Se há uma certeza hoje
é que não temos a menor ideia do que irá acontecer amanhã, tais quais os versos
do compositor Didi - “como será amanhã, responda quem puder” - imortalizados
pela voz da cantora Simone. Certa vez li de que a certeza é o que nos dá a
tranquilidade de agir, mas, como dizem, o diabo mora ao lado, ou nos detalhes.
Não estamos nem um pouco preparados para o desconhecido. Queremos controlar o
incontrolável, e, pior ainda, gostamos de nos enganar dizendo que está tudo sob
controle. Na verdade, sim está, mas do imponderável, que infelizmente não
trabalha para nós.
Buscar o controle
faz parte do DNA do profissional de segurança, e é o que aprendemos desde
sempre: medir o risco, aplicar controles e reduzi-lo até níveis considerados
aceitáveis, já que 100% nunca será alcançado. Também sempre pensei assim, mas
há algo errado. A segurança parece frágil, ou no mínimo menos eficiente do que
gostaríamos que fosse. Talvez não precise ser assim. Devemos, claro, manter
riscos conhecidos sob controle e em níveis que julgamos adequados, mas sempre
haverá o 1% imprevisível, e é dessa pequena porção que estou falando. Esses 1%
de riscos não cobertos possuem a capacidade de cancelar todo o esforço dos
outros 99%. Se um único ataque de ransomware tira do ar uma empresa por dias,
para que serviu todo o esforço? A resposta é rápida: “em 99% do tempo não somos
invadidos e a empresa opera normalmente”. Eu concordo, mas nenhuma empresa pode
ficar fora do ar 1% do tempo.
Esse é o meu
desafio pessoal atualmente, e convido todos a ele: como montar a estratégia da
segurança da informação sem saber e sem tentar adivinhar o que acontecerá, em
um mundo volátil, incerto, complexo e ambíguo?
Volátil, incerto,
complexo e ambíguo é como o US Army War College definiu o mundo em 1987. Eles
estavam obviamente pensando na guerra, mas o acrônimo por eles cunhados, VUCA
(ou VICA em português), passou a ser utilizado também nas áreas de negócios e
planejamento estratégico. E cabe perfeitamente também em segurança da
informação, sobretudo frente às ameaças resultantes do mundo conectado, ou digitalizado.
Volatilidade se
define como a dinâmica dos eventos, inesperados tanto em sua natureza como em
seu alcance. O oposto de volatilidade é a estabilidade, ou a quantidade de
eventos e nível de criticidade considerado como padrão, e que a empresa
enfrenta na maior parte do ano. Em um ambiente estável espera-se o que irá
ocorrer, que é conhecido e, portanto, a resposta está documentada e treinada. No
entanto, algo desconhecido e inesperado pode ocorrer a qualquer momento. Dizer
que segurança é volátil é reconhecer que não há garantia de estabilidade nos
elementos que estão fora do alcance de controle da empresa: hackers e usuários mal-intencionados.
Incerteza (o U do acrônimo)
é o grau de imprevisibilidade dos eventos. Como os grandes ataques mostraram,
as técnicas, vetores e extensão da invasão são somente identificados após o
inicio e, em alguns casos, após seu êxito. Em alguns casos as vítimas apenas
perceberam que havia uma invasão em curso depois que os sistemas saíram do ar,
os dados foram roubados ou o computador ficou inacessível. Os resultados de não
saber o que está ocorrendo são a surpresa, não saber como reagir e e a sensação
de impotência.
Volatilidade e Incerteza
estão ligados. Um evento pode ocorrer a qualquer momento sem aviso prévio, e
não temos como conhecer de antemão seus métodos e consequências. O grande
desafio para encarar a volatilidade e a incerteza somos nós mesmos. Não sabemos
lidar com o risco, não temos tolerância a ele, e por isso queremos eliminá-lo,
o que não condiz com a realidade.
Já Complexidade é
inerente a qualquer evento de ataque cibernético, assim como também a como está
configurada a segurança da empresa. Muitas vezes vemos os hackers usarem a
complexidade a seu favor e as empresas a usá-la contra elas mesmas. De qualquer
forma, qualquer ataque será complexo, e os mais sofisticados usarão múltiplas
técnicas de invasão, seja para aumentar a eficácia ou para evitar a detecção
pelos sistemas de defesa.
Ambiguidade é uma
característica nem sempre levada em conta. Muitas vezes nossa leitura dos
eventos pode estar equivocada, ou mesmo um ataque pode ser apenas um chamariz para
desviar atenção de outro muito pior. Um ataque de ransomware, por exemplo, pode
ser usado para mascarar o roubo de informações.
O conceito VUCA
aplica-se naturalmente ao mundo da estratégia empresarial, e a maior parte da
literatura fala disso. O mundo dos negócios é cada vez mais disruptivo, e
modelos de negócio são construídos ou mudam cada vez mais rápido. Em muitos
negócios, como Uber, Amazon e Netflix, a TI deixou de ser um habilitador do
negócio para se tornar o próprio negócio. Logo um ataque bem-sucedido não irá
apenas atrapalhar, ele tirar do ar o próprio negócio da empresa, levar a zero o
faturamento, causar milhões de dólares de prejuízo. Esse ambiente de negócios
traz um novo desafio à gestão de segurança. Não apenas precisamos estar
preparados para as a imprevisibilidade dos ataques, como também nos adaptar e
acompanhar as mudanças nos negócios.
Todos os casos dos
grandes ataques apresentaram bem as quatro características, com impacto nos
negócios ou na credibilidade da empresa e executivos, e é necessária uma
mudança no modo como encaramos as coisas. Pensar segurança dessa maneira
envolve mudar conceitos, e até mesmo ir contra algumas medidas consideradas há anos
como “boas-práticas”. Envolve reconhecer que muitas das estratégias e táticas
criadas há mais de uma década e ainda utilizadas não funcionam mais. Envolve interpretar
de maneira diferente relatórios de institutos de pesquisa que ainda seguem
encarando a segurança em silos, como fazem há vinte anos. Envolve mudança.
Nos próximo artigos
irei tentar aprofundar cada uma das quatro características VUCA, e buscar
algumas medidas que podemos implementar, não para controlar, pois, de novo,
isso é impossível, mas para tornar nossa segurança menos frágil e mais eficaz,
em qualquer situação.
