É muito comum em qualquer mercado falarmos de tendências e nos preocuparmos com o futuro, mas será que estamos tratando dos problemas de agora? E será que os problemas futuros não são criados por falhas que estão acontecendo neste momento?
Dentro de segurança, existem dezenas de frentes de trabalho, desde controles técnicos até gestão de riscos. No entanto, quero destacar dois pontos que podem fazer a diferença na implementação de um programa de segurança e que deveriam ser uma constante tendência para os profissionais e empresas: o equilíbrio entre segurança e o negócio através da experiência do usuário, e a avaliação constante do ferramental de cybersecurity.
Alcançar o equilíbrio entre segurança e experiência do usuário requer uma abordagem centrada no usuário, uso inteligente da tecnologia e um foco constante na educação e conscientização. Na prática, podemos adotar algumas medidas:
- Pesquisa constante de satisfação com os usuários;
- Envolvimento de especialistas em experiência do usuário no desenvolvimento de segurança;
- Uso de Single Sign-On (SSO) para redução da quantidade de senhas que precisam ser lembradas;
- Treinamento e conscientização de segurança contínua;
- Utilização de biometria para facilitar o processo de autenticação;
- Implementação de autenticação adaptativa que se ajusta ao comportamento do usuário e contexto da transação.
Após a implantação de controles e ferramentas de segurança, é fundamental avaliar sua eficácia para garantir os benefícios esperados. Existem algumas estratégias e métodos utilizados, tais como:
- Realização de auditorias internas e externas;
- Execução de testes de intrusão no ambiente;
- Avaliações de vulnerabilidade;
- Análise e revisão de logs de eventos;
- Implantação de indicadores de segurança;
- Execução de simulações de incidentes;
- Realização de benchmarking com o mercado;
- Simulações de phishing;
- Coleta de feedback dos colaboradores.
Mas, para não deixarmos as tendências de lado, vamos analisar o relatório Cybersecurity Outlook 2024 do Fórum Econômico Mundial (WEF), que levantou os principais desafios apontados pelas empresas para este ano.
Aumento da desigualdade entre as empresas ciber-resilientes e as que não são: apesar do número de empresas que se declaram possuir controles mínimos de segurança ter aumentado, as pequenas e médias empresas ainda estão longe do patamar de maturidade das grandes organizações.
Novas tecnologias trarão desafios a longo prazo na cibersegurança: novas tecnologias como a inteligência artificial trarão novos riscos ao ambiente tecnológico na mesma proporção que os benefícios, porém a expectativa é mais sombria – estaremos sempre um passo atrás dos atacantes.
Dificuldade de busca e retenção de talentos em cibersegurança: mais uma vez, nada de novo aqui. Já faz anos que a demanda por recursos especializados em segurança é escassa e a previsão não é boa; segundo a ISC2, o Brasil tem um déficit de mais de 200 mil profissionais.
Aproximação das áreas de segurança com o negócio: essa aproximação tem se tornado cada vez mais comum em todas as empresas entrevistadas, o que mostra uma genuína preocupação do negócio com a segurança.
Desafio com a gestão de parceiros no ecossistema de segurança: para todas as organizações entrevistadas, os parceiros de segurança são ativos importantes em todo o ecossistema, bem como um grande desafio.
As empresas que conseguirem endereçar de alguma maneira todos esses pontos estarão em vantagem. Isso não significa zerar todos os riscos, mas alcançar um equilíbrio entre segurança e negócios, reter talentos-chave, controlar e reduzir os sistemas legados, fazer o “básico bem feito” e adotar novas tecnologias. Dessa forma, estarão criando uma cultura de cibersegurança sólida e mais preparada para reagir aos ataques.
Todos os pontos expostos são de conhecimento de longa data e, à medida que as empresas conseguem tratá-los, a maturidade vai aumentando e, consequentemente, o risco de segurança diminui.
