Notícias

CISO e CIO estratégicos e juntos, ou nada

Dediquei mais de uma década ao universo da segurança da informação e gestão de riscos

Autor: Marcos SemolaFonte: O Autor

Dediquei mais de uma década ao universo da segurança da informação e gestão de riscos. Na consultoria, o contato com a realidade das indústrias em geral e de cada cliente em particular vai naturalmente nos auxiliando a completar o quebra-cabeça. Mesmo que atuemos como bons acadêmicos, tenhamos uma atividade intensa de pesquisa e busquemos certificações internacionais como forma de dar visibilidade ao conhecimento acumulado, não há nada que se compare à pratica. Nada como estar diante da possibilidade de ligar conceito ao mundo real e assim validar teorias, premissas e necessidades, afinal, mar calmo não faz bom marinheiro.

Muita coisa mudou desde a década de 90, mas também muita coisa permaneceu inerte. Em uma visão holística simplificada o que víamos e continuamos vendo hoje é um movimento exponencial de adoção de tecnologia. Automação e digitalização para ser mais preciso, o que na prática significa dizer que as transações resultantes das relações humanas, comerciais, econômicas, políticas, culturais e sociais estão migrando de plataforma e com isso, vem gerando registros eletrônicos em escala que, por definição, servem para documentar a atividade dos agentes envolvidos (leia sobre blockchain).

A medida que esse movimento digital penetra ainda mais profundamente nas relações tidas como relevantes para a sociedade, como a propriedade, o bem-estar, a transferência de poder, entre outras, vemos instaurado um ambiente ainda mais volátil de risco. A volatilidade não está relacionada à equação de risco em si, uma vez que as forças entre seus agentes permanecem inalteradas como aponta a literatura especializada. As vulnerabilidades ou falhas de segurança seguem expondo os ativos de informação à ação de ameaças em atividade constante. Enquanto isso, a probabilidade de sucesso dessas investidas – fator que depende da interpretação de vetores de contexto – cumprem o papel de ponderar a correlação individualizada entre vulnerabilidade e ameaça, e produzir o que convencionamos chamar de percepção de risco. Tudo exatamente como conhecíamos até então.

Em contrapartida, quando começamos a observar as variáveis que compõem a equação a partir do novo contexto de automação e digitalização do momento, é que passamos a enxergar todo seu dinamismo e volatilidade. O ambiente digital parece propiciar uma proliferação muito mais rápida de novas ameaças bem como a descoberta ou a simples existência de um número muito maior de vulnerabilidades em uma pequena fração de tempo. De acordo com um estudo recente realizado pela Symantec em 2016, foram descobertos cerca de 430 milhões de ameaças malware - software destinado a se infiltrar em um computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações – o que representa um aumento de 36% comparado com o ano anterior. Em termos de vulnerabilidade, especificamente as chamadas Zero-Day - falha de segurança de alto impacto ainda não explorada ou documentada contra a qual não existe correção conhecida - o estudo indica um aumento quantitativo de 125% comparada com 2016, saltando 24 para 54 novas descobertas. Assustador.

Na prática o que estamos vendo acontecer é um crescimento exponencial da dependência que as relações entre governos, empresas e pessoas têm dos ambientes digitais e ativos de tecnologia em geral, enquanto geram massas crescentes de registros binários. Estamos inquestionavelmente em um caminho sem volta e onde não há mais alternativa. Basta olhar a sua volta. O processo de declaração anual de rendimentos ao governo não oferece mais a opção de papel. Seu banco não deseja mais que você utilize seus remanescentes canais físicos. Seu parceiro de negócio já não quer mais trocar informações senão por meio eletrônico. Seu empregador já não vê mais sua operação sem ambientes virtuais colaborativos para gerir o negócio. Estamos vendo nascer a Indústria 4.0, termo moderno cunhado para representar a quarta revolução industrial.

Uma nova fase evolutiva em que se aplica tecnologias para automação e troca de dados utilizando conceitos de inteligência artificial, computação cognitiva, sistemas híbridos ciber-físicos, mobilidade, internet das coisas, bigdata, analytics e computação em nuvem, orientados pelos princípios da interoperabilidade, virtualização, descentralização, real time, orientação a serviço e modularidade. Tudo simplesmente fantástico, não fosse pelos efeitos colaterais. Essa transformação digital aplicada, por definição, impõe um regime severo de alta velocidade e alto risco. A dinâmica propiciada pela automação operando sobre plataformas eletrônicas faz muito mais informação circular com muito mais velocidade, em volumes nunca antes vistos e com alcance planetário.

Da mesma forma, as vulnerabilidades surgem com maior velocidade e as ameaças se apropriam das características desses mesmos ambientes para também aumentar a eficiência dos ataques e ampliar o alcance e o escopo de seus alvos. Segundo o estudo da Symantec de 2016, 80 milhões de ataques automatizados a ativos de informação ocorrem diariamente, mais de 500 milhões de registros pessoais foram roubados e o impacto financeiro nas organizações já chega à cifra de 3 trilhões ao ano. O efeito colateral desse novo ambiente disruptivo de risco 4.0 é o crescimento de crimes eletrônicos, ou como se convenciona chamar pelo mundo, cyber crime, e suas variações cyber terrorism, cyber extortion, cyber sabotage e cyber war com a potencialidade de provocar danos sem precedentes. Porém, diferente do que muitos possam estar pensando, o momento exige atenção, observação, resiliência, planejamento e reação estruturada. Ignorar ou subestimar os novos riscos desse ambiente hostil não irá viabilizar a sobrevivência e pavimentar o caminho de futuro dos negócios. O cenário demanda profissionais mais bem preparados, atualizados e que reúnam competências multidisciplinares, conhecimentos sólidos e experiência prática, além de se cercarem de soluções mais inteligentes e cognitivas capazes de interpretar grandes volumes de eventos de forma veloz e mais assertiva deixando com as máquinas o trabalho braçal e repetitivo e se liberando para julgamentos e decisões estratégicas.

Segundo estudos da IBM, a computação cognitiva será capaz de aliviar a equipe de segurança da pressão de mais de 200 mil eventos de segurança por dia. Arrisco ainda dizer que as empresas deveriam considerar imediatamente a estruturação de um Escritório de Gestão de Riscos posicionado estrategicamente na organização. Gerido por um CISO (Chief Information Security Officer) que seja legitimamente responsável pela estratégia de GRC (Governance, Risk and Compliance) incluindo cyber security, privacy, data protection, anti-fraud e todas as suas variações, mas que também possa contar com consultores externos especializados em domínios específicos, padrões e frameworks de forma complementar, enquanto trabalham juntos e lado a lado a um CIO de verdade responsável por definir a estratégia digital da companhia.

O momento não comporta mais amadores por mais bem-intencionados que possam estar. O cenário nunca foi tão potencialmente disruptivo. Tempo de reação é fator determinante na indústria 4.0, bem como a coordenação e assertividade das ações suportadas por processos robustos. Tudo isso orientado por uma estratégia de longo prazo bem definida e alinhada com os requisitos de negócio e à luz da jornada de transformação digital definida pelo CIO. As regras no novo jogo estão aí e a moeda só possui duas faces: sucumbir ou sobreviver ao que o futuro nos reserva.

Marcos Semola é Executivo de TI, Especialista em Governança, Risco e Conformidade, CISM, Professor da IBE-FGV (Fundação Getúlio Vargas), Escritor, Palestrante, VP Membro do Conselho de Administração da ISACA e Mentor de Startups.