Muitas empresas enfrentam um dilema para manterem-se competitivas no mercado digital: como criar uma cultura de inovação, ao mesmo tempo em que mantêm seus dados seguros e protegidos de ataques e vazamentos?
Em um ambiente no qual grandes corporações enfrentam o desafio de transformação digital dos seus negócios, enfrentando muitas vezes novos e ágeis players, a necessidade de inovação e agilidade surge como uma questão de sobrevivência dessas empresas. E, nessa corrida, uma questão chave incomoda muitas dessas empresas: como criar uma cultura de inovação, ao mesmo tempo em que mantêm seus dados seguros e protegidos de ataques e vazamentos que podem destruir a empresa da mesma forma que a falta de inovação e agilidade?.
Tradicionalmente, o assunto sempre encontrou importância quando se tratava de segurança de dados internos da companhia, mas a responsabilidade sobre ele sempre esteve nas mãos da TI, em especial da área de segurança. O dia a dia da área era construir “muros de proteção" em volta da empresa com os famosos firewalls, que bloqueavam as ameaças e resguardavam os dados dentro da empresa.
Hoje, porém, não existe mais esse conceito de muro digital. Essa fronteira é completamente difusa e não há mais volta. Até pela necessidade de agilidade, velocidade e inovação impostas pelo digital, a empresa está nos celulares dos colaboradores, nos laptops e nos pen drives que entram e saem da empresa todos os dias. Os serviços estão na nuvem e existe a necessidade de abrir-se para parceiros de negócio por meio de Open Innovation, como as APIs e os aplicativos de SaaS. Tudo isso insere uma complexidade gigantesca em termos de controle de tráfego de dados confidenciais e segurança das informações.
Além disso, esqueça a ideia do cyber-criminoso como um hacker, na figura de um jovem genial, autodidata e com poucos recursos, que se arrisca geralmente sozinho a cometer pequenos delitos pelo desafio ou recompensas irrisórias. A realidade de hoje é bem mais dramática. Agora trata-se de crime organizado formado pelos chamados black hat hackers. São atores muito inteligentes, altamente motivados, velozes e focados trabalhando incansavelmente para roubar dados de empresas ou descobrir vulnerabilidades que possam ser comercializadas.
Então, quando pensar em inovação como seu principal foco, quando for bombardeado por artigos que dizem que sua empresa está a uma inovação de distância de perder o jogo; não esqueça que ela também está a um vazamento de informações de ser apagada do mercado. E aqui, não há exageros - e muito menos análise parcial em defesa do tema ao qual nos dedicamos -, há fatos. Apenas para ilustrar o risco, vamos citar dois casos bastante representativos e recentes.
Em setembro de 2017, o Equifax, considerado um dos três maiores bureaus de crédito dos Estados Unidos, teve um vazamento monstruoso de dados de clientes em um cyber ataque. Em anúncio oficial, a empresa confirmou que 2,4 milhões de clientes tiveram seus dados expostos. Como resultados, até o momento, podemos contar o desligamento do CEO Richard Smith, o valor de mercado da companhia que despencou e - até o final do mês de abril - Us$ 242.7 milhões já haviam sido gastos para sanar danos, pagar multas e prevenir futuros ataques. Além, é claro, da grave crise de imagem que hoje está nas mãos do novo CEO, Mark Begor.
"Minha expectativa é que haverá um trabalho que irá além de 2018 para completar nossa segurança de dados e reconstrução de infraestrutura." - Mark Begor
E em outubro de 2016, a emblemática companhia digital Uber foi vítima de um black hat hacker que roubou dados confidenciais de 57 milhões de motoristas e usuários do aplicativo. Além da má gestão da segurança da informação, a companhia ainda tomou decisões desastrosas como a de ocultar o fato do mercado e das vítimas e a de comprar o silêncio do hacker (foi paga uma quantia de Us$ 100 mil). Os responsáveis - o CEO, Travis Kalanick e o Chief Security Officer, Joe Sullivan - foram afastados. Esse incidente só se tornou público no final de 2017, abalando seriamente a credibilidade da companhia junto ao mercado e aos consumidores.
Analisadas as condições com as quais as empresas geralmente têm tratado as questões que se relacionam ao controle de tráfego e à segurança de dados, esses cyber ataques tendem a acontecer com cada vez mais frequência.
