BLOG

Tornando a segurança legal: Mês Nacional de Conscientização sobre Segurança Cibernética 2020

Miniatura F5
F5
Publicado em 01 de outubro de 2020

Ao longo de outubro, a F5 compartilhará insights sobre segurança cibernética no Twitter , LinkedIn , Facebook e Instagram .

O Mês Nacional de Conscientização sobre Segurança Cibernética está em seu 17º ano. Por quase 20 anos, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dedicou todo mês de outubro a dizer aos americanos como ficar mais seguros online. Em todo esse tempo, alguma coisa mudou?

Bem, sim e não. O risco de segurança da informação não mudou fundamentalmente: as organizações enfrentam as mesmas ameaças hoje que sempre enfrentaram. O que mudou foram suas estratégias de gerenciamento de risco e opiniões sobre o que constitui risco aceitável. Quando se trata de segurança cibernética, os dados mostram que não estamos alcançando usuários ou profissionais com as mensagens que o Mês Nacional de Conscientização sobre Segurança Cibernética se dedica a espalhar. Como eu disse na minha recente palestra no Securityweek CISO Forum, temos um problema de relações públicas: precisamos tornar a segurança algo interessante .

A Crise da Priorização

Os tecnólogos de segurança passaram anos se concentrando mais nos controles do que no problema. O resultado é o que um artigo recente da USENIX chamou de “uma crise de priorização de aconselhamento”.  Em Uma avaliação abrangente da qualidade de conselhos de segurança e privacidade na Web , os autores compartilharam que especialistas identificam 118 práticas de segurança cibernética como estando entre as "5 principais" coisas que os usuários devem fazer, deixando os usuários finais praticamente sozinhos para priorizar esses comportamentos e tomar medidas para se proteger.

O resultado desta crise é uma segurança ineficaz. Pedimos aos usuários por décadas literais que nunca usem a mesma senha para acesso empresarial e não empresarial, mas pesquisas mostram que 94% das senhas reutilizadas são correspondências exatas. Realizamos sessões de treinamento de conscientização de segurança, dizendo a eles para não clicar em links em e-mails de fontes não verificadas para fontes não verificadas, mas os ataques de phishing mantêm uma taxa de sucesso de 33-11%.

Não são apenas os usuários finais que sofrem com essa abordagem. O setor de tecnologia está inovando a uma taxa incrível hoje, mas as organizações não estão evoluindo na forma de implementar essa tecnologia do ponto de vista da segurança. As maiores inovações tecnológicas da última década — IoT, Nuvem, APIs — revolucionaram a maneira como as empresas operam e são amplamente implantadas sem controles básicos de segurança. Dispositivos de IoT podem ser protegidos. As APIs podem ser protegidas. A nuvem pode ser protegida.  No entanto, a lista de organizações que não conseguem fazer isso inclui empresas da Fortune 50, agências de três letras e empresas de tecnologia sofisticadas com as melhores equipes de segurança que o dinheiro pode comprar.

Atualmente, “legal” consiste em se mover rápido e quebrar coisas.  Segurança não é legal. Isso atrapalha. Não é fácil. Não condiz com a forma como inovamos.

A Competição

Você sabe o que é “legal”? Hackeando. Muitos de nós no setor temos idade suficiente para lembrar quando hackear era nossa palavra, algo que você fazia para inovar e evoluir. Agora, os cibercriminosos e invasores adotaram essa palavra e o espírito por trás dela. Eles se comunicam. Eles compartilham. Eles disponibilizam seus bots de código aberto. Eles se adaptam e reagem a novas oportunidades de mercado com agilidade e rapidez. Esses hackers maliciosos estão por aí treinando crianças de 13 anos para criar bots, enquanto o filho do colégio do meu vizinho não tem ideia de que Segurança da Informação é uma carreira — muito menos algo pelo qual ele poderia ganhar uma bolsa integral. 

Então, se os bandidos podem se armar e compartilhar rapidamente, por que nós não podemos? Por que o setor de segurança cibernética está dedicando tanto tempo, dinheiro e esforço para inventar novas maneiras de NÃO crescer?

Três fatos

Como profissionais de segurança, precisamos encarar alguns fatos. A primeira é que temos um problema de design de controle. Os controles fundamentais não evoluíram em décadas, apesar das falhas contínuas. Nós literalmente continuamos fazendo as mesmas coisas da mesma maneira esperando um resultado diferente. E quando os controles de segurança são muito rígidos, atrapalham ou demoram muito, as pessoas encontram maneiras de contorná-los. 

Além disso, precisamos melhorar a conscientização sobre o que esse trabalho envolve e o valor da segurança fora da nossa área. Claro, os fornecedores de segurança são ótimos em comercializar produtos de segurança para profissionais de segurança; mas pouco fizemos para educar outras especialidades de TI, ou outros funcionários, sobre a necessidade e o valor da segurança. (E podemos falar sobre a qualidade da maioria dos treinamentos de conscientização sobre segurança? É difícil culpar os funcionários por clicarem nele o mais rápido possível, mesmo que eles ainda fiquem fascinados pela centésima exibição de Matrix .)

Depois, há o fato de que nossas barreiras de entrada são muito altas. Todos os dias vejo tópicos online de profissionais talentosos em segurança que não conseguem um emprego porque não têm uma certificação específica, não são especialistas em um firewall específico ou não têm os 15 anos de experiência necessários com um produto que pode nem ter sido lançado há tanto tempo. Todos nós falamos sobre os desafios de encontrar talentos, mas muitas vezes não deixamos os talentos entrarem. A falta de conscientização sobre nossa área, aliada às altas barreiras de entrada e à falta de currículos e graduados em segurança cibernética, gera desafios de escala para atender às necessidades do negócio.

Como tornar a segurança legal

Temos todos os ingredientes para tornar a segurança algo interessante em 2020. Então como fazemos isso? Vou seguir meu próprio conselho aqui e resumir em um Top 3:

1.      Compartilhe mais. Os invasores adoram compartilhar, e nós também deveríamos. Compartilhe suas histórias hilárias e incríveis com pessoas fora do seu círculo de colegas profissionais de segurança, para que outros se interessem pelo que fazemos e seu impacto. Compartilhe seus dados sobre ataques com qualquer pessoa que possa se beneficiar. Compartilhe recursos organizacionais investindo em programas STEM. Compartilhe sua experiência como voluntário para educar e treinar pessoas em segurança cibernética.

2.      Aceite a mudança. Adote novas tecnologias que mudam para a esquerda, automatizam e funcionam na velocidade dos invasores. Defenda e evangelize o DevSecOps.

3.      Comunique-se melhor. O treinamento de conscientização sobre segurança é uma oportunidade de ouro para interagir com todos na sua empresa sobre segurança cibernética de maneira positiva. Não deixe que isso vá para o lixo! Garanta que o treinamento seja relevante para suas vidas e para o que mais importa para eles, usando linguagem e imagens que ressoem com eles. Concentre-se em ajudá-los a vencer, não em prendê-los.

A realidade é que segurança é legal. Se modernizarmos nossa abordagem, o mundo inteiro também saberá.

Por Mary Gardner, Diretora de Segurança da Informação (CISO) da F5