Dois anos atrás, as transformações digitais começaram a acelerar, com novos processos e desenvolvimento de produtos avançando a uma velocidade vertiginosa. À medida que iniciativas de TI e de negócios aceleraram, como o Agile e o DevOps, para melhorar o ritmo do mercado, as considerações sobre segurança acabaram frequentemente deixadas em segundo plano. Na época, o Gartner previa que 60% das empresas digitais sofreriam grandes falhas de serviço até 2020 por conta da incapacidade das equipes de segurança em gerenciar riscos.
Grandes lapsos de segurança ocorreram como o esperado, embora seja difícil identificar que os projetos digitais tenham sido a principal causa. “Independentemente de as violações altamente divulgadas estarem diretamente ligadas à transformação digital, os líderes de negócios voltaram a pensar em soluções que minimizem os riscos”, diz Pete Lindstrom, vice-presidente de pesquisa de segurança da IDC.
Hoje, 62% dos executivos globais classificam os ataques cibernéticos e as ameaças como uma das maiores prioridades de gerenciamento de riscos das suas organizações para 2020, segundo pesquisa da Marsh & McLennan com 1.500 executivos. No geral, o papel da segurança na transformação digital melhorou tanto na conscientização quanto no envolvimento do processo de design, mas os CISOs ainda estão buscando visibilidade da amplitude dos projetos em seus ecossistemas.
Os tomadores de decisão de TI não incluem apenas a segurança cibernética entre as suas principais considerações quando se trata de transformação digital, mas também a segunda maior prioridade de investimento (35%), logo abaixo da nuvem (37%), conforme dados de uma pesquisa recente da Altimeter. Investimentos em tecnologias transformadoras podem não fazer sentido se não puderem proteger os negócios, seus clientes ou outros ativos vitais, e a complexidade e a velocidade do desenvolvimento continuam a desafiar até as maiores operações de segurança.
“A batalha travada está se movendo mais rápido que o nosso ciclo de decisão. Se você está se movimentando mais devagar, se torna irrelevante do ponto de vista da liderança”, afirma o Dr. Abel Sanchez, diretor executivo e cientista de pesquisa do Laboratório de Manufatura e Produtividade do Instituto de Tecnologia de Massachusetts. “Agilidade, flexibilidade e rapidez na tomada de decisões são necessárias tanto em segurança quanto em desenvolvimento”, acrescenta.
Na empresa global de soluções de energia Schneider Electric, a cibersegurança está no centro da estratégia de transformação. O CISO global Christophe Blassiau lutou para ganhar visibilidade de toda a organização por conta das combinações complexas de aquisições e das diferentes atividades da empresa – da P&D à cadeia de suprimentos e serviços. A integração de TI e tecnologia operacional (OT) também traz novas conectividades, fontes de dados e possíveis vulnerabilidades que precisam ser protegidas, e a equipe deve conectar os pontos entre a segurança da empresa e seu ecossistema de parceiros e fornecedores.
“Não tínhamos o nível certo de propriedade ou aptidão em todos os lugares, então começamos projetando e organizando uma nova governança estabelecida em toda a empresa”, explica Blassiau. “Eu não queria formar equipes maiores porque dá a impressão de que as questões serão corrigidas por outra pessoa. Aqui, a segurança é responsabilidade de todos.” Em vez disso, a Schneider adotou uma abordagem dupla de segurança, criando uma prática de cibersegurança digital e incorporando profissionais de cibersegurança (gerentes de risco digital e CISOs regionais) em cada prática e em toda a empresa para criar uma comunidade de líderes treinados e focados em riscos cibernéticos específicos. A mudança deu a Blassiau “uma sensação de controle no espaço digital. Há um líder cibernético se reportando a todo líder executivo de prática digital e se reportando a mim”, comenta.
O desafio para as equipes de segurança continua sendo como adicionar segurança na velocidade da transformação digital e garantir que as suas práticas abranjam todos os novos processos digitais internos e produtos externos desenvolvidos. Para Sanchez, grande parte da solução se resume à cultura dos departamentos de TI e segurança. “As equipes de segurança também precisam passar por uma transformação. Não é fácil, e muitos funcionários devem estar dispostos a aprender novas habilidades para poder interagir com a organização comercial.”
Parte disso pode ser alcançada por meio de uma reorganização. Os testadores em muitas práticas, por exemplo, estão desaparecendo, e agora os testes são feitos por engenheiros de software. “Quem sabe como proteger esse produto melhor do que quem o criou?”, questiona Sanchez. O mesmo pode ser feito com outras áreas de desenvolvimento. “Você também pode precisar de talentos diferentes. O mundo está se movendo rápido demais”, acrescenta.
A boa notícia é que as equipes de segurança como um todo estão se tornando mais acessíveis e a fazer parte dos negócios, criando melhores relacionamentos, diz Matt Handler, CEO da Security for the Americas da NTT. “As equipes de segurança estão aprendendo que não podem ser o ‘Escritório do Não’ o tempo todo. Eles precisam ser ágeis, flexíveis e vistos como um facilitador em vez de um bloqueador”, observa Handler. “Isso começou a acontecer no último ano, mais ou menos.”
O CISO também deve evoluir e assumir o papel de consultor e colaborador interno nos departamentos que estão implantando os aplicativos ou novas tecnologias, afirma Handler. “Em vez de ‘não’, digamos ‘vamos ver como podemos fazer isso o mais rápido possível e com segurança’. Acho que essa frase muda o jogo para um CISO.”
Os CISOs falam há anos que a segurança precisa ser inserida no início do processo de design. Agora, graças a componentes mais ágeis e dinâmicos, isso é mais fácil de alcançar. “Com a nuvem em particular”, e os recursos de segurança incorporados que podem ser utilizados, “podemos brincar para lidar com riscos”, diz Lindstrom, “e estamos trabalhando mais na pilha – longe da rede e do host.”
Além disso, os investidores estão prevendo que as empresas de segurança cibernética que utilizam aprendizado de máquina provavelmente se destacarão em 2020, conforme o número de fornecedores do nicho de segurança cibernética se consolida. As empresas com grandes conjuntos de dados de segurança podem combinar algoritmos, análises e aprendizado de máquina para identificar e reagir a ameaças na velocidade da luz – quase tão rapidamente quanto ocorrem. As máquinas podem ser tão boas quanto os humanos que as selecionam – e os dados com os quais eles correspondem, o que levará tempo.
“Do ponto de vista do CISO, se você é capaz de fornecer segurança com rapidez e ajudar a empresa a alcançar os seus objetivos e metas, e a segurança é incorporada ao processo desde o início, você vence. Mas esse é definitivamente uma situação futura”, declara Handler. Já estamos lá? Quando se trata de segurança cibernética nas transformações digitais, Sanchez diz que mais organizações estão “no meio do caminho”.
Elas passaram pelo processo de automação e estão começando a olhar para a IA e a modelagem preditiva. “Estamos no caminho certo, mas isso não significa que não haverá compromissos” enquanto isso, afirma. “Assim como o desenvolvimento de software em geral não havia sido integrado (antes da transformação digital) e agora é, o mesmo vale para a segurança. Tudo tem que ser unido. Isso leva tempo.”
Via: CIO