação Digital Sim – Mas Com Segurança

por

Conforme as organizações aderem em velocidade cada vez maior às mudanças, os paradigmas de segurança do passado podem não ser suficientes. Veja neste artigo o que pode ser feito para continuar a manter seu negócio seguro.

André Mazeron
Diretor Executivo da Leverage
@mazeron

Não há aspecto da atividade humana que não tenha sido dramaticamente impactado nos últimos anos. As transformações não param, e trarão novos desafios, que podem bater na porta da organização sem que ela esteja preparada.

Café automatizado com robô no lugar do barista, porque sim.

Uma parte disto é pela dificuldade natural que temos em compreender inovações e tecnologias com crescimento exponencial. Por exemplo, já devem fazer alguns anos desde que você ouviu falar em veículos autônomos pela primeira vez e aquilo parecia uma realidade distante. Hoje projetos pilotos já começam a rodar pelo mundo. Quanto tempo levará até isto fazer parte do seu dia a dia?

“Ah mas isto está muito longe”. Não, não está. Pense nas tecnologias que seus usuários usam no dia a dia e quantas delas não existiam há 10 anos. Talvez sua área de TI tenha o controle sobre elas, ou talvez sejam serviços providos por terceiros cuja tecnologia por trás é praticamente indistinguível de mágica para os não iniciados.

Quando se está no ponto de inflexão, como no caso de tecnologias como Inteligência Artificial, é difícil perceber a velocidade das mudanças.

Novos processos, novos produtos, novos modelos de negócio, novos métodos de manufatura, tudo com base na tecnologia. Conforme organizações absorvem as inovações e se transformam em negócios cada vez mais digitais sem nem se dar conta, aumentam também a necessidade de manter seguros seus sistemas e os múltiplos locais onde o negócio pode falhar. Para se preparar para as incertezas do futuro, as organizações devem ter em mente alguns pontos chave:

  • Segurança é responsabilidade do negócio, não de uma área – São as áreas de negócio que hoje determinam as tecnologias em uso pela organização. A TI tradicional é cada vez mais uma integradora e facilitadora interna entre o negócio e os provedores daquelas tecnologias, e é assim que deve ser. Isto quando uma nova tecnologia não chega de “paraquedas”, sem o envolvimento da TI. A contrapartida disto é que as áreas de negócio precisam considerar a Segurança desde o início. O papel da área de segurança será cada vez mais de definir práticas, orientar e monitorar.
  • O perímetro de segurança é toda a internet – Você se preocupa com a proteção de dados internos e de clientes e isto é ótimo. Mas onde eles estão? No seu datacenter, na sua nuvem, na nuvem usada pelos seus provedores, no datacenter remoto daquela empresa que oferece uma aplicação baseada em machine learning que você usa como parte da sua aplicação web, nos servidores da empresa que dá suporte remoto às suas colheitadeiras autônomas guiadas por GPS e assim por diante. Ou seja, seus fornecedores também são parte integrante da sua defesa e você só pode pensar em uma estratégia eficaz de proteção dos seus dados se considerar todos os diferentes locais (seus e de outros) onde eles possam residir, trazendo-os para a discussão.
  • O desastre está nos detalhes – A consequência do negócio se tornar digital é que nem sempre as relações entre os diferentes sistemas fica óbvia, fazendo com que serviços considerados não-críticos possam, em caso de falha, paralisar a organização. É aquela pequena mudança em um registro do DNS que interfere acidentalmente no sistema de correio que por consequência afeta o sistema de envio de pedidos, você olhando o reflexo do problema enquanto a causa está lá do outro lado. Infelizmente não existe mágica para isto, a não ser documentar adequadamente seu ambiente, monitorá-lo e ter uma equipe qualificada para lidar com as surpresas.
  • Não minimize o valor de um ativo – O lixo de um homem é o tesouro de outro. Aquela informação que parece ser pouco relevante pode ter valor para um invasor. Por exemplo, saber que o CEO de uma empresa joga tênis todas as quintas com o CEO de outra pode ser útil para um atacante para um futuro ataque via engenharia social contra um dos dois. Embora exista a necessidade de priorizar recursos na proteção das informações, não desconsidere que no futuro o valor de algo possa mudar.
  • Humanos continuam sendo humanos – Desde que existe o cibercrime, criminosos exploram o comportamento das pessoas para invadir, roubar ou destruir informação. Isto não vai mudar e a necessidade de discutir internamente as responsabilidades de cada um frente à informação da empresa permanece. Essa conversa precisa incluir todos os níveis, incluindo alta administração. Evidentemente o discurso é adaptado a cada público, mas não adianta obrigar um usuário com poucos direitos a trocar a sua senha de 24 caracteres a cada 8 horas, se em outro andar o CFO não soube reconhecer um email fraudulento e está prestes a transferir US$1.000.000,00 para uma conta no Azerbaijão porque o CEO pediu na mensagem.

Não existem soluções mágicas para proteger o futuro da organização, mas conforme a mesma se torna mais digital, ter em mente os princípios acima pode ajudar a manter a segurança no rumo certo.

Categoria : Artigos
Tags : ,