fbPrevenção é fator-chave na segurança digital MIT Sloan Review Brasil

Cibersegurança

5 min de leitura

Prevenção é fator-chave na segurança digital

Lideranças e gerentes de produtos podem priorizar a segurança digital desde o início dos projetos para suas ofertas digitais

Colunista Vagner de Araújo Silva e João Fabio de Valentin

Vagner de Araújo Silva e João Fabio de Valentin

30 de Abril

Compartilhar:
Artigo Prevenção é fator-chave na segurança digital

Ataques cibernéticos estão cada vez mais na ordem do dia. Estamos falando de roubos e vendas de dados corporativos, extorsões, espionagem, fraude de identidades de clientes, e todas as categorias de crimes por meio digital; a lista é longa. Em fevereiro último, por exemplo, a Lojas Americanas reportou um acesso não autorizado aos seus sistemas, e tornou o e-commerce indisponível por quatro dias. Segundo estimativa da corretora XP, o ataque teria gerado à Americanas um prejuízo de R$ 250 milhões. Como chegamos a esse ponto?

Os cibercriminosos se mostram cada vez mais preparados para identificar e aproveitar as vulnerabilidades e as "oportunidades de negócios” emergentes das organizações. Por exemplo, a expansão do trabalho remoto nos últimos dois anos trouxe vulnerabilidades novas, uma vez que as residências dos funcionários não contam com a mesma proteção de tecnologia da informação (TI) que é oferecida nos escritórios. Já a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2021, ampliou as oportunidades no “mercado de sequestro de dados como um serviço” – o chamado ransomware as a service. E os criminosos nem precisam mais ter o trabalho de desenvolver um vírus. Basta que “adquiram” um malware pronto em marketplaces clandestinos da dark web para executarem seus golpes.

O cenário torna urgente o investimento em cibersegurança por companhias de todos os portes e setores. Ainda mais no Brasil, considerando que é o quarto alvo preferido dos criminosos virtuais, segundo um levantamento recente da consultoria alemã Roland Berger. Essa estatística tem coerência com o que especialistas da área ouvem de seus interlocutores no dia a dia, e não apenas clientes – há relatos frequentes de amigos ou parentes que caíram num golpe digital.

Isso exige das empresas que tenham tanto abordagens reativas como proativas em relação a cibersegurança. Neste artigo, focamos uma abordagem proativa específica, que consiste em considerar a segurança de um produto digital – como um aplicativo – desde seu design.

Reação ou prevenção?

Garantir a segurança digital é estratégico para mitigar riscos, prevenir prejuízos financeiros e atender às expectativas dos clientes. No entanto, quem desenvolve um produto tecnológico não costuma priorizar o assunto; o foco costuma ser na formulação de ofertas elegantes, comercializáveis, amigáveis ao uso e cheias de funcionalidades. Essa foi a conclusão de Keri Pearlson, diretora-executiva do consórcio de pesquisas em cybersecurity da MIT Sloan School, e Keman Huang, professor da Renmin University da China, numa pesquisa em profundidade feita com 44 designers de três grandes empresas globais, ligadas aos setores de telecomunicações, energia e automação digital. E, em um segundo momento, foi validada com executivos de empresas ranqueadas no Fortune 500 e fornecedores de soluções de cibersegurança.

A razão para não haver a prioridade desejável? Segundo a pesquisa de Pearlson e Huang, há um temor dos profissionais de que preocupações de cibersegurança possam atrasar o lançamento do produto e ampliar a necessidade de investimentos.

Como agir diante dos desafios

As empresas costumam atuar de três maneiras em relação a cibersegurança – todas elas reativas – no desenvolvimento dos produtos. Elas geralmente fazem:

• Correções de vulnerabilidades na segurança após o produto estar pronto. • Revisão do design e dos processos de desenvolvimento por meio de checkpoints. • Inclusão de um consultor de segurança no processo de desenvolvimento – nem sempre especialista no assunto e normalmente utilizado por diversas equipes.

Esses não são os melhores caminhos. Adota postura reativa faz com que o trabalho de identificação e resolução de problemas pela equipe de TI (e todas as outras equipes) seja muito mais difícil, lento e custoso. A vulnerabilidade que abre flanco para ataques virtuais muitas vezes está em um software que possui um erro em sua lógica ou algum tipo de erro conhecido que não foi tratado no próprio código, ocasionando um grande esforço para correção e aplicação da correção que está envolvida num grupo em cadeia.

Um bom caminho, como já mencionado, deve antecipar problemas, utilizando inteligência artificial e machine learning durante a fase de desenvolvimento do produto. Definir a segurança como elemento indispensável na concepção do aplicativo permite rastrear, diagnosticar e resolver problemas nessa área antes que o usuário final possa perceber. Isso minimiza eventuais impactos no negócio.

