Adotar uma abordagem de segurança baseada em risco exige uma mudança significativa na forma como pensamos sobre segurança e ativos digitais. Mas essa mudança é necessária dada a rápida evolução das ameaças digitais e a incapacidade dos modelos de segurança existentes de mitigá-las — e muito menos de acompanhá-las.

Estruturas tradicionais de arquitetura empresarial foram criadas sem a segurança em mente. É absolutamente verdade que a segurança, em geral, é uma reflexão tardia, tendo se desenvolvido em grande parte em um modelo reativo. Ou seja, agentes mal-intencionados criaram ataques para os quais fornecedores e líderes de tecnologia criaram mitigações. Isso se deve à natureza da transformação digital. Em seus estágios iniciais, o foco estava em permitir produtividade e eficiência por meio de aplicativos. Esses aplicativos eram em grande parte fixos e estáticos, residindo em um data center isolado. Havia pouco risco de ataque externo porque não havia pontos de entrada no data center até o início da era da Internet.

Em sua forma mais antiga, a segurança se concentrava na proteção de aplicativos expostos na Internet nas camadas mais baixas da pilha de tecnologia: a rede. Muitos pacotes por segundo indicavam algum tipo de ataque de negação de serviço. A resposta de segurança? Firewalls capazes de bloquear a origem do ataque. Portas e protocolos se tornaram a base para políticas de segurança, com limites baseados no volume e na velocidade dos pacotes que tentam usar algum aplicativo. O foco da segurança nesta etapa era evitar interrupções, interrompendo um ataque usando regras simples e estáticas .

Os ataques evoluíram rapidamente diante de uma defesa forte. À medida que os aplicativos se tornaram mais ricos e capazes, os invasores rapidamente descobriram vulnerabilidades em pilhas de software. O setor começou a ver ataques incorporados na carga de mensagens trocadas entre usuários e aplicativos, cada um buscando explorar alguma vulnerabilidade conhecida que causaria uma interrupção, ofereceria acesso não autorizado ou exfiltraria dados. O setor de segurança respondeu novamente a essas novas formas de ataques, criando soluções capazes de detectar e neutralizar ataques incorporados. O foco da segurança nesta etapa era detectar e neutralizar ataques embutidos nas transações.

À medida que a economia digital se expandia, alcançando cada vez mais todos os aspectos de nossas vidas, as oportunidades para invasores também aumentavam. O valor dos dados e do acesso às contas de consumidores e empresas está crescendo exponencialmente. Considere que cerca de milhares de contas de videogame de empresas como Steam, EA Sports e Epic “são roubadas a cada mês, com bancos de dados de contas em massa negociados em canais privados do Telegram por somas entre US$ 10.000 e US$ 40.000 ” ( BitDefender ). Hoje em dia, as invasões de contas são frequentes em todos os setores, desde jogos até finanças, saúde e serviços governamentais. Em 2021, a fraude custou ao governo dos EUA cerca de US$ 87 bilhões em benefícios federais ( CNBC ). A perda é atribuída principalmente ao programa de desemprego pandêmico, que foi amplamente operado por meio de serviços digitais.

Ao abordar a segurança com uma mentalidade baseada em risco, as organizações podem se afastar de respostas frenéticas a ataques. Em vez disso, eles podem tomar decisões de segurança deliberadamente alinhadas aos resultados do negócio e considerar a tolerância do negócio ao risco.

As empresas digitais de hoje se conectam com seus clientes e parceiros fornecendo experiências digitais mediadas por aplicativos modernos. Portanto, a proteção dos aplicativos é fundamental para a tarefa de modernizar a segurança. Esses aplicativos — e, no próximo nível de granularidade, as cargas de trabalho e serviços que são seus blocos de construção — fornecem valor ao criar, enriquecer e/ou fornecer acesso aos ativos digitais da empresa de uma forma ou de outra; eles são, portanto, o foco central de uma mentalidade de segurança moderna. A segurança cibernética, como é comumente chamada hoje em dia, concentra-se fortemente na proteção de aplicativos e APIs que expõem esses aplicativos para conectar usuários de todos os tipos aos ativos digitais que alimentam um negócio digital.

Os líderes de tecnologia estão bem cientes das ferramentas e técnicas necessárias para implementar segurança reativa e proativa. A questão é: “Como você muda sua organização para uma abordagem baseada na avaliação de risco que depende amplamente da identidade e dos ativos?” 

Há duas tecnologias principais para essa mudança: autenticação e controle de acesso. A autenticação fornece políticas com o componente de identidade, enquanto o controle de acesso fornece governança de ativos digitais. 

Autenticação é essencialmente o processo de determinar e verificar a identidade de um consumidor de aplicativo. No passado, eram principalmente humanos buscando acesso a aplicativos monolíticos vivendo em um data center privado. Como resultado, todos os sistemas e serviços de autenticação poderiam residir no mesmo data center. Hoje, os aplicativos modernos usam uma arquitetura distribuída e APIs expostas; portanto, a autenticação deve evoluir. A autenticação agora deve reconhecer não apenas consumidores humanos, mas também proxies humanos, como agentes automatizados. Além disso, como os aplicativos distribuídos são compostos de serviços originados de várias nuvens, a autenticação deve existir em um mundo de armazenamentos de identidade federados e entre empresas. Em suma, embora a autenticação ainda seja um elemento essencial da defesa básica, a natureza expandida dos serviços digitais atuais exige uma visão evoluída da identidade e de como a identidade é validada.

