Um mergulho nas melhores práticas de segurança digital
Observando o avanço aparentemente desenfreado do cibercrime e as ameaças digais cada vez mais sofisticadas, nos perguntamos: o que diferencia uma empresa de outra ou um setor de outro na defesa de seus ativos e informações contra a ofensiva digital? Por que uma organização se sai melhor do que outra na recuperação de incidentes de cibersegurança? Sabemos que as respostas não são simples, e justamente por isto estas questões pautaram a segunda edição do relatório Cisco Security Outcomes, que traz os resultados de uma pesquisa de campo aplicada junto a mais de 5.100 profissionais de TI e segurança, em 27 países.
O estudo é uma continuidade da primeira edição do Cisco Security Outcomes, que mapeou as práticas mais eficientes na resposta a incidentes de cibersegurança. Desta vez, descemos alguns níveis e mensuramos o que há de mais importante na gestão desta política. As 25 práticas gerais mapeadas foram testadas e correlacionadas à obtenção de 11 resultados, sendo que cinco deles chamam a atenção, porque mostraram efetivos para a maioria das organizações entrevistadas.
Um destaque importante é que o setor financeiro permanece como o principal alvo dos ciberataques e, como consequência, apresenta um grau elevado de maturidade em cibersegurança. Mais recentemente, se observou a intensificação das ameaças em todos os setores econômicos, especialmente nas áreas da saúde e educação, sendo saúde um dos mais atacados. Nunca é demais lembrar que o interesse aqui é o valor dos registros médicos.
Voltando às estratégias bem-sucedidas na gestão de cibersegurança, os “cinco principais” indicadores de sucesso são:
1) atualização tecnológica proativa
2) tecnologia bem integrada
3) resposta a incidentes adequada
4) recuperação de desastres imediata
5) detecção de ameaças precisa.
A atualização tecnológica diferencia as empresas por ser uma prática ainda em desvantagem nas estratégias corporativas. Para se ter ideia, das tecnologias de segurança usadas pelas empresas, 39% são consideradas desatualizadas e quase 13% dos entrevistados afirmam que pelo menos 8 a cada 10 ferramentas de segurança apresentam sinais de desgaste. Um fato que, por si só, pode ajudar a explicar muitos dos benefícios de uma estratégia de atualização tecnológica proativa. Aparentemente, as tecnologias mais recentes trazem recursos avançados para enfrentar uma horda de ameaças cibernéticas em constante evolução. E destaco aqui que 81,6% das organizações com arquiteturas baseadas na nuvem relatam sólidas capacidades de atualização tecnológica.
Sobre o indicador da integração, ou seja, tecnologias e processos integrados, os entrevistados afirmam que esta prática melhoram a eficiência do monitoramento e da auditoria. Também é importante reforçar a relevância da interoperabilidade e da integração não apenas da tecnologia, mas dos processos corporativos, para chegar a um padrão considerado ideal em cibersegurança.
Muitos fornecedores afirmam, com todas as letras, que seus produtos se integram a soluções dos concorrentes, mas vemos que isto pouco acontece na prática. Não é incomum nos depararmos com empresas com dificuldade de uso de uma solução, porque o esforço e o custo técnico de fazê-la funcionar integrada às demais ferramentas inviabilizam a estratégia. E aqui um alerta ao mercado: mais de 3/4 das organizações prefeririam comprar soluções integradas a construí-las; e mais de 41% das empresas com sistemas altamente integrados para identificação de recursos e riscos importantes apresentam recursos de detecção de ameaças muito mais robustos. Então, em um sentido real, a luta contra os inimigos e contra a fragmentação caminham lado a lado
Em se tratando da resposta a incidentes, vemos que quase todas (aproximadamente 92%) as organizações com pessoas, processos e tecnologia sólidos conseguem antecipar ameaças com capacidades de detecção e resposta. Aqui uma curiosidade: o estudo identificou que, apesar da tendência ao outsourcing, equipes internas apresentam melhor desempenho e são mais produtivas na área de cibersegurança do que profissionais ou empresas terceirizadas. Uma das métricas mais objetivas para esta comparação é o tempo médio de resposta (MTTR) ou o tempo médio de correção ou contenção de um incidente de segurança. No estudo, as empresas com equipes internas desfrutam de um MTTR cerca de 50% menor do que modelos terceirizados (cerca de 6 dias versus 13 dias). Aquelas que operam com modelos de pessoal híbridos alcançam desempenho mediano (cerca de 8 dias), com MTTRs que não são tão rápidos quanto os das equipes internas, mas respondem muito mais rápido do que os terceirizados.
