No ano passado, na Black Hat Europe, conversei com um dos nossos analistas de segurança sênior, Paul Stringfellow. Nesta parte da nossa conversa (você pode encontrar a primeira parte aqui), discutimos o equilíbrio entre custo e eficiência e o alinhamento da cultura de segurança em toda a sua organização.
Jon: Então, Paul, num ambiente onde há problemas por toda parte e você tem que resolver todos eles, precisamos ir além disso. Na nova arquitetura que temos agora, precisamos pensar de forma mais inteligente sobre o risco geral. Isso está relacionado ao gerenciamento de custos e ao gerenciamento de serviços – ser capaz de classificar nossa arquitetura com base no risco e na exposição reais de uma perspectiva de negócios.
Então, me convenci de que precisava comprar uma ferramenta para isso porque percebi que, para reduzir para 50 ferramentas, primeiro precisava ter um entendimento claro da nossa postura de segurança. Poderemos então decidir quais ferramentas usaremos para realmente responder a esse gesto, pois teremos uma ideia mais clara da nossa exposição.
Paulo: A compra de ferramentas remonta às esperanças e sonhos do fornecedor – que uma ferramenta resolverá todos eles. Mas acho que a realidade é que é necessário compreender quais métricas são importantes. Entenda as informações que coletamos, o que é importante e equilibre o risco técnico com o impacto nos negócios. Você já fez uma boa observação: se algo é arriscado, mas tem um impacto pequeno, então temos um orçamento limitado. Então, onde o gastamos? Você quer o melhor “retorno do seu investimento”.
Então é entender os riscos do negócio. Identificamos o risco de uma perspectiva técnica, mas qual a sua importância para o negócio? Isso é uma prioridade? Depois de priorizarmos os riscos, podemos descobrir como enfrentá-los. Há muito o que desvendar com a pergunta que você fez. Para mim, trata-se de fazer o trabalho preliminar para entender onde estão nossos controles de segurança e onde estão nossos riscos. O que é realmente importante para nós como organização? Volte às métricas que importam – elimine o ruído e identifique as métricas que nos ajudam a tomar decisões. Então, veja se estamos medindo essas métricas. Nesta base, avaliamos os riscos e implementamos os controlos adequados para os mitigar. Fazemos trabalho de gerenciamento de postura. Nossas ferramentas atuais são capazes de lidar com esta situação? Esse é apenas o lado interno das coisas, mas também existe o risco externo, que é uma conversa completamente diferente, mas é o mesmo processo.
Então, olhando para as ferramentas que temos, quão eficazes são na mitigação dos riscos que identificamos? Existem muitas estruturas de gerenciamento de risco, então você pode encontrar uma que se encaixe, como o NIST ou outras. Encontre uma estrutura que funcione para você e use-a para avaliar como suas ferramentas gerenciam riscos. Se existir uma lacuna, procure ferramentas que possam preenchê-la.
Jon: Estou pensando nesta estrutura porque ela diz essencialmente que há seis áreas que precisam ser abordadas e talvez uma sétima área que pode ser importante para a sua organização. Mas pelo menos mantenha estas seis áreas como caixas de seleção: Estou abordando a resposta ao risco? Estou lidando com a coisa certa? O que isso oferece não é uma visão de Pareto, mas retornos decrescentes – cubra primeiro as coisas mais simples. Não tente resolver todos os problemas antes de resolver os problemas mais comuns. É isso que as pessoas estão tentando fazer agora.
Paulo: Sim, acho, deixe-me citar outro podcast que fiz onde fizemos “Technology Delivery”. Sim, quem sabe? Pensei em conectá-lo. Mas se você pensar nas conclusões desta conversa, penso, você sabe, voltando à sua pergunta – o que devo pensar como organização? Acho que o ponto de partida pode ser dar um passo atrás. Como empresa, como líder de TI dentro da empresa, preciso dar um passo atrás e realmente entender como é o risco? Quais são os riscos para o negócio? O que precisa ser priorizado? Precisamos então avaliar a nossa capacidade de medir a nossa eficácia contra esse risco. Obtemos muitos indicadores e ferramentas. Essas ferramentas são eficazes para nos ajudar a evitar os riscos que consideramos importantes para o nosso negócio? Depois de respondermos a essas duas perguntas, podemos analisar nossa postura. As ferramentas existentes nos fornecem os controles necessários para enfrentar as ameaças que enfrentamos? O fundo é enorme.
Jon: Neste ponto, lembro-me que organizações como o Facebook têm uma tolerância bastante elevada ao risco empresarial, especialmente quando se trata de perfis de clientes. O crescimento é tudo – alcance-o a todo custo. Portanto, estão preparados para gerenciar riscos para atingir esse objetivo. Em última análise, tudo se resume a avaliar e assumir esses riscos. Nesse ponto, esta não é mais uma conversa técnica.
Paulo: Exatamente. Pode nunca ser apenas uma conversa técnica. Para entregar projetos que abordem questões de risco e segurança, nunca deve ser puramente liderado pela tecnologia. Afeta a forma como uma empresa opera e seu fluxo de trabalho diário. Nenhum projeto de segurança terá sucesso se todos não concordarem sobre o motivo pelo qual você está fazendo isso. Você receberá reação das pessoas no topo que dirão: “Você está apenas atrapalhando. Pare”. Você não pode ser o departamento que atrapalha. Mas você precisa construir uma cultura em toda a empresa de que a segurança é importante. Se não priorizarmos a segurança, todo o trabalho árduo que todos fizeram poderá ser desperdiçado porque não fizemos o trabalho de base para garantir que não haja vulnerabilidades esperando para serem exploradas.
Jon: Eu estava pensando nas muitas conversas que tive com fornecedores sobre como vender produtos de segurança. Você vendeu, mas nada foi implantado porque todo mundo está tentando impedir isso – eles não gostam disso. A realidade é que as empresas precisam trabalhar em direção a determinados objetivos e garantir que tudo esteja alinhado para chegar lá.
Paulo: Uma coisa que notei em mais de 30 anos neste trabalho é que os fornecedores muitas vezes têm dificuldade em explicar por que podem ser valiosos para o negócio. Nosso diretor de operações, Howard Holton, é um grande defensor desse argumento: os fornecedores são ruins em dizer às pessoas o que estão realmente fazendo e onde estão os interesses do negócio. Mas uma das coisas que ele me disse ontem foi sobre a abordagem deles. Conheço um representante que trabalha para um fornecedor que fornece ferramentas de orquestração e automação, mas quando iniciou uma reunião, a primeira coisa que fez foi perguntar por que a automação não estava funcionando para o cliente. Ele dedica um tempo para entender onde estão os problemas de automação antes de propor uma solução. Se mais de nós (sejam fornecedores ou não) estivéssemos fazendo isso, se começássemos perguntando “O que não está funcionando para você?” talvez pudéssemos descobrir melhor o que acontece.
Jon: Por isso, oferecemos dois pontos-chave para os usuários finais: focar no gerenciamento de riscos e simplificar e melhorar as métricas de segurança. Para os fornecedores, o foco está em compreender os desafios do cliente antes de propor uma solução. Ao ouvir os problemas e necessidades dos clientes, os fornecedores podem fornecer soluções relevantes e eficazes, em vez de simplesmente venderem os seus desejos. Obrigado, Paulo!
O artigo Compreendendo a segurança cibernética – Parte 2: Entregando uma resposta econômica apareceu pela primeira vez no Gigaom.


