Os fornecedores de serviços e soluções de segurança da informação e segurança cibernética são desafiados diariamente pelos problemas de clientes em variadas vertentes nessas duas categorias da cibernética. Embora os desafios estejam sendo continuamente vencidos, outros novos e desconhecidos surgem a cada dia, cada um deles um obstáculo tanto no caminho da maturidade de segurança das empresas quanto na construção da sua capacidade de resiliência, explica Felipe Prado, Master Security Information Advisor da Kyndryl. “O que vemos muito é que o cliente raramente se dá conta do tamanho do problema da segurança da informação e do tamanho dos seus desafios. As pessoas pensam muito em ‘caixinhas’. Mas quando expandem seus horizontes, descobrem que o problema é maior. Falando da digitalização do mundo que agora estamos vivendo, um mundo interconectado, poucos imaginam, por exemplo, o que é possível fazer por meio da IoT”.
Para ajudar os clientes em sua jornada para a maturidade, Felipe explica que é preciso primeiro entendê-los como um todo “e mostrar aquilo que eles precisam ver – seja em relação a gerenciamento de identidades, seja em relação a security como um todo, falando de NIST, falando de ISO, seja no zero trust, trazendo um entendimento de como está o seu mundo interno – até para o cliente saber se está pronto para adorar zero trust ou falar desse assunto”.
Os clientes da Kyndryl, explica Felipe, estão em diferentes fases de maturidade em termos de cibersegurança: quando são do setor financeiro segundo ele, estão mais bem preparados. “Mas quando se fala de outras indústrias como agronegócio, varejo, seguros e saúde, o estado varia”. O destaque agora está com a área de saúde, detalha Felipe, porque nela têm sido encontradas muitas vulnerabilidades nos dispositivos médicos conectados – “além dos descuidos com as credenciais que vêm dos fabricantes. Quando se fala de uma política de senhas num hospital, muitas vezes é um desafio, porque isso é um problema no dia-a-dia deles”, acrescenta.
Veja isso
CISOs veem suas empresas sem resiliência cibernética
Porto de Los Angeles abre centro de ciber-resiliência
Felipe observa que o caminho para o amadurecimento da segurança em qualquer organização começa com uma avaliação: “A gente começa com o assessment, seja um ‘fast assessment’ ou mais profundo, entende o ambiente do cliente e discute com ele um plano de ação, para associar a segurança à sua estratégia de negócio. Não adianta atacar aquilo que para ele não vai gerar nenhum valor, nenhum retorno associado à estratégia do negócio. Começamos com isso, entendemos o ambiente, avaliamos com ele toda a estrutura de processos, de pessoas, de tecnologia, e tentamos mostrar a segurança como um todo. Daí sai um planejamento alinhado ao modelo de negócios e às priorizações da empresa”, detalha ele.
“O que eu quero dizer é que a gente precisa alinhar segurança ao business, porque é o business que paga a área de segurança. A gente tem de suportar o business e ser encarado como uma área de backoffice. A gente não pode ser somente ‘uma área que diz não’. A área de segurança já acabou com esse estigma de ser ‘a área que diz não’ – ela é uma área de backoffice e tem que dar suporte ao negócio. Eu bato muito nessa tecla porque é muito importante que a gente suporte negócio”, acrescenta o consultor da Kyndryl.
O fortalecimento da resiliência, segundo ele, envolve uma análise da tríade formada pela tecnologia, pessoas e processos: “A gente entende os problemas do cliente, vê o que que está acontecendo, começa fazendo o suporte com aquilo que ele tem. Obviamente, se ele não tiver alguma coisa para suportar o seu processo de resiliência em cybersecurity, a gente propõe alguma coisa – uma ferramenta de workflow, uma ferramenta de suporte, aquilo que para ele é importante naquele determinado momento. Mas é fundamental entender o que o cliente está passando, entender o que o cliente tem dentro de casa para ele não ter de pensar em investimento pelo menos naquele primeiro momento. É entender quais são os seus problemas e entender quais os problemas da indústria daquele cliente. Aí, sim, propõe-se um plano para que ele possa ter melhorias não só na sua cibersegurança como na sua resiliência. A gente precisa aprender com os problemas, melhorar o que a gente já tem, e aí criar novas camadas de proteção em cima daquele aprendizado”.
Apesar desses cuidados, nem todos os clientes completam o percurso recomendado pelos especialistas, observa Felipe: “Há processos críticos que vão até o fim. Mas há outros, de ‘remediação’, que são interrompidos por circunstâncias que surgem nas empresas. São raros mas ocorrem”. Ele lembra que infelizmente o tema segurança não é bem conhecido ou agradável para todas as pessoas de uma empresa: “Com cada área você precisa usar uma abordagem e uma linguagem diferente. O CISO precisa ver o problema como um todo – mas é preciso saber traduzir o problema adequadamente para cada área”.