Você pode estar se questionando se há aqui uma volta ao passado. E é isto mesmo. Depois de ficar em segundo plano nas violações de dados e na espionagem cibernética por vários anos, o tópico de continuidade dos negócios e recuperação de desastres (BCDR) volta ao centro das atenções. A razão para isto é a crescente atuação de ransomware. As interrupções dos principais provedores de hospedagem e assim por diante forçaram grandes mudanças nas estratégias para garantir a resiliência diante de ameaças implacáveis.
O Security Outcomes Study classificou a recuperação de desastres imediata como o quarto contribuidor mais importante para a criação de programas bem-sucedidos de segurança cibernética. E mostrou correlações importantes em todos os 11 resultados, exceto um (cultura de segurança). Por outro lado, menos de três a cada dez empresas afirmam que as funções de recuperação de desastres abrangem pelo menos 80% dos sistemas essenciais. Metade está na faixa de 50% a 79% e um pouco menos de 20% admitem taxas de cobertura inferiores a essa.
À primeira vista, não parece muito ruim. Afinal, a maior parte dos sistemas essenciais da maioria das empresas tem cobertura. Mas, infelizmente, esse fato ignora a tendência irritante de que desastres ocorrem em lugares inesperados e os nossos dados sugerem que isso acontece com mais frequência do que gostaríamos de admitir.
Um indicativo que se mostrou muito eficaz é a repetição dos ensaios de recuperação de desastres, algo semelhante ao que fazem as brigadas de incêndio nos edifícios, por exemplo. Há muitas maneiras diferentes de testar os recursos, incluindo tutoriais de plano, exercícios teóricos, testes ao vivo, testes paralelos e testes de produção completa. Perguntamos aos entrevistados sobre a frequência com que suas empresas realizam esses exercícios e comparamos isso à probabilidade de manter a continuidade dos negócios.
A pergunta que sucedeu foi: Devemos desencadear o caos? Na questão do teste de estresse do plano de recuperação de desastres, vamos maximizar o “estresse”. Estamos falando da engenharia do caos, em que os sistemas são interrompidos (de maneira intencional) periodicamente para testar a capacidade de suportar condições e eventos inesperados. Quer saber se jogar uma chave inglesa nos sistemas de TI e segurança pode ajudar a tornar a empresa mais resiliente? Perguntamos aos entrevistados até que ponto as empresas participam da engenharia do caos e descobrimos que isso é mais comum do que esperávamos. É importante perceber que existe uma relação entre essa prática e a integração tecnológica. Mais da metade das empresas para as quais a engenharia do caos é a prática padrão relata tecnologias altamente integradas que oferecem suporte aos recursos de recuperação.
Não está claro, no entanto, se a integração exige ou viabiliza a engenharia do caos. Assim como acontece com muitos aspectos nesse campo, provavelmente é um pouco de ambos. A certeza é que é preciso ficar de olho nessa nova disciplina, especialmente se você for responder por um ambiente complexo de TI. As empresas que adotam a prática padrão de engenharia do caos são duas vezes mais propensas a atingir altos níveis de sucesso do que aquelas que não a utilizam. E você não é o único a se chocar com esse resultado. A boa notícia é que podemos colocar a situação em cheque antes que ela nos choque novamente, fazendo com que ela trabalhe a seu favor através da prática da engenharia do caos.