Segurança em um Mundo VUCA
Somos desde crianças educados para agir a partir do que conhecemos, a levantar todas as variáveis e cenários prováveis, a reduzir o risco, e isso nos dá tranquilidade. Mas, como diz o dito popular, o diabo mora nos detalhes. Se há uma certeza hoje, é que não temos a menor ideia do que irá acontecer amanhã. Na verdade, não estamos nem um pouco preparados para o desconhecido. Queremos controlar o incontrolável, e, pior ainda, gostamos de nos enganar dizendo que está tudo sob controle. Na verdade, sim está, mas do imponderável, que infelizmente não trabalha para nós.
A busca do controle faz também parte do DNA do profissional de segurança, e é o que aprendemos desde sempre: medir o risco, aplicar controles e reduzi-lo até níveis considerados aceitáveis, já que 100% nunca será alcançado. Mas há algo errado. Empresas, mesmo aquelas que parecem estar fazendo tudo direito, continuam a ser invadidas e suas operações afetadas. A segurança parece frágil, ou no mínimo menos eficiente do que gostaríamos que fosse. Mas talvez não precise ser assim. Devemos, claro, manter riscos conhecidos sob controle e em níveis que julgamos adequados, mas sempre haverá o 1% imprevisível, e é dessa pequena porção que estou falando. Esses 1% de riscos não cobertos possuem a capacidade de cancelar todo o esforço dos outros 99%. Se um único ataque tira do ar uma empresa por dias, para que serviu todo o esforço? Mas “em 99% do tempo não somos invadidos e a empresa opera normalmente”. Eu concordo, mas nenhuma empresa pode ficar fora do ar 1% do tempo. E esse é o nosso desafio hoje: como montar uma estratégia da segurança da informação sem saber e sem tentar adivinhar o que acontecerá, em um mundo volátil, incerto, complexo e ambíguo?
Volátil, incerto, complexo e ambíguo é como o US Army War College definiu o mundo em 1987. Eles estavam obviamente pensando na guerra, mas o acrônimo por eles cunhados, VUCA (ou VICA em português), passou a ser utilizado também na área de planejamento estratégico, e cabe perfeitamente também em segurança da informação, sobretudo frente às ameaças resultantes do mundo conectado, ou digitalizado, o qual traz um novo desafio à gestão de segurança. Não apenas precisamos estar preparados para as a imprevisibilidade dos ataques, como também nos adaptar e acompanhar as mudanças nos negócios.
Volatilidade se define como a dinâmica dos eventos, inesperados tanto em sua natureza como em seu alcance. O oposto de volatilidade é a estabilidade, ou a quantidade de eventos e nível de criticidade considerado como padrão, e que a empresa enfrenta na maior parte do ano. Em um ambiente estável espera-se o que irá ocorrer, que é conhecido e, portanto, a resposta está documentada e treinada. No entanto, algo desconhecido e inesperado pode ocorrer a qualquer momento, com intensidade fora de nosso controle. Dizer que segurança é volátil é reconhecer que não há garantia de estabilidade nos elementos que estão fora do alcance de controle da empresa.
Incerteza (o U do acrônimo) é o grau de imprevisibilidade dos eventos. Como os grandes ataques mostraram, as técnicas, vetores e extensão da invasão são somente identificados após o inicio e, em alguns casos, após seu êxito. Em alguns casos as vítimas apenas perceberam que havia uma invasão em curso depois que os sistemas saíram do ar, os dados foram roubados ou o computador ficou inacessível. Os resultados de não saber o que está ocorrendo são a surpresa, não saber como reagir e e a sensação de impotência.
Volatilidade e Incerteza estão ligados. Um evento pode ocorrer a qualquer momento sem aviso prévio, e não temos como conhecer de antemão seus métodos e consequências. O grande desafio para encarar a volatilidade e a incerteza somos nós mesmos. Não sabemos lidar com o risco, não temos tolerância a ele, e por isso queremos eliminá-lo, o que não condiz com a realidade.
Já Complexidade é inerente a qualquer evento de ataque cibernético, assim como também a como está configurada a segurança da empresa. Muitas vezes vemos os hackers usarem a complexidade a seu favor e as empresas a usá-la contra elas mesmas. De qualquer forma, qualquer ataque será complexo, e os mais sofisticados usarão múltiplas técnicas de invasão, seja para aumentar a eficácia ou para evitar a detecção pelos sistemas de defesa.
Ambiguidade é uma característica nem sempre levada em conta. Muitas vezes nossa leitura dos eventos pode estar equivocada, ou mesmo um ataque pode ser apenas um chamariz para desviar atenção de outro muito pior. Um ataque de ransomware, por exemplo, pode ser usado para mascarar o roubo de informações. A amplitude e alcance são podem ser ambíguos. Julgamos que o ataque tem determinado alvo enquanto na verdade tem outro.
É importante notar que todas as quatro características caminhas juntas, há um “e”, não um “ou”. Se analisamos os grandes ataques recentes, vemos com clareza todas elas, e por isso é necessária uma mudança no modo como encaramos as coisas. Pensar segurança dessa maneira envolve mudar conceitos, e até mesmo ir contra algumas medidas consideradas há anos como “boas-práticas”. Envolve reconhecer que talvez algumas das estratégias e táticas criadas há mais de uma década e ainda utilizadas não funcionem mais. Envolve interpretar de maneira diferente as teorias que encaram a segurança em silos, como há vinte anos. Envolve mudança, para que a segurança seja menos frágil e mais eficaz, em qualquer situação.
Veja como a Cisco pode te ajudar a garantir a segurança de sua empresa aqui
Tags: