seguranca

Todo negócio é digital e demanda cibersecurity desde a origem

5 minutos de leitura

Líderes devem pensar em soluções a serem criadas desde a origem, porque ajustes feitos no caminho costumam ser mais difíceis



09/08/2022

Parceria Editorial

Quando se pensa em cibersecurity, um dos maiores desafios é encontrar o caminho para que a segurança esteja inserida no contexto do negócio. Não como uma unidade de serviço, mas como parte do DNA da organização. Nesse cenário, os líderes devem pensar em soluções a serem criadas desde a origem, porque ajustes feitos no caminho costumam ser mais difíceis – e custosos – de implementar.  

É importante notar que há um senso de urgência. Na edição 2021 da pesquisa global que a Deloitte conduz com membros do C-Level, cerca de 75% dos líderes de empresas com receitas acima dos US$ 30 bilhões pretendendiam investir mais de US$ 100 milhões em cibersecurity neste ano. A complexidade em que vivemos, porém, demanda mais do que apenas aporte financeiro.

Uma vez que as companhias passam por um processo de transformação digital, é preciso alcançar o equilíbrio certo entre agilidade e cautela. A execução das soluções de segurança não pode paralisar o negócio, mas elas também não devem deixar de ser consideradas, do contrário a velocidade na entrega pode se tornar um arrependimento no futuro. Por isso a importância de pensar em segurança desde o momento em que se planeja um novo produto ou serviço.

Segurança desde o começo

Seja uma nova solução que será lançada no mercado ou uma nova abordagem que será discutida com cliente, em todos esses processos é preciso pensar em segurança no início, assim se aplica o conceito conhecido como security by design. Com essa mentalidade vigente na organização, o processo de transformação se torna ágil e com a melhor segurança possível para os lançamentos planejados. 

Há de se estabelecer o porquê de o movimento contrário não ser o ideal. Ao olhar para segurança em uma etapa após o lançamento, qualquer correção de rota será mais cara – o que dá razão ao ditado “o barato sai caro”. Empresas que não são nativas digitais podem ter a dificuldade de adaptar segurança a produtos e serviços que estão há anos no mercado, planejados quando o contexto era outro. É como uma casa construída há décadas, nada mais natural do que passar por uma reforma.

A pesquisa global da Deloitte, mencionada acima, consultou também CIOs e CISOs. Dos respondentes, 41% afirmam que o maior desafio atual enfrentado é lidar com ameaças em um novo contexto de trabalho híbrido, no qual muitos funcionários fazem home office, ao mesmo tempo em que mais se espera avanços da transformação digital no negócio.

Agora, quando se pensa em uma casa recém-construída, ninguém espera fazer alterações estruturais meses depois da inauguração. Hoje, seja em uma startup ou uma instituição secular, o negócio é digital, e nada no mundo digital funciona sem cibersecurity. Exemplos de invasões não faltam, por isso o mantra dos profissionais de tecnologia é que um ataque não é questão de “se”, mas de “quando”.

Felizmente ou infelizmente, já há um número significativo de exemplos que podem servir de alerta para executivos tratarem a situação com a seriedade devida. A pesquisa da Deloitte indica que, 72% das organizações participantes detectaram de um a dez ciberataques no último ano.

Vigilância constante

Ainda assim, mesmo que todas as recomendações de segurança sejam cumpridas, não é possível prometer 100% de proteção. A sofisticação dos cibercriminosos se aprimora a cada momento – a trapaça está sempre um passo à frente da fiscalização, porque uma contramedida costuma ser pensada após a execução de uma nova fraude. Há alguns passos, porém, para garantir a maior segurança possível dentro de uma empresa.

É necessário haver uma governança e uma política de segurança implementada, em que todo mundo dentro da organização tenha uma ideia da cultura proposta e absorva a importância daquilo para o negócio. Cada funcionário, independentemente do nível, precisa entender que um ataque pode gerar danos irreversíveis à companhia, ou seja, de modo a interferir na vida daquele funcionário.

Difundir essa mentalidade em toda a organização é uma medida de prevenção. Não apenas contratar uma solução de segurança, mas fazer um trabalho detalhado junto aos colaboradores para que eles entendam do que se trata aquele processo e como ele deve ser colocado em prática. Além disso, deixar todos preparados para o pior. Em caso de ataque, cada indivíduo deve saber o que fazer em seguida, quem acionar, qual procedimento colocar em prática, quais ações podem mitigar o prejuízo e acelerar a recuperação, por isso a importância de manter backups atualizados.

