O que esperar da tecnologia e da segurança da informação no Pós-Pandemia

O que esperar da tecnologia e da segurança da informação no Pós-Pandemia

• • Por Rafael Sampaio
    IT Forum



•   25/3/2022 - Sexta-feira, 25 de março de 2022 - 19:17

O ano de 2022 segue com a pandemia como pano de fundo dos acontecimentos da nossa vida pessoal e profissional. Contudo, progressivamente passamos a cada dia mais a vê-la através do retrovisor e 2023 aponta para um ano onde os efeitos da transformação digital vivida, devem se consolidar. Olhando especificamente para o mundo corporativo, o cenário deve ser de mais aceleração da transformação digital, enquanto os cibercriminosos redobram os esforços em busca de vulnerabilidades no ambiente on-line, tendo em vista que pessoas e empresas estão cada vez mais presentes e dependentes do universo digital.

Aos líderes de negócios, TI e SI o desafio estará na busca pelas melhores práticas e tecnologias para sobreviver aos ataques. Será, ainda, o período para entender de que forma é possível blindar a sua operação tecnológica. Eu destaco 10 tendências:

#1 – Expansão das Leis de Privacidade ao redor do mundo

A nossa necessidade de continuar a trabalhar, nos relacionarmos e termos acesso a questões básicas do dia a dia durante o período mais rígido de distanciamento social levou pessoas e organizações para o ambiente digital. Essa expansão da superfície digital e, consequente, área de risco tem elevado a valorização das Leis de Privacidade ao redor do mundo, a exemplo da General Data Protection Regulation (GDPR), na Europa, e da Lei Geral de Proteção de Dados (GDPR), que está em vigor no Brasil desde 2021, entre outras normas em vigor relacionadas à proteção de dados dos cidadãos. Vemos aqui este movimento amadurecendo. Países que ainda não possuam uma legislação específica tendem a publicá-la e nos que já possuem, estes tendem a aumentar o enforcement.

#2 – Identidades como um relevante fator de segurança

No mundo pós-pandemia, o trabalho remoto ou híbrido veio se consolidando. Ainda vimos um aumento considerável de soluções SaaS nas empresas. Considerando essa perda de perímetro, será fundamental que os líderes tenham certeza de quem está acessando o que, algo feito de maneira muito eficiente por soluções de gestão de identidade que fazem a tal checagem sem interferir na qualidade da experiência do usuário. Identidade tende a se tornar o novo perímetro de defesa.

#3 – Crescimento da valorização da arquitetura SASE

Para viabilizar o trabalho remoto e a ampliação da oferta de produtos e serviços on-line aos clientes, muitas organizações precisaram migrar para a nuvem com gateways de navegação, broker de acesso a nuvem, tecnologia Zero Trust Network Access e mesmo firewall como serviço. Isso é muito do que pode ser oferecido pela já conhecida arquitetura Secure Access Service Edge (SASE), que tem um diferencial: consolidar as tecnologias em um único vendor, o que garante uma troca mais inteligente entre as ferramentas, além de ótima relação custo-benefício e otimização da mão de obra para gerí-la.

#4 – Aumento dos ataques de ransomwares

Mundialmente, o número de ciberataques teve alta de 50% em 2021, de acordo com dados da Check Point Research. Um dos motivos para essa elevação é a democratização do acesso à forma de praticar um ataque, impulsionada pelo Ransomwares As a Service, e a alta dos ganhos com esses crimes. Para conter essa avalanche, o ideal é que as empresas fortaleçam a aliança com empresas especialistas em gestão de segurança (MSSPs), aumentem sua capacidade de detecção e recuperação.

#5 – Gestão de riscos da cadeia de suprimentos

Hoje, nenhuma organização opera sozinha. Muitas precisam autorizar que seus parceiros de negócios acessem seus sistemas ou tecnologias. Nessa dinâmica, para evitar que ambientes sejam hackeados, o ideal é que as organizações passem a qualificar os seus parceiros e fornecedores também pelo quesito nível de cibersegurança por meio de práticas como o estabelecimento e monitoração de Scores mínimos de cybersegurança.

#6 – Era Open

O conceito open banking, innovation, insurance, apenas para citar alguns exemplos, tem acelerado muito a livre troca de informações. Apesar de ser uma iniciativa que gera agilidade à nova economia, empodera ainda mais os consumidores e contribui para decisões rápidas e assertivas, também demanda atenção de cibersegurança. É importante lembrar, porém, que esse tema não deve estar apenas no radar dos CISOs. Ele deve ser considerado também pela liderança desenvolvimento de softwares, que devem atuar em conjunto com segurança para incorporar práticas de cybersec na esteira de desenvolvimento.

#7 – A pavimentação da jornada 5G

Acredito que o ano de 2022 será de forte pavimentação do 5G, para que essa nova tecnologia ganhe força total em 2023. Dentro das organizações, um dos principais pontos de atenção dessa ultraconexão está relacionado à segurança dos dispositivos corporativos e industriais, para minimizar as chances de ataque cibernético. Afinal, tudo o que está conectado à internet é passível de ser hackeado.

#8 – Gestão de Postura de Segurança

Não basta ter regras de segurança. É preciso ter certeza de que elas estão sendo aplicadas. E é isso o que a gestão de postura de segurança garante. Ela é necessária, principalmente, em ambientes complexos, com tecnologias cloud e on premise. O ideal é que esse gerenciamento seja automatizado e contínuo. Há uma grande mudança em curso, apontando para um compliance mais pró-ativo e automatizado. O olho humano já não dá mais conta da dinâmica do ambiente online.

#9 – Criação de comitês de segurança para assessorar o conselho de administração

Tenho visto empresas criando comitês de cibersegurança apartados dos comitês de auditoria e de risco para assessorar o conselho de administração. O ideal é que esse grupo seja presidido por um conselheiro de administração, tendo como membros o CISO e, conselheiros independentes. Com essa estrutura de governança corporativa, a área de TI e SI tende a ganhar muito. Nesse sentido, há órgãos de governança que publicam guidelines de orientação sobre esse tema, entre os quais o IBGC (Instituto Brasileiro de Governança Corporativa) e a Organização dos Estados Americanos.

#10 – CISOs como Product Owner

Hoje, em muitas empresas, as funções de um CISO têm se aproximado da de um product owner. Isso porque a segurança precisa entrar no ciclo de desenvolvimento dos produtos das empresas, algo que se alinha muito ao conceito de segurança por design. Segurança e privacidade em tempo de design tem-se mostrado mais eficaz e mais econômica, além de ser uma exigência das leis e regulações modernas. Aqui fica mais um novo desafio para os CISOs que precisam desenvolver um olhar mais próximo ao olhar que hoje tem um product owner.

A cada novo ciberataque que chega ao nosso conhecimento, alguma empresa amarga prejuízos de diferentes ordens. Mas, de certa forma, é o momento para que a própria companhia e as que estão ao redor amadureçam mais no quesito cibersegurança. Sempre recomendamos que as organizações adotem um ou mais frameworks de cybersecurity para medir-se contra. Desafiando-se a amadurecer seu programa de segurança a cada ano. Segurança da informação é uma jornada, não um destino.