E o risco torna-se ainda mais danoso com entrada em vigor no dia 25 de maio último das novas e rigorosas leis de privacidade de dados na União Europeia, que são a inspiração para o novo Marco Civil da Internet Brasileira. A chamada Regulação Geral de Proteção de Dados da UE (GDPR), prevê alto controle e penalidades altíssimas para empresas infratoras. Considerados os valores das multas, basicamente, se uma companhia tiver a posse de dados cadastrais sigilosos de pessoas e se envolver em um vazamento de informações - seja por negligência ou qualquer ilegalidade prevista no novo estatuto -, ela pode simplesmente deixar de existir do dia para a noite.
E, enquanto escrevemos este artigo, o PL 4060/2012, aprovado pela Câmara de Deputados brasileira no dia 29 de maio, avança rumo ao Senado com seus conceitos parecidos aos da GDPR.
Avaliando todos esses fatos e o peso deles para a empresa, responda a pergunta: qual foi a última vez que segurança da informação foi pauta na agenda do CEO de sua companhia?
É hora de quebrar silos
Essa frase, usada quase como mantra no mercado quando o assunto é criar ambientes de colaboração e construir uma nova cultura organizacional inspirada nas startups, se repete aqui. A garantia da segurança da informação deve extrapolar o escopo de atuação das áreas de TI, das áreas de backoffice, e tornar-se uma responsabilidade clara do CEO e, em última análise, de toda a empresa. Cada área, cada colaborador tem que estar plenamente ciente, treinado e comprometido com ela.
Portanto, listamos aqui os principais fundamentos para construir uma empresa capaz de inovar com segurança, de uma forma sustentável e ágil.
SEIS PILARES PARA INOVAR COM SEGURANÇA
1 - Ameaças sempre evoluem e são reinventadas; então, esteja sempre antenado
As ameaças evoluem na mesma velocidade que as inovações acontecem. Para dar alguns exemplos, no dia 12 de maio de 2017, um ransomware - ou "sequestrador" de dados digitais - chamado WannaCry causou um caos imenso em diversos países do mundo paralisando grandes órgãos públicos que ainda rodavam uma versão desatualizada do Windows. Esses malwares costumam paralisar máquinas e pedir dinheiro como resgate. No Brasil, ele paralisou o Ministério Público do Estado de São Paulo (MPSP), o TJSP e o INSS.
Hoje porém, um dos cyber crimes mais comuns é o dos chamados criptojackings, que "roubam" força computacional de máquinas pessoais ou empresas para minerar criptomoedas.
Então, é fundamental refletir constantemente sobre como as ameaças estão evoluindo e como revisar cada acesso ou política de segurança da empresa de acordo com essas novas ameaças. A necessidade é a de fazer o ciclo contínuo do PDCA (Plan Do Check Act) para revisar e eventualmente modificar suas ferramentas, seus processos e sua forma de avaliar os riscos.
2 - Security by design e DevSecOps
É preciso pensar a segurança desde a fase de desenvolvimento dos softwares, da discussão com o cliente a respeito das necessidades do negócio, e não apenas no fim dessa cadeia, quando as soluções entram em produção. Passando pelo levantamento de requisitos e desenvolvimento do código, o assunto da segurança da informação deve estar presente em todo o caminho. Esse olhar sobre a solução que se deve adotar daqui em diante, que integra tanto o time de desenvolvimento quanto o de operações, é conhecido comumente no mercado como DevOps.
E para enfatizar a necessidade de que esses times tratem o tema da segurança com o mesmo peso dos ouros nesse caminho, aqui usamos o termo mais preciso e atual cunhado pelos profissionais da área: DevSecOps.
De uma forma bem prática, o DevSecOps adiciona ao ciclo de DevOps ferramentas que checam automaticamente a segurança do código que está sendo desenvolvido, e emitem alertas se encontrada alguma irregularidade. A partir do alerta, as equipes discutem conjuntamente com a área de negócios a respeito da real necessidade do que está sendo produzido e tomam a decisão por ajustes ou descarte da solução.
Um grande case do bom uso do DevSecOps é a Netflix. Uma das empresas mais inovadoras do mundo, a Netflix coloca o mesmo peso para a necessidade de inovação e segurança porque entende que a primeira não existe sem a outra. A empresa insere a segurança dentro de todos os processo para automatizar essas tarefas e integrar os times em uma mesma linguagem em torno do mesmo foco. O resultado está aí para todos verem. A empresa cresce ano a ano, com solidez e inovação garantindo melhoria contínua adequada, interessante e segura.