Uma rara certeza nesse ramo: não é fácil. Trata-se de um exercício diário. Implementar uma política, começar a desenvolver segurança e montar um plano de disaster recovery – o qual vai dar problema se não for atualizado todos os dias. Os invasores são insistentes, por isso o trabalho deve ser contínuo. O pensamento mais perigoso para um líder é de que a empresa está segura, que não é mais necessário investir em cultura de cibersecurity.

Equilíbrio com a interface

Tudo isso posto, é sempre bom lembrar: não se pode deixar de atender bem um cliente em nome de oferecer um ambiente mais seguro. Não adianta montar uma estrutura que ninguém usa. As coisas têm de caminhar lado a lado e é possível que isso aconteça. Técnicas de segurança podem ser apresentadas aos clientes, soluções que facilitem a vida dele, mas sem perder nenhum aspecto de facilidade na interface. Assim como segurança, o customer experience tem de ter a relevância devida dentro do processo. Os pesos são equivalentes.

Nesse ponto, de novo é importante destacar o conceito de security by design. No momento em que o produto ou o serviço é pensado, o protótipo deve testar se a experiência do cliente é positiva – e nesse momento já se deve pensar na segurança. Esse planejamento integrado ajuda a construir uma aplicação mais bem resolvida e segura para todos.  Até por força das novas diretrizes impostas pelas Lei Geral de Proteção de Dados (LGPD), é preciso garantir que os clientes estejam protegidos. Por isso, mais uma vez, a importância de tudo ser desenhado desde o início.

Uma vez que o negócio é digital, e que não existe negócio digital sem segurança, é importante haver um relacionamento estreito entre os executivos de tecnologia e os tomadores de decisão em uma empresa. De acordo com a Deloitte, houve um aumento nos Estados Unidos da comunicação direta entre CISOs e CEOs, de 32% em 2019 para 42% em 2021 – o número no cenário global é de 33%.

Contingências

A construção dos parâmetros de segurança, com a capacitação e o treinamento corretos dos desenvolvedores, também deve incluir etapas de testes periódicos. O desenvolvimento de um processo de segurança, quando é feito com correção e implementado, garante a proteção até aquele momento, mas oluções e procedimentos podem se mostrar frágeis com o passar do tempo. Por isso é importante estabelecer um calendário de análise de vulnerabilidade.

Quando isso acontece, é possível identificar uma falha que havia sido deixada para trás, por maior que tenha sido o cuidado no momento de construção. Além disso, os processos evoluem, as tecnologias evoluem e as ações dos hackers evoluem, então é preciso ter uma atitude de constante vigilância. Corrigir alguma coisa não necessariamente significa que houve erro no desenho ou na execução, apenas uma mudança de parâmetro.

Uma vulnerabilidade identificada em uma solução pode, inclusive, ser testada nas demais aplicações. A mentalidade imposta deve ser sempre de desconfiar, atiçar a curiosidade de que aquele mesmo problema pode ser replicado em toda a cadeia de segurança. E não existe a garantia de que uma correção definitiva será feita a curto prazo, mas saber que a lacuna existe permite à organização trabalhar com pontos de mitigação, caso seja necessário.

Além disso, a prática constante dessa análise conduz a um aprimoramento dos processos e do fortalecimento da cultura security by design. Em uma próxima vez, passada a identificação de uma falha em um teste, o próximo desenvolvimento vai levar em consideração essa experiência, portanto tende a ser mais eficaz.


E-book gratuito: saiba como implementar uma cultura de cibersegurança na sua empresa

Saiba mais


Matérias relacionadas

mulheres tecnologia Estratégia

“O objetivo é devolver à sociedade, especialmente às mulheres, o que recebi”

A frase é de Priscila Araújo, que atua na área de soluções digitais da Embratel e tem como propósito fomentar o desenvolvimento de carreiras femininas na tecnologia

paloma lataliza Estratégia

Mulheres na tecnologia: sensos de comunidade e pertencimento ampliam oportunidades

Paloma Lataliza, engenheira de cloud da Embratel, usa a sua experiência para estimular outras mulheres nas carreiras ligadas à tecnologia

genai na area de ti Estratégia

Investimentos de GenAI na área de TI devem aumentar

Avaliação é da consultoria Gartner, que preve aumento discreto em 2024 e crescimento maior a partir de 2025

gestao de vulnerabilidades Estratégia

Gestão de vulnerabilidades: entenda o que é e como colocar o conceito em prática

A segurança é um ponto cada vez mais crítico para as organizações, que precisam adotar medidas específicas para identificar e fazer a gestão de vulnerabilidades