A maioria das organizações já implementou soluções de segurança cibernética para acompanhar e relatar atividades dos usuários que acessam várias fontes de dados.

Essas soluções provaram ser bastante úteis no cumprimento de exigências regulatórias, mas os significativos investimentos realizados não estão se traduzindo em benefícios visíveis para a segurança cibernética e não estão comunicando efetivamente todo o valor comercial que representam.

Embora esses sistemas passem pelas “checagens” de conformidade, algumas questões básicas ainda permanecem:

“Estamos mais seguros do que antes, especialmente nesse momento em que a manipulação de dados não autorizada e a extração fraudulenta de dados estão se tornando o ponto central de ataques cibernéticos cada vez mais frequentes?”

“Estamos monitorando o suficiente ou mais do que o necessário?”

e, acima de tudo:

“Estamos conseguindo proteger nossos ativos críticos de negócios?”

A maioria dos sistemas implementados são atormentados por ruídos devidos ao alto número de falsos positivos, trabalhos manuais e projetos mal planejados. A justificativa para investimentos adicionais para aperfeiçoar essas implementações é muitas vezes recebida com cinismo, considerando os custos econômicos e financeiros envolvidos, que já devem ser considerados elevados.

Por que isso?

Algumas soluções disponíveis no mercado para segurança da informação atendem muito bem as necessidades de conformidade e segurança da informação, mas com muita frequência, os resultados positivos dos casos de uso não são considerados, possivelmente pelas seguintes razões:

1. Abordagem “de baixo para cima” (com algum nível de apoio inicial da alta administração) é tratada de maneira “ad hoc”, sem uma estratégia bem concebida. A abordagem “uma solução serve para tudo” erra por não considerar as políticas de classificação da informação, seu uso no contexto de negócios e os riscos e impactos no negócio devido à perda de dados.

2. A Memória nos negócios é curta. As equipes de segurança cibernética muitas vezes têm dificuldade para comunicar efetivamente o valor dos investimentos incrementais em segurança, em uma linguagem que os níveis hierárquicos superiores podem entender, dando uma falsa impressão de segurança. Além disso, nem todos na empresa têm a maturidade ou o conhecimento sobre as ameaças ou riscos cibernéticos a que estão expostos. Como resultado, os tomadores de decisão mudam o seu foco para outras prioridades que competem pelos recursos disponíveis.

3. Poucas organizações possuem relatórios integrados de atividades de dados em sua área responsável pela segurança cibernética. A abordagem de fragmentação das informações em silos acaba criando pontos cegos na segurança da informação. As organizações que seguiram o caminho para integrar a área de Data Base com a área de Segurança Cibernética estão sofrendo de ineficiências no processo devido ao aumento de falsos positivos, fluxos de trabalho deficientes, responsabilidades não esclarecidas e falta de procedimentos operacionais padronizados.

4. Os mesmos problemas ocorrem no novo mundo das aplicações na nuvem e são ampliados pela falta de preparação para o ambiente ser migrado para a nuvem e a ausência de habilidades e conhecimento necessários para proteger a informação na nuvem.

5. Todos esses desafios são ainda mais amplificados pela incapacidade dos fornecedores em manter o ritmo e atualizar seus produtos para atender às necessidades emergentes dos negócios do século XXI.

O segredo

As estratégias de segurança cibernética encontram mais sucesso quando conduzidas de cima para baixo e implementadas de baixo para cima,começando com a compreensão dos riscos do negócio, que deve levar em conta as ameaças, vulnerabilidades e a tolerância ao risco de anormalidades.

• As equipes de segurança cibernética e de negócios devem identificar e priorizar, de forma colaborativa, os cenários de risco para o monitoramento de atividades de dados (ex.: Matriz de Risco de Ameaças) para determinar O QUE e POR QUE fazer.

• Com base nas informações coletadas, controles lógicos e técnicos apropriados podem ser definidos para mitigar as ameaças identificadas, dentro dos níveis aceitáveis de risco residual para determinar COMO fazer.

Conclusão

Não há dúvida que a maioria dos profissionais da tecnologia da informação e, em especial, os responsáveis pela segurança da informação de uma organização conhecem as ameaças e os riscos dos ataques cibernéticos cada vez mais complexos e frequentes.

Também é claro que as empresas precisam investir de forma contínua em sistemas de segurança e em profissionais especializados, para proteger adequadamente os seus preciosos ativos digitais.

Informar adequadamente e apresentar argumentos consistentes para convencer os executivos que decidem o orçamento da empresa são um desafio constante para os líderes de TI. A ajuda de uma consultoria externa, uso de ferramentas ou soluções que centralizem as informações de análise de risco e facilitem a tomada de decisão podem dar mais peso aos argumentos e uma maior segurança quanto aos caminhos a serem percorridos para proteção do negócio.