3 - Abra-se para refletir sobre a necessidade de mudança e adaptação a novos requisitos do negócio
Um grande exemplo aqui é o nascimento do Iphone. Terror das áreas de segurança quando surgiu, foi barrado em muitas empresas em um primeiro momento, assim como todos os outros smartphones que vieram nessa esteira. E aqui entra um pouco do que foi tratado no pilar anterior. A necessidade de avaliar a real necessidade, o valor daquela inovação para negócio e adaptar a segurança nessa direção. O papel da área de segurança deve ser o de suportar o negócio e não o de barrar possibilidades. As novas tecnologias, quando integradas com segurança podem trazer grandes benefícios, muito além do risco que elas trazem quando bem integradas. Para isso, as áreas de Segurança da Informação e TI precisam estar muito próxima ao negócio, entendendo seus desafios, ambições e apostas, refletindo sempre como conseguem ajudar para que esses objetivos sejam atingidos, e mantendo um diálogo constante para até mesmo revisar suas políticas e decisões do passado quando o negócio assim exigir e as apostas forem maiores do que os riscos envolvidos.
4 - Bloquear só o que é crítico e monitorar o resto
Este pilar é uma sequência natural do anterior. Historicamente, os departamentos de TI preferiam bloquear ao máximo as permissões e acessos dos colaboradores das empresas. Essa era a resposta mais segura e fácil em ambientes de mercado previsíveis e companhias avessas ao risco, e que funcionou por um bom tempo. Hoje, a necessidade é a de fazer apostas para conseguir grandes soluções para os usuários internos e o consumidor final com agilidade.
Equilibrando risco real com inovação e criando mecanismos de controle que possibilitem o uso dessas novas tecnologias, ferramentas ou soluções com segurança, pode-se alcançar esse objetivo. Mas deve-se estar ciente, sempre, que talvez não se consiga zerar o risco e, por isso, é preciso estar em constante monitoramento do que está em uso.
Soluções de segurança cada vez mais têm introduzidos features para monitoramento de comportamento de usuários, detecção de eventos anômalos e machine learning/deep learning, de forma transparente para usuários, minimizando ao máximo o risco para o negócio e abrindo espaço para a inovação sem inserir muitas restrições e bloqueios.
5 - Invista fortemente na capacitação e conscientização dos seus colaboradores e parceiros de maneira inovadora.
Como dito no início deste artigo, segurança é responsabilidade compartilhada. Cada participante da cadeia é uma fonte de vazamento de informação em potencial. A responsabilidade com a proteção dos dados sigilosos da empresa é de todos os colaboradores e de parceiros de negócios. Para isso, porém, existe a necessidade de formação, de capacitação para conscientizar a todos a respeito de riscos, cuidados e procedimentos corretos que devem ser adotados. A segurança deve estar inserida na cultura da empresa de maneira muito contundente.
Na hora de planejar e estruturar seu programa de capacitação e conscientização, o primeiro passo passa necessariamente por uma avaliação da cultura da empresa e do público alvo. O programa pode envolver desde um tradicional treinamento online, imitando uma sala de aula, até formas mais inovadoras e interativas, usando para isso uma combinação de canais online e offline.
6 - Pensar na experiência (UX) de quem vai usar
Neste último pilar, ampliaremos a questão da experiência do usuário tratada no pilar 4. Para que os procedimentos de segurança sejam de fato adotados, eles não podem comprometer o trabalho das pessoas, afetando a performance das máquinas, por exemplo. Assim, deve ser realizado um trabalho de design thinking que pense no usuário. É necessário perguntar às equipes que estão na ponta qual o impacto da solução pensada na performance de um colaborador? Ela vai afetar o seu trabalho? Como conseguir ter a proteção, mas minimizar o impacto na experiência dele? Assim, é preciso incluir os colaboradores nas decisões, deixando sempre muito claras as necessidades do negócio e trazê-los para participar ativamente do desenho de soluções.
Sem esses pilares, não vemos possibilidade de uma empresa sobreviver a longo prazo dadas as condições já expostas. As empresas, para além de CTOs e CIOs, devem estar cientes de que não existe produto inovador sem ter a segurança da informação atrelada a ele. Assim, a hora é a do CEO pensar em segurança da informação como um poderosos business enabler, que não apenas garante a proteção de sua empresa, mas que é capaz de trazer oportunidades de crescimento e de fazer da companhia um agente de disrupção com solidez e sustentabilidade.
Ref: Artigo