A otimização é a solução para o CISO durante a pandemia

Quando a pandemia de COVID-19 atingiu os Estados Unidos, as empresas adotaram uma abordagem implacável para manter suas operações. Funcionários de todas as estruturas organizacionais foram instruídos a trabalhar em casa, e as equipes de TI foram encarregadas de fazer isso acontecer. O cronograma era curto e os processos de aprovação avançavam rapidamente, o que significava que as alterações no acesso à rede e na segurança eram feitas mais rapidamente e, em alguns casos, de forma mais aleatória do que em uma situação “normal”.

Fizemos o que precisávamos naquele momento, cada um de nós lutando para dar suporte às necessidades de nossa empresa no trabalho de casa. Mas agora estamos fora do modo de crise. Os CISOs precisam respirar fundo, olhar ao redor e avaliar se suas infraestruturas de rede e segurança estão otimizadas para oferecer suporte aos negócios no longo prazo. Foram 18 meses muito desafiadores, mas também nunca houve um momento melhor para otimizar.

Primeiro caia na real

A primeira pergunta que o CISO deve responder é como serão os próximos anos. Em sua organização, os processos de trabalho de casa e os processos direto pela Internet serão mudanças permanentes nos fluxos de trabalho corporativos? Ou são apenas modismos que vão passar quando o COVID estiver totalmente em nossos espelhos retrovisores?

Quando nos mudamos pela primeira vez para o ambiente de pandemia, alguns pessimistas alegaram que funcionários remotos não podiam ser produtivos. O que os gerentes descobriram, entretanto, é que muitos trabalhadores são ainda mais produtivos trabalhando em casa, impulsionados por mudanças no estilo de vida que permitem maior flexibilidade no trabalho, até mesmo mais do que escritórios corporativos progressistas podem oferecer. Embora eu não tenha uma bola de cristal, acho que, para a maioria das empresas, qualquer pessoa que aposte que a rede acabará voltando ao estado anterior ao COVID está desligada da realidade. Não estamos todos “voltando para o escritório” e eu diria que devemos parar de chamar os fluxos de trabalho remotos e baseados na nuvem de “novo normal”. Isso faz com que pareça moderno e talvez temporário, ao invés da realidade na qual todo CISO terá que operar a partir de agora. Os executivos de segurança devem aproveitar este momento, enquanto transpomos os requisitos da pandemia, para avaliar como a segurança e a proteção de dados de sua empresa podem ser dimensionadas de forma mais eficiente e eficaz para proteger a superfície de ataque recentemente remodelada.

Reduzindo o atrito para os usuários finais

Uma área em que os CISOs devem se concentrar é a experiência do usuário final, que precisa urgentemente de otimização em muitas empresas. Um ano atrás, proteger rapidamente a superfície de ataque em expansão significava fornecer acesso VPN para muito mais usuários do que antes e bloquear dados e aplicações críticas com autenticação multifator (MFA). O objetivo era tornar os ativos o mais seguros possível. O resultado às vezes era o oposto.

Eu sei de uma empresa de saúde que introduziu o MFA para usuários se conectarem ao Outlook 365. Então, quando eles quiseram usar o SharePoint, eles tinham que sair do Outlook e passar pelo processo de MFA novamente. Voltar ao email exigiria sair do SharePoint e iniciar outra autenticação multifator. Quando a segurança cria tanto atrito, ela reduz a produtividade dos usuários finais - ou os leva a encontrar maneiras de contornar as regras da empresa. Se os CISOs aplicarem ferramentas de ponta a todas as aplicações e dados que controlamos, mas as pessoas recorrerem a alternativas baseadas na nuvem para realizar seu trabalho, então nossa estratégia de segurança não é um sucesso. A melhor segurança é aquela que ninguém sabe que está usando.

Outro exemplo é o backhaul do tráfego. Muitas empresas ainda exigem que os usuários estejam em VPN e realizam backhaul de todo o tráfego através do data center, mesmo se estiverem usando aplicações destinadas à nuvem. O problema é que eles estão contando com o equipamento que usavam antes da pandemia, quando apenas uma pequena proporção da força de trabalho estava fora da empresa. Seus sistemas não são dimensionados adequadamente para este volume de trabalho remoto. Eles podem gerenciar essa discrepância expulsando qualquer pessoa que esteja ociosa da VPN, mas então um funcionário que se afasta para reabastecer uma xícara de café pode ter que iniciar uma nova sessão VPN. Mais uma vez, a segurança está prejudicando a produtividade da equipe e os funcionários podem ser tentados a encontrar soluções alternativas. E temos que perguntar: isso melhorou nossa postura de segurança? Podemos ter concedido inadvertidamente mais acesso do que o necessário aos ativos que estamos tentando proteger.

