Você sabe identificar a quais riscos seu negócio está exposto?
O mundo caminha velozmente para sua versão digital e segurança deve fazer parte deste caminho
Em um passado recente, as organizações adotaram a Transformação Digital para desenvolver novos modelos de negócio, produtos e serviços. Também foi o momento de otimizar o uso dos recursos dessa nova Era Digital, com novidades em plataformas e aplicativos digitais de infraestrutura, como nuvem, dispositivos móveis, SaaS e DevOps.
Agora, já estamos mais evoluídos. Hoje, dispositivos físicos, sejam eles de redes lógicas ou elétricas, podem ser conectados a sistemas de todos os tipos, com capacidade de serem programáveis, ampliando ainda mais o conceito de Transformação Digital. Em 2019, estudos mostram que mais de 9 bilhões de dispositivos de IoT estavam implantados nas redes empresariais e 90% dessas empresas possuíam algum tipo de aplicativo em nuvem.
Talvez, você não visualize de imediato nada de errado nos números anteriormente, afinal, a tecnologia existe para impulsionar a nossa evolução. A questão é que, juntamente com essa expansão de recursos, cresce também a superfície de exposição para ciberataques e nem toda companhia está adequadamente preparada para correr esse risco.
Cada vez que as empresas adotam novas tecnologias para expandir os negócios, ajustar ou otimizar processos e cobrir gaps da operação ou expandi-las, tornam-se, de certa forma, mais expostas no mundo digital.
Identificar as ameaças é importante, mas não suficiente
Nesse cenário, em geral, a primeira medida adotada pela organização é adquirir novas ferramentas de segurança da informação para identificar as ameaças e mapear os riscos. Mas, essa medida não permite uma visão unificada e 360º da infraestrutura, o que acaba dificultando o trabalho de gestão. Tenta-se também criar processos para identificar se os ativos estão configurados em compliance com as regras da companhia, o que exige do profissional responsável pela ação amplo conhecimento de diferentes dispositivos e plataformas. Uma terceira alternativa é a análise de vulnerabilidade da infraestrutura, uma prática ultrapassada, tendo em vista que essa varredura deve começar no desenvolvimento e se estender para a cloud.
Uma alternativa para isso é a adoção de tecnologia que permita evoluir da análise estática de riscos exponenciais para uma avaliação mais dinâmica, transformando os dados coletados durante as varreduras em perspectivas que auxiliam as equipes a avaliar o cenário, compreender a taxonomia de um possível ataque e priorizar os riscos. Dessa forma, é possível priorizar concentração de esforços de acordo com a criticidade da situação, com visibilidade de forma orientada para uma tomada de decisão estratégica e um gerenciamento da vulnerabilidade de forma mais eficaz.
Além disso, a descoberta em tempo real de ativos em qualquer ambiente computacional, seja ele dentro da infraestrutura, na nuvem ou em um dispositivo de IoT, é uma excelente estratégia para mitigar os riscos de ataque.
O mundo caminha velozmente para sua versão digital e segurança deve fazer parte deste caminho. Grande parte dos líderes empresariais não estão acostumados ou cientes dos riscos cibernéticos associados ao seu negócio, enquanto outros já adotaram ferramentas que permitem a análise 360.
Realizar um assessment realístico do nível de maturidade da empresa frente a um dos grandes standarts de segurança do mundo, como NIST, CIS ou ISSO é primordial para definir o tamanho aceitável do risco que a empresa quer correr de modo consciente.
*Alexandre Vieira é Arquiteto de Soluções da Etek NovaRed