Recentemente, a Agência Nacional de Segurança (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram os top 10 erros de configuração de cibersegurança mais comuns observados nas grandes organizações. E a primeira coisa que chama a atenção no levantamento é que todos os erros apontados são relativamente simples de resolver, pois não exigem uma alta complexidade técnica para a resolução. Pelo contrário, fazem parte do bê-á-bá de qualquer implementação processual de cibersegurança, o que instiga uma pergunta simples: por que, mesmo aumentando os investimentos em segurança da informação, ainda erramos no “feijão com arroz”?
A resposta para essa pergunta é complexa – embora pareça simples -, mas fato é que o board executivo ainda tem dificuldade de se comunicar com times técnicos, e isso dificulta a avaliação do trabalho que esse time executa. São raros os executivos que “falam a língua nativa” da segurança da informação, e mais raros ainda os técnicos que conseguem interpretar o que é relevante para o negócio e priorizar as atividades com assertividade.
E, não entenda mal, isso não é uma crítica. Nem os/as executivos/as e nem os/as técnicos/as estão errados de não saberem com profundidade o trabalho do outro – pelo contrário, é quase impossível “dar conta” de saber tudo no mundo complexo em que vivemos hoje. Conseguir se manter atualizado em seu próprio campo de atuação já é difícil o suficiente.
É nesse aspecto que a diversidade de conhecimentos é importante na hora de montar uma equipe de cibersegurança. A existência de pessoas que funcionam como mediadoras de relações pode ser a chave para o sucesso na implementação de um programa de cibersegurança. E esses mediadores precisam ser dotados de conhecimentos que se diferenciam do mundo técnico, mas não podem ser totalmente afastados dessa vivência operacional.
E como sabemos que é essa uma boa solução?
Voltando ao levantamento da NSA e da CISA, os top 10 erros mais comuns são:
1. Configurações padrão de software e aplicativos
2. Separação inadequada do privilégio de usuário-administrador
3. Monitoramento insuficiente da rede interna
4. Falta de segmentação da rede
5. Gerenciamento ruim de patches
6. Desvio dos controles de acesso ao sistema
7. Métodos de autenticação multifator (MFA) fracos ou mal configurados
8. Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
9. Má higiene das credenciais
10. Execução irrestrita de código
Uma pessoa com conhecimentos gerais de segurança da informação consegue interpretar que essa lista traz um diagnóstico evidente: as atividades de cibersegurança das equipes não estão sendo priorizadas – ou acompanhadas – de acordo com as necessidades reais das organizações. E a solução para esse problema é a revisão do plano estratégico, tático e operacional do programa de segurança da informação implementado.
É uma leitura simples, mas que nem sempre os times técnicos, focados na implementação de ferramentas/sistemas ou na resolução dos problemas do dia a dia, conseguem parar para analisar e refletir. Daí a importância de profissionais que funcionem como pontes entre o negócio e a operação.
É preciso enxergar a segurança além da tecnologia
Bruce Schneier tem uma frase que traduz essa necessidade: “Security is not a product, but a process” (segurança não é um produto, mas um processo). Isso porque a implementação de um programa de segurança da informação é pautada em quatro pilares centrais: tecnologia, governança, processos e pessoas.
E apesar de todos esses pilares serem igualmente importantes, sempre destaco a importância das pessoas – afinal de contas, são as pessoas as responsáveis por manusear a tecnologia, garantir a governança e realizar os processos. Por isso, é muito importante que o time seja composto por profissionais capazes de garantir cada um desses pilares.
Se a sua empresa busca uma proteção 360° em segurança da informação, é preciso investir na contratação de pessoas com conhecimentos diferentes e que vão enxergar os desafios sob diversas perspectivas. E isso também é válido para contratações que valorizem a diversidade de pessoas, pois isso vai agregar mais valor às soluções implementadas pelas equipes e expandir os resultados alcançados.
Como isso se aplica ao mundo do e-commerce?
A diversidade como uma estratégia na estruturação de equipes é especialmente relevante quando o core business é o comércio virtual, pois a dinamicidade dos desafios é particularmente alta nesse nicho. Por isso, é importante que as equipes de segurança da informação responsáveis por implementar um programa de cibersegurança em e-commerces sejam composta de maneira diversa.
No mundo ideal, uma boa equipe de cibersegurança é composta por um time técnico preparado para lidar com os desafios de infraestrutura, ferramentas e dados, como engenheiros, cientistas de dados e tecnólogos da informação; um time jurídico especializado que assegure o compliance e a governança das atividades do time interno e de terceiros; um time de gestão de projetos que auxilie na implementação e na sustentação da melhores metodologias de trabalho e mensuração de resultados alcançados; e um time de pessoas que garanta a contratação e a retenção do time como um todo e o alinhamento com a cultura empresarial.
Parece muita gente, mas não é, pois cada um tem o seu papel e propósito no ecossistema da cibsergurança empresarial. E em um mundo cada dia mais digitalizado e dependente das relações cibernéticas, buscar assertividade no desempenho de uma equipe de cibsersegurança é mais do que é uma necessidade corporativa vital, é uma estratégia de expansão de negócios.