Economia da Transformação de Rede e Segurança – Parte 3

Views: 27
0 0
Read Time:8 Minute, 18 Second

Uma revisão de estrutura e estratégia para gerenciar a transformação de rede e segurança é muito necessária. Todos os CIO, CISO e CTO hoje estarão avaliando seus custos contínuos para executar e operar um programa de rede e segurança seguro para 2021 e além. Nas partes 1 e 2 desta série de três partes, expliquei quais números devem alimentar esses cálculos e medidas e como o desempenho, flexibilidade e escalabilidade são todos fundamentais para essa transformação. Estamos agora em uma fase crítica para decidir como serão nossas redes e programas de segurança em um futuro próximo… e só temos uma chance de acertar.

Impulsionar o crescimento de primeira linha, melhorando o resultado final com eficiência de custos operacionais

Pergunte a um conselho qual é o seu objetivo final para a transformação digital e está melhorando o crescimento de primeira linha, aplicando eficiências de custos operacionais para manter um resultado final saudável. A transformação vem com novos custos, mas à medida que as equipes de projetos se tornam mais experientes com a transformação digital, então vêm as eficiências econômicas.

Essa mesma abordagem se aplica à transformação de rede e segurança. Agora temos organizações que seguiram os mesmos princípios de design e mudaram, ou estão se movendo, suas tecnologias de segurança e controles para a nuvem. Esses conjuntos de habilidades estão em alta demanda à medida que cada vez mais organizações percebem o valor dessa transformação. Esse movimento também permite que a organização simplifique suas projeções orçamentárias e foque na gestão de despesas, reduzindo suas despesas imprevisíveis de CAPEX e passando para um modelo previsível baseado em assinatura opex que suporta eficiência de custos operacionais. Mais sobre isso depois. Resumindo, um ganha-ganha. Não só é mais simples de prever, mas à medida que a segurança se torna uma indústria baseada em serviços, ela apoiará a evasão de custos e permitirá oportunidades adicionais de consolidação.

Foram-se os dias de roteamento de tráfego pela internet pública e através de uma miríade de aparelhos todos fazendo tentativas de inspecionar e decodificar o tráfego com a equipe precisando realizar revisões regulares para cada aparelho para avaliar o ROI/TCO e fazer a pergunta óbvia: “Ainda precisamos disso e há uma opção melhor?” Hoje, todas as organizações têm a oportunidade de usar microsserviços baseados em nuvem quando as necessidades surgem sem projetos caros e revisões arquitetônicas. Para pensar nisso como uma analogia, é semelhante a reservar uma viagem internacional e usar uma dúzia de companhias aéreas e aeroportos para levá-lo ao seu destino. Cada conexão de voo requer outra verificação de segurança onde você e sua bagagem precisam ser escaneados. Agora considere pagar um grande prêmio por isso. Dada a escolha, todos escolherão uma opção direta econômica com a mesma ou melhor segurança aplicada sob demanda. É sobre isso que a transformação de rede e segurança deve ser simples, rápida e segura sem atrasos desnecessários.

Flexibilidade fora dos limites da TI

À medida que transformamos nossas redes e seguranças e movemos nossos controles de segurança para a nuvem, devemos avaliar como pensamos sobre previsão e orçamento. Proteger um usuário (prefiro muito mais me referir aos usuários como funcionários) em nosso ambiente é uma despesa tipicamente avaliada para cada ano orçamentário. Se temos 20.000 funcionários, é óbvio que será mais caro e exigirá mais recursos do que garantir 2.000 funcionários. O problema com as organizações é que eles não podem prever com precisão como será a contagem de seus funcionários nos 3-5 anos seguintes. O desafio são as fusões e aquisições (M&A), um agente de mudança que ocorre para a maioria das organizações que agitarão qualquer estratégia de TI e segurança. Com fusões e respostas, prever os custos de onboarding geralmente envolve pensar em novos hardwares ou até mesmo em substituição de hardware para dimensionar para os novos requisitos da organização. Esses tipos de desafios podem levar meses para planejar e aplicar, e normalmente atrasarão uma organização em um momento crítico. No entanto, à medida que as organizações abraçam e usam a nuvem, podemos usar sistematicamente os benefícios flexíveis da nuvem para escalar quando necessário sem compromisso. Adicionar outros 5.000 funcionários a um Next Gen Secure Web Gateway (NG SWG) baseado em nuvem é tão simples quanto atualizar a licença. Sem hardware novo, sem hardware de envio para novos locais, sem racking e empilhamento, e aquisição de espaço no armário. Essa flexibilidade fora dos limites legados da TI não deve ser subestimada.