Além de a segurança entrar na pauta de qualquer oferta digital desde o início do projeto, é fundamental que as lideranças insiram o assunto como prioridade na cultura corporativa. Explicar a importância da segurança de seu app é equivalente a explicar para qualquer pessoa a importância da saúde de seu corpo. Ambos simplesmente não conseguem funcionar bem se houver algo errado, e sempre estarão à mercê de problemas internos e externos se não se cuidarem.

Ao mesmo tempo, a liderança pode disponibilizar às equipes uma consultoria de especialistas e proporcionar treinamento específico, de modo a adotar protocolos e práticas básicas tanto quanto avançadas de design de segurança, implementar testes e compreender as expectativas dos clientes. Em outras palavras, cabe aos executivos C-level apoiar a cultura de segurança em suas empresas, como comentam Pearlson e Huang.

No Brasil, o mercado financeiro oferece um exemplo virtuoso desse processo: alguns grandes bancos já utilizam alguns passos do modelo de construção de uma cultura de segurança cibernética discutidos aqui, afetando direto o “bolso” de quem não cumpre, dando destaque para quem cumpre, oferecendo treinamento para diminuir esse abismo de conhecimento entre equipes e continuar a transmitir as principais mensagens.

É mais comum, no entanto, que os profissionais de TI brasileiros tenham o comportamento reativo que a pesquisa levantou a partir de operações globais. Eles concentram seus esforços no desenvolvimento de funcionalidades e na lógica interna do app, deixando a segurança como última etapa, por motivos de tempo de entrega ou de limitações orçamentárias. A pressão para entregar aplicativos “prontos”, sem segurança comprovada, não deveria existir. Pelo contrário, essa cultura deveria ser rechaçada. E essa mudança de mentalidade deve vir de cima.

Compartilhar:

Autoria

Colunista Vagner de Araújo Silva e João Fabio de Valentin

Vagner de Araújo Silva e João Fabio de Valentin

Joao Fabio de Valentin é head da AppDynamics para a América Latina, onde lidera as equipes do Brasil, Colombia, Região Andina e México. Formado em engenharia eletrônica pela FAAP e com MBA em gestão de negócios pela FGV, Valentin tem uma carreira de mais de 20 anos com foco em full-stack observability, DevOps e negócios digitais. Vagner Silva é CISO na Yssy & Co. Especializado em redes de computadores, segurança da informação e internet das coisas (IoT), com mais de dez anos atuando em TI, passou por grandes integradoras e se tornou instrutor oficial de segurança da Cisco. É certificado com CCIE Security (Cisco), Certified Ethical Hacker (ECCouncil) e Security+ (CompTIA).

Artigos relacionados

Imagem de capa Automação: solução para escassez de mão de obra em OT e IoT

Cibersegurança

01 Agosto | 2022

Automação: solução para escassez de mão de obra em OT e IoT

Faltam profissionais capacitados, sobram ameaças à cibersegurança. Mas os serviços de segurança gerenciados (MSSP) melhoram o cenário

Nycholas Szucko

3 min de leitura

Imagem de capa Construindo resiliência cibernética antes do próximo ataque ocorrer

Cibersegurança

11 Julho | 2022

Construindo resiliência cibernética antes do próximo ataque ocorrer

As empresas mais bem sucedidas em responder a ataques cibernéticos somam liderança distribuída, experiência em lidar com crises e comunicação consistente

Manuel Hepfer, Thomas B. Lawrence, Julian Meyrick e Pompeo D'Urso

9 min de leitura

Imagem de capa Segurança de dados: novo degrau no mindset dos executivos

Cibersegurança

30 Junho | 2022

Segurança de dados: novo degrau no mindset dos executivos

A consolidação do digital como ambiente de trabalho e consumo não deixa espaço para estratégias de cibersegurança que apenas tapam buracos

Ana Cerqueira

4 min de leitura

Imagem de capa Segurança cibernética: como fechar flancos

Cibersegurança

22 Junho | 2022

Segurança cibernética: como fechar flancos

A proteção de componentes chave da infraestrutura, apoiada por uma boa análise de riscos, protege o ativo mais importante da empresa: a informação

Paulo Braga

7 min de leitura

Imagem de capa Transforme a cibersegurança em ativo estratégicoAssinante

Cibersegurança

14 Junho | 2022

Transforme a cibersegurança em ativo estratégico

Enxergar a cibersegurança como uma fonte de oportunidades, e não uma necessidade operacional, ajuda a alavancar resiliência e vantagem competitiva

Manuel Hepfer e Thomas C. Powell
Imagem de capa A questão ignorada pela cibersegurança: desempenho humano

Cibersegurança

31 Maio | 2022

A questão ignorada pela cibersegurança: desempenho humano

Operações de segurança cibernética de alta confiabilidade transformam o desempenho humano em uma camada crítica de defesa

Stephen A. Wilson, Dean Hamilton e Scott Stallbaum

9 min de leitura