Eficiência x cibersegurança: como equilibrar esta balança de experiência do usuário?
No setor da cibersegurança, há uma eterna batalha entre manter uma postura de segurança reforçada x permitir processos de negócios mais fáceis e eficientes. É uma luta que as equipes de TI, especialmente aquelas com pouco ou nenhum treinamento de segurança (como é o caso de muitas PMEs), enfrentam diariamente. O equilíbrio entre essas prioridades opostas pode mudar dependendo do negócio, do cenário de ameaças, da superfície de ataque ou até mesmo do dia. Mas encontrar a linha apropriada entre uma postura de segurança forte e facilidade de continuidade e eficiência dos negócios se resume ao gerenciamento de riscos.
A cibersegurança trata da mitigação de riscos e não de eliminá-lo totalmente, até porque, isso é impossível, já que todos os dias novos ataques surgem em todo o mundo. Então, como os tomadores de decisão determinam seu limite de risco? Uma maneira de pensar sobre isso é usar uma equação bastante simples: Risco = Ameaça x Vulnerabilidade x Custo. Embora a realidade seja mais complexa do que esta simples equação, ela ajuda as empresas a pensarem em como quantificar e priorizar riscos e, desta forma, encontrar o equilíbrio entre a necessidade de uma arquitetura segura e o desejo de otimizar a eficiência dos negócios.
Mas antes que uma empresa possa gerenciar seu risco, ela deve entendê-lo. Isso começa com uma avaliação de ativos de dados para entender o que eles têm e onde estão. Depois disso é necessário fazer uma análise de impacto nos negócios para entender a criticidade desses ativos. Juntas, essas duas avaliações fornecem uma boa estrutura para descobrir onde estão as “chaves para seu reino”.
Por exemplo, um varejista online provavelmente possui dados altamente críticos, como informações de cartão de crédito em seus servidores de comércio eletrônico. Por razões óbvias, é imperativo proteger esses servidores e manter os dados fora das mãos de hackers. Ao mesmo tempo, é provável que esses dados também sejam uma alta prioridade para os hackers e um foco de seus ataques, portanto, a segurança deve prevalecer sobre a facilidade de acesso ou a eficiência aqui.
No entanto, se essa mesma empresa hipotética usa um servidor FTP para transferir imagens, esse servidor é um ativo menos crítico e com menor risco de ataque, portanto, a eficiência do negócio pode ser priorizada.
Outro exemplo de uma área onde as empresas nunca devem sacrificar a segurança é o acesso às portas de gerenciamento. Com a mudança para uma força de trabalho híbrida, é tentador para as equipes de TI abrir portas de gerenciamento para a Internet, tornando-as acessíveis de qualquer lugar. No entanto, isso introduz um risco significativo. Pode ser inconveniente encontrar outra solução, mas o esforço inicial que as empresas precisam fazer para se adaptar com segurança a um modelo de força de trabalho em mudança não é nada comparado ao risco de perder milhões de dólares e aos danos à reputação decorrentes de um ataque.
A aplicação de patches é outro exemplo em que os profissionais de segurança da informação geralmente priorizam a segurança sobre a eficiência. A correção de um sistema pode derrubá-lo por um curto período de tempo, mas as vulnerabilidades críticas que estão sendo usadas (como o Log4j recentemente) devem ser corrigidas imediatamente, mesmo ao custo de alguma continuidade de negócios. No entanto, há momentos em que a vulnerabilidade ou o software afetado é menos crítico. Nesses casos, adiar o patch até o próximo patch agendado predeterminado é um risco aceitável.
No geral, para profissionais de segurança e equipes de TI que estão constantemente tentando descobrir a melhor forma de proteger o castelo sem perder a eficiência dos negócios, é importante ter uma compreensão fundamental de qual risco é aceitável e qual risco é absolutamente inaceitável. Sem essa compreensão, as organizações estão apenas adivinhando o equilíbrio certo entre as políticas e práticas que protegem os negócios e seus principais ativos e aquelas que facilitam a execução.