A Expansão Digital e os desafios da cibersegurança em 2020

por Carlos Carnevali Jr, presidente da CYLK Technologing.

Em uma universidade, um aluno honesto avisou ao professor que metade das questões da prova eram as mesmas do ano anterior. “É que neste ano as respostas são diferentes”, retrucou o docente. Em Cibersegurança, todavia, o final desta década é marcado por mais desafios inéditos, que por sua vez aumentam a pressão para resolver os velhos problemas.
 
Se olharmos as análises e previsões de pesquisadores do Gartner, IDC, NSS Labs e outros institutos, grande parte das advertências e recomendações tem a ver com os vetores típicos da Transformação Digital (nuvem, mobilidade, leis de proteção de dados, computação cognitiva etc.).
 
Embora esse movimento ainda esteja em pleno curso, os termos ficam menos repetitivos na parte em que os analistas tratam dos desafios da Expansão Digital – novos modelos de interconexão de aplicações, dados, dispositivos e pessoas, que já se esboçam nas companhias ou nas cadeias produtivas mais inovadoras. Sem a pretensão de esgotar as “previsões para 2020”, muitos dos destaques dos analistas já são assunto entre quem vive o dia a dia e responde pelas estratégias da cibersegurança.
 
1) Inteligência artificial (IA) e machine learning (ML) para o bem e para o mal – conforme o IDC, até o final do próximo ano pelo menos metade dos SOCs (Security Operating Centers) adotam ferramentas de automação e inteligência artificial.
Os ganhos de produtividade, com agilidade e escala, são mandatórios inclusive porque o outro lado também conta com recursos para automatizar testes, usar tráfego inofensivo para aprender os modelos de segurança e moldar os ataques. IA, ML e outras tecnologias cognitivas são imprescindíveis nas soluções tecnológicas e serviços de cibersegurança. Mas não se trata de uma guerra de algoritmos. A supervisão especializada é cada vez mais crítica, até para as inferências estatísticas de ML e IA não acabarem se voltando contra o defensor.
 
2) Cibersegurança na agenda dos stakeholders – outra projeção da IDC é que a partir de 2020, as companhias listadas em bolsa passam a incluir as políticas de cibersegurança no business plan e nos relatórios institucionais.
Multas por riscos evitáveis de violação de privacidade, com as regulações; prejuízos operacionais (ou até mesmo danos a pessoas, no caso de infraestruturas críticas de energia ou transporte) com ataques a equipamentos conectados e redes de IoT; junto ao agravamento do risco de mercado com a perda da confiança digital, levam a cibersegurança para além das áreas de TI.
 
3) Segurança, Compliance, DevOps e User Experience (UX); criatividade para convergir – o segundo ano de vigência da GDPR começa com uma multa de € 50 milhões, aplicada ao Google na França, e o recorde já foi quebrado pela autoridade do Reino Unido, que penalizou a British Airways em mais de € 200 milhões.
Em contraposição a essa agenda negativa, segundo o Gartner, a partir de 2018, 20% das empresas, incluindo as de regiões sem regulação de privacidade, começaram programas sistemáticos de governança de dados.
 
Pela projeção da IDC, nos próximos dois anos 35% das transações B2C serão feitas sem senha e com alta confiança.
 
A atual função do provedor de soluções e Serviços Gerenciados de Segurança (MSS) é exatamente fazer convergir esses vetores; tornar a segurança um habilitador de novos modelos de negócio.
Na Europa, por exemplo, empresas de serviços adotaram esquemas de tokens e anonimização, e conseguiram em uma só ação mitigar riscos relacionados à GDPR e reduzir barreiras a novos serviços personalizados.
 
A regulação e a agressividade do cibercrime também não representam necessariamente entraves a modelos ágeis e outras mudanças. Segundo o Gartner, 40% das companhias que adotaram DevOps aplicam ferramentas de teste e diagnóstico de segurança na trilha de desenvolvimento, de forma alinhada aos objetivos de negócio e à experiência do usuário.
 
4) Usuários “insistem em errar”: vulnerabilidades, shadow IT, IoT e nuvens são riscos persistentes – o Gartner constata que 99% dos exploits usam brechas já conhecidas e não remediadas. Neste caso, mais uma vez, as ferramentas de orquestração e automação dos SOCs ajudam muito, mas não se trata só de varrer a aplicar patches. A eficácia depende de contextualização dos riscos, priorização e capacidade de adequar as medidas às prioridades (por exemplo, segregar legados sem atualização, mas que sejam importantes ao negócio).
 
O Gartner também calcula que um terço dos incidentes de segurança começam em dispositivos e aplicações não homologados pela TI. Embora shadow IT e SaaS sejam temas antigos e com soluções maduras de segurança, ainda falta visibilidade e controle.
 
Quem faz o gerenciamento de segurança deve entender que o usuário vê ferramentas como seu smartphone ou um drive de compartilhamento como parte de sua produtividade. É um ímpeto legítimo. Portanto, políticas flexíveis de DLP, mecanismos transparentes de criptografia, autenticação passiva (com análises menos atrativas do que senhas e confirmações), além de visibilidade das conexões diretas de usuário à nuvem, têm que ser constantemente renovados no gerenciamento de segurança.
 
Além dos riscos relacionados às pessoas, é preciso proteger novos elementos conectados – muitos deles igualmente “ingênuos” em cibersegurança. Segundo a IDC, até 2024 os SOCs vão integrar o monitoramento do parque de TI e TO (tecnologia operacional, como equipamentos industriais ou prediais).
 
5) A expectativa quântica; é bom começar a entender a matemática – os desafios de engenharia dos computadores quânticos ainda tornam pouco factível seu uso massivo para quebrar chaves fortes, mas os desafios teóricos à cibersegurança já são claros, diante de um modelo que supera a dificuldade da computação binária de fatorar números (e quebrar as chaves). É interessante se familiarizar com os desdobramentos dessa potencial ruptura.
 
Os profissionais de segurança continuam a ter que lidar com volumes crescentes de phishing (tentativa de roubo de senhas e informações pessoais), enfrentar ataques de ransomware (sequestro de informações) cada vez mais dissimulados e outras tarefas que não lhes deixam sequer parar para pensar em virada do ano. Contudo, a jornada à LGPD, o open banking, as startups que desequilibram mercados e novos modelos de negócio levam a reformular paradigmas.
O foco na proteção de transações se desloca à proteção de identidades; a criptografia permite políticas centradas nos dados; e poderia enumerar uma série de novas premissas, que por sua vez não invalidam as tradicionais.
Em todo caso, o grande aprendizado da Transformação Digital tem sido a aproximação da cibersegurança ao planejamento do negócio, desenvolvimento de serviços e à experiência do usuário. Isso dá as condições à Expansão Digital e estamos prontos para lidar com os riscos e ameaças nessa nova jornada.