6 Minutos de leitura 10 dez 2019
bombeiros em uma aeronave

Como gerenciar riscos cibernéticos com uma abordagem Security by Design

6 Minutos de leitura 10 dez 2019

O Security by Design é uma nova abordagem à segurança cibernética que se baseia no pensamento de risco desde o início, permitindo a inovação global com confiança.

A
tualmente, a maioria das organizações sabe que deve adotar novas tecnologias e inovar continuamente para permanecer competitiva e relevante. No entanto, na pressa de modernizar seus sistemas e operações, eles introduzem múltiplas vulnerabilidades em seus negócios e se expõem a um número crescente de riscos.

Enquanto isso, sempre há mais possíveis invasores prontos para explorar esses pontos fracos, com acesso praticamente ilimitado a uma infinidade de softwares e serviços a apenas um clique de distância. Esses atores de ameaças não se concentram mais no roubo de dados na visão da monetização, como costumavam fazer antes. Houve um grande aumento de ataques de motivação política, muitas vezes até no nível estadual. Também testemunhamos o surgimento do 'hacktivismo' e do ciberterrorismo como grandes ameaças à segurança cibernética em todo o mundo. Qualquer pessoa com ressentimento, um argumento a fazer ou simplesmente um desejo de causar danos pode fazê-lo facilmente.

Bombeiros a prepararem-se
(Chapter breaker)
1

Capítulo 1

À medida que os níveis de ameaça aumentam, estão em jogo laços cruciais de confiança

As consequências para organizações e instituições podem ser catastróficas e até ameaçar sua própria sobrevivência.

O resultado mais óbvio dos ataques cibernéticos é a perda financeira, seja como resultado de uma fraude, sendo forçada a pagar resgates, sujeita a multas ou por falta de receita e custos de oportunidade. Estima-se que as empresas americanas tenham perdido US $ 654 bilhões em ataques cibernéticos apenas no último ano. Este ano já está programado para ser pior.

No entanto, as organizações não são as únicas à mercê dos cibercriminosos. Uma parte crescente das infraestruturas administradas pelo governo nos estados modernos agora é gerenciada on-line, profundamente interconectada e repleta das mesmas vulnerabilidades das empresas. Os ataques a esses sistemas têm o poder de perturbar regiões e países inteiros, causar um caos incalculável e até resultar em danos físicos reais a indivíduos. Em 2016, os hackers conseguiram desligar a rede elétrica de uma região inteira da Ucrânia, deixando 230.000 pessoas sem eletricidade por horas.

O cibercrime e o hacking podem ter um impacto material em escala social, em particular através da disseminação voluntária da desinformação. A disseminação de notícias falsas durante eventos políticos cruciais na história recente mostrou que, mesmo por meio de canais e conteúdos pouco confiáveis, muitas vezes mal construídos, a disseminação de informações falsas pode gerar graves consequências. Esses efeitos podem se estender ainda mais quando a desinformação é espalhada por canais legítimos. Quando, em 2013, a conta do Twitter da Associated Press foi hackeada para publicar uma manchete de última hora sobre um ataque a bomba na Casa Branca ferindo o presidente Barack Obama, US $ 136 bilhões em valor de mercado de ações foram varridos do Dow Jones quase que instantaneamente. 

Em última análise, o efeito mais prejudicial e duradouro destes incidentes, particularmente quando não são tratados e mitigados rapidamente, é a perda de confiança entre as pessoas e as organizações ou instituições de que dependem. As partes interessadas, funcionários, terceiros e consumidores, por um lado, contribuintes e eleitores, por outro; todos esperam um desempenho consistente e confiável, bem como a salvaguarda da sua própria segurança e proteção, tanto em linha como fora de linha. Quando a confidencialidade, integridade ou disponibilidade dos dados são comprometidas, ou produtos e serviços deixam de funcionar como esperado, a confiança construída ao longo dos anos pode ser perdida em um dia.

Seamean a trabalhar no mar
(Chapter breaker)
2

Capítulo 2

Ciber-segurança: um mercado complexo e orientado para a crise

As organizações estão lutando para manter uma função de segurança clara, coesa e eficiente.

Muitas organizações hoje em dia adotam uma abordagem meramente reativa à cibersegurança, tomando medidas somente após um ataque ter ocorrido, uma falha ter sido encontrada, multas incorridas, ou legislação aprovada. Os primeiros resultados do EY Global Information Security Survey 2020 de quase 1.300 líderes de segurança cibernética, revela que 65% das empresas só consideram a segurança cibernética depois de já seja tarde demais. Há uma clara tendência para a adaptação de ferramentas de segurança em torno de sistemas existentes, simplesmente marcando itens nas listas de verificação de conformidade, em vez de construir segurança em novos produtos e serviços com base em cálculos prévios de risco empresarial.

EY Global Information Security Survey 2020

65%

das empresas só consideram a cibersegurança depois de já seja tarde demais — revelam 1.300 líderes de cibersegurança.

Essa mentalidade da lista de verificação não é apenas ineficiente, mas também está na raiz de vários problemas que dificultam o papel e a eficácia da segurança cibernética. Em primeiro lugar, há o fato de que os CISOs e as equipes de segurança são percebidos como obstáculos nos negócios que precisam inovar rapidamente para sobreviver. Em segundo lugar, essa mentalidade deu origem a um mercado de segurança extremamente fragmentado e complexo, composto por milhares de fornecedores competindo por gastos com segurança. Esse contexto pode tornar incrivelmente difícil para as organizações manter uma função de segurança clara, coesa e eficiente.

