5 minute read
Segurança
from RTI - Abril - 2022
Resiliência
O mundo corporativo volta e meia toma emprestado um termo científico e o adota para os negócios. Um deles é “resiliência”. A 3ª edição do Dicionário Aurélio da Língua Portuguesa o define em seu sentido físico como a “propriedade pela qual a energia armazenada em um corpo deformado é devolvida quando cessa a tensão causadora de uma deformação elástica”. Em palavras mais acessíveis ao nosso ouvido comum, a capacidade elástica de um corpo voltar à forma original depois que as forças ou choque que causaram sua deformação cessarem. Nos negócios, a capacidade de voltar à situação anterior após uma crise é logo de cara tentadora, principalmente quando muitas empresas tentam apenas sobreviver. Mas a adoção do termo em negócios vai bem além disso. Não só a companhia, em seus diferentes níveis operacionais, deve retornar à sua situação original após um choque, como deve voltar melhor do que antes. Um desafio ainda maior.
Em artigo na revista Forbes, o consultor Michael Evans define resiliência em negócios como “a capacidade de proteger e aumentar o valor diante de condições externas em rápida mudança”. Não podemos deixar de notar como esse conceito se aproxima da “antifragilidade” criada pelo investidor e escritor Nassim Taleb em seu livro Antifrágil, coisas que se beneficiam com o caos. Tal condição não é alcançada apenas por vontade de altos executivos, e requer adoção através de toda a organização. Como exemplo, a consultoria McKinsey lista seis “dimensões”: Financeiro, Operacional, Tecnológico, Organizacional, Reputação e Modelo de Negócios. Aqui, irei chamar de setor da empresa. Há, porém, um setor que acaba sendo incorretamente embutido no tecnológico, que é a segurança da informação.
É perfeitamente compreensível que a segurança seja vista como parte do setor de tecnologia, mas é um equívoco. A confusão ocorre porque normalmente se vê a proteção da informação como algo inerentemente tecnológico, o que não é. Tecnologia é um dos pilares, junto com pessoas e processos. Adicionalmente, devido à digitalização da economia, a tecnologia deixou de ser algo apartado para ser parte integral dos outros setores da empresa, e se estende a aspectos de negócio, mesmo em companhias tradicionais, do que se convém chamar de “velha-economia”. Cada um dos setores carrega um componente de segurança da informação que não deve ser tratado à parte, ainda que seja integrante de um grande setor que atravessa todos os outros, coordenado por uma área específica. Essa visão é, aliás, o que difere as experiências bem-sucedidas das que fracassam: segurança da informação como elemento de viabilização dos negócios, sendo até mesmo tratada como vantagem competitiva.
Uma vez determinado o perfil da resiliência em segurança, podemos retomar os seus aspectos principais. O primeiro, e principal deles, afeta a resiliência em todos os setores, que é a capacidade da empresa de enfrentar situações imprevisíveis. Nesse ponto, volto ao ponto central de meus artigos sobre o desconhecido publicados aqui na RTI. A história não necessariamente se repete, e o futuro não será igual ao passado. Antes da maior crise do último século houve outra que até então era a maior, e quem se preparou para ela poderá sofrer quando a próxima maior crise do século ocorrer. Vivemos com o imprevisível e o incerto, e devemos estar preparados para lidar com ele. Nassim Taleb diz em seus livros e palestras que devemos “abraçar a incerteza”. Mais que uma decisão racional, é uma postura mental. Ao fazê-lo, não apenas nos capacitamos a nos tornar resilientes, como podemos aproveitar as crises para sair delas melhores do que estávamos.
O segundo aspecto é relativo aos silos que porventura ainda possam existir na empresa. Reagir dessa maneira requer colaboração entre os diversos componentes que constituem os ambientes de segurança e negócios. Um grande exemplo são os planos de resposta a incidentes. Aqueles ilhados na área de tecnologia tendem a ser pouco eficientes e a falhar, pois um ataque
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
não é contra um servidor, e sim contra os dados e as aplicações que mantêm um negócio em funcionamento, as quais estão interligadas em um grande ecossistema, com centenas (ou milhares, ou mesmo milhões) de conexões, do usuário final aos fornecedores e seus parceiros. O ambiente de negócios caminha cada vez mais para esse grande ecossistema aberto. Precisamos logo de início obter visibilidade sobre ele, permitindo a ação sobre padrões de comportamento não usuais, sem esquecer que nesse grande ecossistema são esperadas mudanças constantes no padrão de trabalho e comportamento. É necessário atuar com inteligência compartilhada, e não permanecer isolado. Além das informais e pessoais, há plataformas abertas como o do CERT.br para dar um exemplo. Inteligência em segurança é a típica área onde o todo é maior que a soma das partes.
O ecossistema tecnológico atual e as mudanças que estão acontecendo também afetam os processos que uma empresa tenha estabelecido, além do treinamento de seus usuários finais. Vejamos por exemplo o desenvolvimento de aplicações, uma área que sempre pecou em segurança, normalmente deixando-a para o final do projeto. O novo ambiente de aplicações tende a piorar a situação. Se antes falávamos de uma aplicação criada em um grande e único bloco, instalado em um data center físico dentro da empresa, hoje falamos de aplicações que integram vários microserviços, os quais podem ser compartilhados, e que podem estar instalados em qualquer lugar do mundo, e utilizados por usuários finais, ou clientes, também a partir de qualquer lugar e dispositivo. Logo, tanto as pessoas devem ser treinadas e conscientizadas para os novos riscos, como os processos precisam ser adaptados.
O último aspecto é o da rápida recuperação em caso de quebra de segurança. Ela começa pela priorização correta das ameaças e dos ativos expostos direta ou indiretamente a elas, seguindo pelo planejamento de como reagir se as medidas preventivas falharem. Não saber o que fazer é o principal motivo da demora das empresas em restabelecer seus sistemas. É uma mudança de paradigma importante, da resposta a incidentes como um processo reativo para proativo. Nele, a maior parte das atividades são realizadas previamente. Mudança de paradigma parece ser a constante no processo de uma empresa tornar-se resiliente.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