Certamente não estou defendendo a remoção de todas as medidas de segurança. Existe um nível aceitável de atrito para os usuários, e o nível certo difere de empresa para empresa - não há fórmula mágica para tolerância ao atrito. Mas é responsabilidade dos CISOs, à medida que avançamos em nossa realidade, determinar quanto atrito é apropriado para sua organização e começar a tomar medidas para gerenciá-lo abaixo desse nível.

Eliminando desperdícios

Selecionar controles que sejam eficazes e minimamente invasivos é um dos principais objetivos da otimização de segurança pós-COVID. O mesmo ocorre com a garantia de que os investimentos em TI sejam bem aplicados.

À medida que as equipes de saúde pública trouxerem um fim à pandemia, as funções de segurança vão experimentar o ressurgimento de pressões orçamentárias. Os CISOs precisam avaliar como estão usando as ferramentas que possuem atualmente. Eles devem eliminar as soluções que não são mais eficazes na realidade pós-pandêmica e otimizar aquelas que continuarão a usar.

As ferramentas que funcionavam bem há dois anos são adequadas para proteger a superfície de ataque amplamente expandida da empresa, com funcionários espalhados por todo o lugar? Responder a essa pergunta demanda mapear a estratégia de segurança corporativa em função dos controles específicos necessários para realizá-la. Em seguida, as equipes de segurança devem avaliar seu inventário de soluções em relação a essa lista de controles.

Como cada produto ou serviço na cadeia de suprimentos de tecnologia da empresa está levando a organização adiante? O CISO precisa se esforçar para entender todas as conexões em seu ambiente. Este não é o tipo de tarefa que termina com marcas em uma lista de verificação de conformidade. Em vez disso, o CISO deve sair desse processo com um conhecimento profundo do valor de cada solução para a organização. Aquelas que não fornecem mais valor adequado devem ser removidas.

Aumentando a segurança

O objetivo dos CISOs deve ser a segurança Zero Trust em toda a arquitetura de tecnologia, dentro da qual o princípio do menor privilégio é um componente chave. Sei que é mais fácil falar do que fazer, mas reduzir esse foco será, sem dúvida, a chave para fazer o negócio progredir. Portanto, para os CISOs que avaliam os recursos de segurança da empresa, é crucial entender quais usuários precisam de acesso a quais recursos. Alcançar a segurança Zero Trust para todos os dados e aplicações da empresa na nova escala de negócios, sem afetar a produtividade do usuário, será um desafio chave do CISO no futuro.

Por fim, a avaliação das soluções atuais da empresa revelará quaisquer brechas de segurança existentes. Agora que estamos chegando ao negócio de segurança, os CISOs podem considerar soluções adicionais que podem preencher essas lacunas e, então, priorizar os investimentos. Ao planejar possíveis adições à infraestrutura, os CISOs devem ir além das promessas de resultado e dos recursos adicionais supérfluos listados nos materiais de marketing, que podem fazer com que todas as soluções pareçam iguais. Em vez disso, as avaliações do produto devem se concentrar nos recursos específicos que a solução oferece, com o objetivo de compreender como eles oferecem suporte às necessidades de segurança e à capacidade de escalar com a organização. Os CISOs devem conversar com pessoas em quem confiam em empresas semelhantes para descobrir se cada solução faz o que diz que faz.

Em última análise, construir uma operação de segurança bem-sucedida será um desafio, pois a escala dos requisitos de segurança das empresas continua a crescer. Mas é um desafio que os CISOs não podem ignorar. Os ataques aceleraram durante a pandemia. Os riscos cresceram no mesmo ritmo.  Alcançar uma segurança eficaz e eficiente que também apoie a produtividade dos negócios e do usuário precisa ser o objetivo final do CISO, pós-COVID.

O artigo foi publicado originalmente no Security Info Watch.