O controle de acesso foi, e continua sendo, o processo de determinar quem — ou o que — pode acessar um recurso empresarial. Mas, assim como acontece com a autenticação, a funcionalidade necessária para o controle de acesso também evoluiu junto com os aplicativos corporativos. As primeiras encarnações do controle de acesso estavam na camada de rede; potenciais consumidores de aplicativos estavam “dentro” ou “fora” de um perímetro definido por endereços IP de rede. Mas hoje, com os consumidores móveis acessando aplicativos distribuídos em vários pontos de entrega, não há um perímetro estático e claro para definir a noção de dentro e fora. Portanto, o controle de acesso deve ser formulado em termos da identidade do usuário, validada pela autenticação. Os consumidores de aplicativos modernos não podem mais ser separados com base na localização da rede, mas são classificados com base em sua identidade. 

Essas tecnologias, quando combinadas com um inventário completo de todos os principais ativos digitais, podem ser usadas para executar decisões tomadas com relação ao risco de permitir o acesso a um determinado ativo. Essas decisões são baseadas na compreensão de como esses ativos são expostos em conjunto com quem esses ativos devem — ou não — ser expostos.

Portanto, o primeiro passo para modernizar a segurança é criar ou aprimorar o inventário de ativos com foco nos meios pelos quais esses ativos são acessados e por quê. Além disso, os líderes de tecnologia devem ter em mente que os aplicativos são o principal meio pelo qual todos os dados são acessados e, portanto, o inventário também deve ser capaz de mapear ativos para os aplicativos que interagem com eles. 

Em seguida, os líderes de tecnologia precisarão colaborar com os líderes empresariais para estabelecer perfis de risco/recompensa para os principais ativos. Os perfis de risco/recompensa resultantes devem alinhar as ações de segurança com os resultados comerciais. Por exemplo, uma pesquisa da AiteNovarica nos diz que “os comerciantes perdem 75 vezes mais receita com falsas recusas do que com fraudes”, fazendo com que o risco do que é conhecido como falsa recusa supere potencialmente o risco de permitir uma transação.

Portanto, as interações relacionadas a essa transação devem ser permitidas ou negadas com base na tolerância ao risco da organização. Fatores que podem influenciar a decisão incluem o valor da transação e a certeza associada à legitimidade do usuário. O sistema tem 50% de certeza de que o usuário é legítimo? Mais certo? Menos? Cada organização determinará sua tolerância ao risco e, com base nessa tolerância, ajustará seus perfis para aplicar a segurança dentro desses limites. Um perfil de risco/recompensa orienta humanos e sistemas a determinar como lidar com riscos potenciais. Organizações mais avessas ao risco tenderão a ponderar mais o risco e aplicar controles para evitá-lo. Por outro lado, organizações com maior tolerância ao risco classificarão a recompensa como um fator mais importante na determinação de como aplicar controles de segurança.

A granularidade aqui — a da avaliação no nível transacional — implica a capacidade de avaliar continuamente as interações digitais e adaptar as decisões de segurança com base no contexto em tempo real, conforme avaliado em relação às políticas. Essa abordagem é uma capacidade essencial das abordagens de confiança zero, assim como as principais tecnologias usadas para impor decisões: autenticação (quem) e controle de acesso (o quê), conforme descrito neste white paper, “ Segurança de confiança zero: Por que a confiança zero é importante (e para mais do que apenas acesso) .”

A capacidade de avaliar continuamente as interações digitais depende de uma estratégia de dados e observabilidade em nível empresarial, ou seja, que a organização tenha uma estratégia e esteja se movendo em direção à possibilidade de observabilidade completa, além de um meio de conectar e correlacionar interações entre lojas distintas, caso não esteja centralizando dados em uma única loja.

Assim, uma mudança para o gerenciamento de riscos gira em torno da adoção de três tecnologias específicas: identidade, observabilidade e controle de acesso com uma abordagem Zero Trust abrangente governando a execução.

Um recurso essencial de um negócio digital é a segurança — a segurança de seus ativos digitais, de seus dados e das informações financeiras e pessoais de seus clientes.

Em um negócio digital, quase todas as interações são conduzidas digitalmente e, portanto, a segurança deve se tornar um cidadão de primeira classe do negócio e, para a TI, da arquitetura empresarial. Para a maioria, isso significará avaliar as práticas, ferramentas e políticas de segurança — muitas delas colocadas em prática de forma ad hoc para combater ataques crescentes e ameaças emergentes — com o objetivo de verificar se elas permanecem relevantes em um ambiente predominantemente digital. Uma abordagem mais deliberada e abrangente será necessária para proteger totalmente todos os ativos e interações digitais necessários para que a organização prospere em uma economia digital.

Muitas das facetas da operação de um negócio digital não foram consideradas quando as organizações colocaram suas bases tecnológicas em prática na forma de uma arquitetura empresarial. A segurança é uma dessas facetas insuficientemente consideradas.

À medida que avançamos em direção a um mundo digital por padrão, é necessário que as organizações modernizem a TI para dar suporte e permitir a taxa de mudança e a tomada de decisões baseada em dados necessárias para prosperar no futuro. Um passo significativo é a modernização da arquitetura empresarial. Isso deve incluir uma abordagem mais abrangente, abrangente e, em última análise, adaptável à segurança: uma abordagem de gestão de risco.  

Para saber mais sobre a modernização da arquitetura, especialmente a segurança, para atender a um negócio digital, mergulhe em nosso novo livro da O'Reilly, “ Arquitetura empresarial para negócios digitais ”.

Baixe o relatório