Rodrigo Larrabure é diretor de tecnologia da CYLK

Os segmentos de cibersegurança e proteção de dados devem movimentar mais de R$ 8 bilhões em 2021, conforme a pesquisa Mercado Brasileiro de Software – Panorama e Tendências 2020, realizado pela ABES (Associação Brasileiras das Empresas de Software), com dados da IDC. Na América Latina, outro levantamento da IDC mostra que 44% das empresas ampliaram seus investimentos em segurança, com 24% dos recursos destinados a proteção de aplicações e dados em nuvem.

Evidentemente, fatores como a vigência da LGPD (no caso do Brasil) e a própria transformação digital já colocariam esse segmento na contramão da retração da economia e do mercado de trabalho. Com a pandemia, após a fase de resposta, as organizações ainda buscam entender o “modelo híbrido”, que não se aplica apenas ao trabalho remoto ou presencial, mas também a hábitos de consumo e outros desdobramentos da vida online. No noticiário ciberpolicial, se escalam os incidentes “tradicionais”, como vazamentos e ransomware, ao mesmo tempo em que surgem ataques à marca e novas modalidades de riscos.

A contrapartida é que as iniciativas de transformação digital, intensificadas em 2019, embutiam mudanças que tiveram seu valor alavancado. Da parte dos fornecedores, a disponibilidade de funcionalidades as a service simplifica as decisões financeiras que retardariam os investimentos. Os provedores de Serviços Gerenciados de Segurança (MSSPs), por sua vez, contam cada vez mais com recursos de automação, analytics e IA, até para maximizar a produtividade dos analistas. É claro que as restrições de orçamento, o deficit de profissionais e outras adversidades persistem. Todavia, o grande desafio é que as transformações aceleradas – internas e externas – afetam as caraterísticas e a relevância dos riscos.

No contexto da transformação digital, o alinhamento estratégico se sobrepõe aos projetos. Na prática, isso implica uma disciplina de monitorar, medir e executar decisões ante a força dos fatos. Especificamente no que se refere a consultoria, integração e operação de cibersegurança, os serviços como pentests e gestão de vulnerabilidades ganham peso. Em cenários instáveis e complexos, as discrepâncias entre a percepção de riscos e a realidade têm um preço muito alto, em vários sentidos.
Cloud é mais solução do que problema

Os analistas da IDC destacam, nos estudos acima mencionados, três tendências: o avanço de Cloud Security; a ênfase na proteção de dados e workloads; e IA aplicada a segurança. No que se refere aos dois primeiros itens, é fato que os desafios de TI ficaram mais críticos. Por exemplo, a falta de prioridade, skill ou tempo ainda permite que ocorram grandes incidentes por erros básicos de configuração. Junto às vulnerabilidades em instâncias de nuvem ou contêineres, o software pode trazer erros no código, usar bibliotecas desatualizadas; a exposição de APIs pode colocar toda a proteção abaixo… Enfim, a “superfície de ataque” está em constante transformação.

É claro que o Gerenciamento de Vulnerabilidades tem a ver com decisões de risco; a tecnologia só dá objetividade às ponderações. Contudo, os avanços em automação, escalabilidade e abrangência das soluções as a service permitem que se acompanhe o ritmo das transformações.

Sem intuição na engenharia e menos ainda nas áreas de negócios
Por mais maduro que seja o SOC (centro de operações de segurança) em visibilidade, capacidade analítica e automação, a agenda nunca se esgota. Com todo instrumental analítico e preditivo das atuais ferramentas, os serviços digitais são complexos, o cibercrime é engenhoso e é preciso ver para crer.

É comum que os resultados de pentests surpreendam CISOs e analistas. Mesmo que lidem diariamente com o submundo, os vieses são diferentes.

Enquanto os pentests ajustam a consciência sobre ameaças e vulnerabilidades técnicas, a percepção de riscos pelas áreas de negócios também precisa se sustentar em dados. Tanto as descobertas do pentest quanto de outros métodos empíricos, como simulação de phishing ou ataques de engenharia social, devem dar uma visão realista de probabilidades de incidentes, perdas e gravidade dos riscos.

O pessoal com formação em economia e administração já tem, inclusive, base teórica para essas ponderações. É questão de entregar a informação precisa sobre as ameaças, de forma que se possa dimensionar o impacto, o custo/benefício das contramedidas e se tomarem decisões consequentes.

Por mais que se previnam os riscos bem conhecidos (o que raramente é verdade), alguém sempre pode achar brechas e criar ataques inusitados. É melhor que isso resulte em um relatório e um plano de ação, antes que vire um pedido de resgate em bitcoins.