À medida que os conselhos e as suites C começam a compreender a importância da função de segurança, começam a ver a clara necessidade de uma nova abordagem que lhes permita perseguir a inovação com confiança, minimizando e gerindo os muitos riscos colocados pela cibercriminalidade.

Caminhante com arnês pronto para saltar
(Chapter breaker)
3

Capítulo 3

Segurança por Design: salvaguardando a confiança na Era da Transformação

A segurança como um pensamento posterior não é mais suficiente para proteger eficientemente as operações e manter a confiança em todos os níveis de uma organização.

As equipes de segurança cibernética dos olhos acreditam que é hora de uma nova abordagem de segurança cibernética: uma abordagem proativa, pragmática e estratégica que considera o risco e a segurança desde o início de qualquer nova iniciativa, e alimenta a confiança em cada etapa. Isto é Security by Design. 

Em vez de evitar riscos, o Security by Design visa permitir a confiança em sistemas, projetos e dados, para que as organizações possam correr mais riscos, liderar mudanças transformacionais e inovar com confiança.

No campo em constante crescimento da Inteligência Artificial (IA), por exemplo, a necessidade de tal abordagem está se tornando cada dia mais clara. As duas formas mais comuns de Machine Learning (ML) que compõem este campo – sem supervisão e supervisão – são alvos privilegiados para a subversão. Os resultados produzidos por estes métodos dependem naturalmente dos algoritmos que os dão vida. No entanto, mesmo os algoritmos de última geração levarão a resultados corrompidos se os dados que os alimentaram forem manipulados.

Atualmente, não é prestada atenção suficiente à proteção da integridade dos dados que alimentam os sistemas de ML no coração de cada vez mais produtos e serviços comuns. Os cibercriminosos sabem disso e podem, em princípio, atacar os sistemas adicionando, excluindo ou alterando conjuntos de dados subjacentes. A maioria dos sistemas digitais existentes hoje já correm o risco de tais manipulações.

No entanto, à medida que a IA expande o âmbito das decisões automatizadas, os riscos também se expandem. Por exemplo, sistemas de tráfego aéreo programados para ajustar automaticamente a velocidade ou altitude da aeronave com base em dados potencialmente adulterados – ou software ML projetado para detectar problemas médicos, onde dados corrompidos levam os algoritmos a ignorar sinais de câncer. Tais resultados profundamente indesejáveis só podem ser evitados pela implementação de protocolos adequados de gestão de dados, identidade e acesso no núcleo dos sistemas de IA.  

A crescente onipresença de dispositivos da Internet das Coisas (IoT) fornece outro argumento convincente para uma abordagem de segurança por design. Os consumidores confiam cada vez mais nos produtos de IoT, que eles permitem em suas casas e confiam informações muitas vezes altamente sensíveis e pessoais. No entanto, há pouco para justificar tal confiança na maneira como esses dispositivos são normalmente fabricados.

Os dispositivos de IoT envolvem três etapas separadas em sua montagem. Esse processo começa com chips de computador especializados, construídos com o mínimo de engenharia ou sobrecarga possível, para não impactar margens já muito reduzidas. Esses chips são então passados para os fabricantes de dispositivos originais (ODM), contratados para criar especificações, feitos com uma combinação de software livre e de software proprietário. Mais uma vez, o objetivo aqui é maximizar as margens, com pouca consideração pela segurança ou desempenho além das funções necessárias. Por fim, a empresa de marca voltada para o consumidor carrega sua própria interface e ajusta os dispositivos apenas o suficiente para garantir que eles funcionem. Em cada estágio, o foco é maximizar os lucros, em vez de garantir a segurança ou a integridade

Essa abordagem de curto prazo, com lucro primeiro, é uma receita certa para o desastre. Em 2015, uma marca automotiva líder foi forçada a recuperar 1,4 milhão de veículos depois que especialistas em segurança invadiram o sistema de informação e entretenimento de seus carros e demonstraram que quase qualquer um podia acessar e controlar as principais funções, incluindo quebra e direção. Como fabricantes de automóveis e governos em todo o mundo lideram um esforço conjunto em direção a carros inteligentes e cidades reforçadas pelas tecnologias da IoT, a necessidade de maior segurança é evidente.

O que esses exemplos têm em comum? Eles não são mais simplesmente inovações de nicho. Eles são os sistemas globais de rede de amanhã que se tornarão interconectados e formarão cada vez mais a base de tudo o que fazemos no dia a dia. É extremamente urgente que as organizações e instituições que desenvolvem e usem essas tecnologias e adotem uma perspectiva de segurança pelo design. Aqueles que não o fazem correm uma infinidade de riscos, da ruína financeira ao caos estrutural, culminando no colapso muitas vezes irreparável da confiança. Uma abordagem proativa, pragmática e estratégica que considere o risco desde o início – e não como uma reflexão tardia – pode fazer a diferença entre aqueles que fracassam e aqueles que prosperam na Era da Transformação. 

Resumo

Este artigo avalia o cenário atual de segurança cibernética e procura inspirar as organizações a adotarem uma nova abordagem para gerenciar a segurança na Era da Transformação. Hoje, as organizações precisam inovar para sobreviver, mas enfrentam ameaças cada vez maiores de ataques cibernéticos. À luz de consequências potencialmente desastrosas, as organizações precisam de uma nova perspectiva que considere esses riscos desde o início de qualquer produto ou serviço, e não como uma reflexão tardia.

Sobre este artigo