O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, afirma que a segurança é parte integral da equação de negócios digitais quando se trata de tecnologias como serviços em Nuvem e Big Data, dispositivos móveis e de TI, DevOps ágeis e Blockchain. Segundo o Gartner, experts em segurança precisam adaptar técnicas de segurança para a Era Digital.
“A verdade é que nós tínhamos uma visão de mundo binária que não existe mais. Branco ou preto, bom ou mau, a resposta é que não temos certeza em qualquer extremo. Pode ser qualquer um dos dois. Pode ser os dois”, diz Claudio Neiva, Vice-Presidente de Pesquisas do Gartner, durante o keynote de abertura da Conferência Gartner Segurança & Gestão de Risco 2017, em São Paulo. “Ambiguidade é a nova realidade. Adotem o cinza. A realidade é que os líderes de negócios estão se movendo a toda velocidade para frente, com ou sem você”, afirma Neiva.
Um novo modo de pensar sobre segurança e risco
Em 2014, o Gartner introduziu a Arquitetura de Segurança Adaptativa – Balanceando as capacidades de bloqueio e prevenção com uma equivalente e crítica capacidade de detecção e resposta quando o inevitável acontece.
Hoje, os especialistas em segurança devem focar em aplicar uma nova abordagem: CARTA – Continuous Adaptive Risk and Trust Assessment (Análise Contínua e Adaptável de Riscos e Confiança). A chave é aplicar a filosofia em todo o negócio, do DevOps até os parceiros externos.
“Nós precisamos nos concentrar em aplicar a CARTA não apenas a produtos já implementados, mas para novos serviços e recursos conforme eles são construídos”, diz Augusto Barros, Diretor de Pesquisas do Gartner.
Executar, construir e planejar
Os analistas do Gartner dizem que organizações devem aplicar a CARTA em todas as três fases da administração de riscos e segurança da informação: Executar – proteção contra ameaças e acessos durante execução; Construir – desenvolvimento e parceiros do ecossistema; e Planejar – governança de segurança adaptativa e avaliação de novos fornecedores.
Executar a CARTA
Quando se trata da CARTA, Data Analytics precisa ser uma parte padrão do arsenal. As companhias podem, apesar das grandes expectativas envolvendo Big Data, obter real valor com o aprendizado de máquina.
“A detecção de anomalias e o aprendizado de máquinas estão nos ajudando a achar os vilões que de outra forma passariam pelos nossos sistemas de prevenção baseado em regras”, comenta Felix Gaehtgens, Diretor de Pesquisas do Gartner. “É por isso que Analytics é tão relevante para operações de segurança hoje. O processo é bom para achar os vilões nos dados que outros sistemas não acharam.”
O tempo médio para detectar uma falha nas Américas é de 99 dias e o custo médio é de US$ 4 milhões. O Analytics vai acelerar a detecção e a automação vai agilizar o tempo de resposta, atuando como uma força multiplicadora para o time sem adicionar pessoas. O Analytics e a automação asseguram que as empresas foquem seus limitados recursos em eventos com maiores riscos de forma confiante.
Para a proteção de acesso no mundo digital, as companhias devem ser monitoradas constantemente. Fazer apenas uma autenticação é fundamentalmente falho quando a ameaça passa do portão. Por exemplo, se um usuário está baixando dados confidenciais para um dispositivo, a informação deve ser encriptada com administração de direitos digitais antes de ser baixada e então o usuário deve ser monitorado. Se ele começar a fazer muitos downloads, deve se restringir o acesso ou ativar um alerta para investigação.
Construir a CARTA
No que se refere ao DevOps, a segurança precisa começar cedo no desenvolvimento e identificar questões que representem um risco à organização antes de serem enviados para produção. Aplicações modernas não são desenvolvidas, mas montadas a partir de bibliotecas e componentes. É preciso procurar nas bibliotecas por vulnerabilidades conhecidas e eliminar a maior parte do risco. Para códigos proprietários, se deve balancear a necessidade de velocidade com a necessidade de segurança.
Parceiros de ecossistema adicionam novas capacidades de negócio e novas complexidades de segurança. “A administração de riscos não é mais domínio de uma única empresa e deve ser considerada em nível de ecossistema”, diz Gaehtgens. “O sucesso do meu produto ou serviço agora está diretamente ligado a outros. Meu risco é o risco deles. O risco deles é o meu risco. Estamos todos na mesma.”
Com o modo de pensar a CARTA, as organizações devem continuamente avaliar o risco do ecossistema e se adaptar conforme necessário. Os parceiros também devem analisar a sua companhia, infraestrutura, controle e reputação digital da marca. Para ecossistemas com um provedor dominante, a única forma de uma companhia entrar no ecossistema é depois de uma avaliação de riscos e segurança. Se a sua companhia for muito insegura, a organização pode ser removida do ecossistema. O monitoramento contínuo e a avaliação de riscos e reputação de grandes parceiros digitais é essencial.
Planejar a CARTA
A mudança para o modo de pensar CARTA mudará como os fornecedores são avaliados daqui pra frente. Eles devem oferecer cinco critérios: APIs abertos, suporte para práticas modernas de TI como Nuvem e containers, suporte a políticas adaptativas como ser capaz de mudar posturas em relação à segurança baseadas em contexto, e um foco em prevenção de ameaças e sistemas de detecção que possam proteger de uma grande gama de ameaças de forma precisa e eficiente, usando métodos analíticos diversos.
“A abordagem estratégica CARTA permite que digamos sim mais frequentemente. Com uma abordagem binária de permitir/negar não temos outra escolha além de ser conservadores e dizer não”, diz Neiva. “Com a CARTA, nós podemos dizer sim, e nós monitoraremos e avaliaremos para ter certeza, nos permitindo alcançar oportunidades que antes eram consideradas muito arriscadas.”
Sobre a Conferência Gartner Segurança & Gestão de Risco 2017
A Conferência Gartner Segurança & Gestão de Risco 2017 apresentará conteúdos com foco em segurança de TI, gestão de risco, compliance e gestão de continuidade de negócios, além de analisar o papel dos profissionais de segurança da informação (CISO – Chief Information Security Officers). Cada programa oferece uma agenda diferenciada, incluindo sessões com analistas, palestras, mesas-redondas, estudos de caso, workshops e muito mais. Informações adicionais estão disponíveis no site:
http://www.gartner.com/events/la/security.