Outubro é o mês de conscientização sobre segurança cibernética e, para mim, é um momento de refletir sobre onde estivemos e até onde chegamos, estudar as tendências e os desafios que temos hoje e olhar para a próxima geração de oportunidades que teremos, não apenas da comunidade de segurança, mas da sociedade em geral.
Nos meus mais de 30 anos no setor de segurança, foi interessante ver como a tecnologia evoluiu e mudou o mundo. A segurança começou como uma conversa de “sistemas”. Agora, a tecnologia afeta a vida de todos e, como resultado, a cibersegurança afeta a todos nós – indivíduos, empresas, cidades, países, nossa comunidade global.
Do uso à confiança
Durante nossas vidas, deixamos de usar a tecnologia para, de maneiras muito sutis, nos tornarmos dependentes dela. Quer percebamos ou não, essas sutilezas nos tornaram dependentes da tecnologia. A noção de “sempre ativo” para acesso aos dados é altamente perturbadora para nós quando não os temos. Tomemos os mapas, por exemplo: o uso de um mapa impresso é estranho para nós hoje e, quando os mapas em nossos dispositivos não funcionam, estamos perdidos, literalmente.
Quando a tecnologia está indisponível, em muitos aspectos, nos sentimos “fora do circuito” e atrasados em saber o que está acontecendo. Há um indicador de atraso que diz: ‘Agora que temos acesso às informações atuais, sempre esperamos esse nível de conectividade – dependemos disso’. Essa confiança torna a proteção dos dados e os sistemas que os entregam muito mais vitais.
Uma confluência de mudanças – tudo em três anos
Desde 2017, ocorreram três grandes transições que ilustram como a cibersegurança se tornou complicada para todos nós em todo o mundo. Essas transições fizeram com que os profissionais de segurança sentissem a pressão e a avaliação de várias organizações que aprimoraram seus jogos. Eles precisam acompanhar uma confluência de mudanças, todas ocorrendo ao mesmo tempo:
- Tecnologia
Antes de 2017, a TI construiu e executou predominantemente a infraestrutura de tecnologia de uma organização, gastando em segurança e esperando que funcionasse, confiando nos melhores produtos e gerenciando tudo de maneira reativa.
Todos nós precisávamos de segurança cibernética, mas como podemos obter os melhores resultados – o maior nível de eficácia – das soluções que compramos? Exatamente quanto valor estamos obtendo ao gastar em uma solução? Está tudo integrado com a melhor estratégia ou estamos simplesmente comprando tecnologia da marca líder ou melhor anunciada?
Hoje, as principais equipes de TI criam, compram e executam segurança, usam uma abordagem de arquitetura ‘melhor-integrada’ e enfatizam a visibilidade, controles, medidas e abordagens proativas à segurança que geram eficácia e valor.
- Leis, regulamentos e requisitos do cliente
Essa transição mostra a crescente influência que leis, regulamentos e requisitos de clientes exercem sobre um fornecedor de tecnologia ou serviços para seus clientes e, por sua vez, para seus clientes, cidadãos, colegas, famílias e amigos.
A formalização de leis e regulamentos – da Diretiva NIS da UE ao GDPR, à Estrutura de Política de Segurança Protetora do Governo Australiano e à Lei de Privacidade do Consumidor da Califórnia, para citar alguns – levou a um maior exame e reforma. Acelerou substancialmente em um curto período de tempo, regulamentos e regras desarmoniosos do tipo “faça você mesmo”, para um conjunto padrões de uso internacional de países e entre países.
Agora, líderes empresariais e governamentais de toda a comunidade internacional estão sendo responsabilizados. Essa transição da auto-regulação e da auto-regulamentação variadas para a prestação de contas, a violação de relatórios e a divulgação destaca as implicações do manuseio incorreto de dados e privacidade por meio de fins significativos e demissões executivas.
Em muitos aspectos, isso já faz um tempo. O interessante é que agora que está aqui, ele pegou muita gente desprevenida – e de maneira alguma está diminuindo a velocidade.
- Supervisão Interna
Quando eu comecei no InfoSec, a segurança era principalmente uma disciplina de engenharia ou ciência da computação. A equipe de segurança costumava ser evitada para não suprimir a inovação por causa de preocupações com a segurança. Os negócios eram autogovernáveis, com níveis inconsistentes de supervisão.
Hoje, os relatórios internos e a supervisão da liderança executiva, o CEO, o conselho de administração e os acionistas estão a tornando uma prática padrão para garantir uma governança adequada. Em parte, é uma resposta ao cenário regulatório e à necessidade de níveis mais altos de prestação de contas e supervisão interna. Também se baseia na criticidade da tecnologia, passando de algo que usamos para algo em que confiamos para ser fornecido como um serviço.
Todas essas três transições vieram à tona em um período muito curto de tempo para saber como reagir, governar e resolver efetivamente. A propósito, todos nós estamos passando por isso e determinando nossas próprias estratégias para enfrentar os desafios, apurar o valor que eles entregam e entender como estar seguro e protegido em tudo isso.
Nossas demandas futuras
Hoje, existem cerca de 4 bilhões de usuários de internet globalmente – todos diziam cerca de 10X do que era em 2000. Estamos em um mundo onde tudo está sendo conectado e gerando dados. Isso terá um impacto significativo nos próximos anos em particular e ainda mais substancialmente no futuro.
Até o próximo ano, haverá cerca de 200 bilhões de dispositivos “no ar”, que incluem carros, telemetria nas cidades, sensores e vários outros dispositivos conectados. Duzentos bilhões é quase um número efêmero, mas não deve ser subestimado, porque o número de fornecedores que criam tecnologia conectada à IoT está aumentando provavelmente 3-4X a cada ano que no ano anterior. Essa é uma tendência que não vejo abrandar tão cedo.
Em 2021, estima-se que o cibercrime seja uma indústria de US $ 6 trilhões – uma indústria muito lucrativa, embora eu não a recomende como uma opção de carreira. Isso ilustra a profundidade e a amplitude do desafio – que é uma questão internacional e global que todos temos que trabalhar juntos para resolver, porque é algo que todos enfrentamos.
Elevando o nível para um futuro mais seguro
Governos e empresas em todo o mundo estão elevando os padrões para enfrentar o desafio de garantia de produto, garantia de nuvem, IoT, interceptação legal, proteção de dados, privacidade e similares. Cerca de 30 países estão escrevendo ou revisando suas estratégias de segurança cibernética e cada um pode ter implicações profundas em como os dados são compartilhados e como os sistemas são construídos.
Portanto, durante o Mês da conscientização sobre segurança cibernética, avalie o que você pode fazer para tornar o mundo mais seguro e protegido e tome medidas. O que você pode fazer como indivíduo? Como você está se protegendo on-line e ajudando seus negócios, colegas, amigos e familiares a fazer o mesmo? Cada ato individual, quando tomado em conjunto, pode levar todos nós a um futuro mais seguro.
Não estamos procurando manchetes que mostrem “bom” ou “ruim”. Precisamos de linhas de tendência que mostrem que o que estamos fazendo coletivamente está nos levando a um risco menor. Enquanto a linha de tendência estiver indo na direção certa, estamos fazendo o que precisamos – e todos devemos fazer nossa parte.
Para governos, empresas e indivíduos, o site Mês de Conscientização sobre Segurança Cibernética, da Cisco, oferece eventos, atividades e conteúdo educacional e maneiras de se envolver. O Cisco Trust Center também oferece recursos para ajudá-lo com segurança, proteção de dados e privacidade. Ambos apresentam links para relatórios de segurança, vídeos, inteligência sobre ameaças, liderança de pensamento e muito mais que o manterão informado.