Como já superamos alguns dos desafios mais difíceis do passado e simplificamos o onboarding, precisamos pensar em outras oportunidades para se consolidar. Acho que todos concordamos que a organização média adquiriu muitas tecnologias e soluções ao longo dos anos que estão prontas para serem reposições em um mundo em nuvem. A primeira declaração que ouço da maioria dos CISOs ao discutir a transformação da segurança é: “Preciso me consolidar”. A consolidação de tecnologias não é uma tarefa fácil, mas pode ser facilitada usando conceitos como o Secure Access Service Edge (SASE) para identificar quais recursos-chave são necessários para apoiar o futuro ecossistema da organização. Um ponto fundamental para a arquitetura futura da maioria das organizações é o foco no seguinte, idealmente no menor número possível de plataformas com integrações de API e uma rede global rápida e performática para fornecer acesso a aplicativos de negócios e infraestrutura.

  • Acesso à rede de identidade e zero (IAM e ZTNA)
  • Nuvem/Gateway de segurança da Web e da nuvem (SWG e CASB)
  • Proteção de dados (Classificação de Dados e DLP)
  • Proteção contra ameaças (anti-malware, sandboxing, isolamento do navegador)
  • Proteção de ponto final (NG-AV, EDR)
  • Automação e Orquestração (SIEM e SOAR)

À medida que avaliamos a redução de custos e este novo modelo conceitual, devemos continuar a garantir que vejamos valor, benefício e redução geral de riscos para nossas organizações, ao mesmo tempo em que fornecemos a melhor conectividade e flexibilidade à nossa força de trabalho. Afinal, um orçamento de segurança deve ser sempre adequado ao apetite de risco da organização.

Valor do negócio, benefício e redução de riscos

À medida que olhamos para o valor, benefícios e, em última análise, oportunidades de redução de riscos e melhor eficácia de controle, muitas vezes é difícil chegar a um valor realista em risco. Existem vários sabores de avaliação dessas posturas de risco e certamente há muitos debates em torno desse tema. Bruce Schneier escreveu um ótimo artigo sobre este mesmo tópico para a CSO em setembro de 2008 que envelheceu relativamente bem. No que diz respeito à abordagem tradicional de colocar um valor em dólar em risco, ele afirma: “A metodologia clássica é chamada de expectativa anualizada de perda (ALE), e é simples. Calcule o custo de um incidente de segurança em ambos os tangíveis, como tempo e dinheiro, e intangíveis, como reputação e vantagem competitiva. Multiplique isso por acaso o incidente ocorrerá em um ano. Isso diz quanto você deve gastar para mitigar o risco.”

Essa abordagem “probabilidade x impacto” tem sido o método que todos nós tentamos implementar de uma forma, forma ou forma para obter alguma semelhança de um indicador financeiro do custo dos riscos que identificamos e estamos tentando gerenciar. O problema, como Bruce também aponta, é que os resultados resultantes desses cálculos essencialmente funcionam contra nós quando conversam com líderes empresariais, e são ofuscados pela falta de bons dados que temos como insumos.

Por exemplo, se o custo calculado de um determinado risco for de US $ 40.000 anualmente e o custo total de propriedade das pessoas, processo e tecnologia com a intenção de gerenciar melhor ou reduzir esse risco é de US $ 65.000 anualmente, imagine o que o CFO vai querer saber. Quão precisos são nossos dados sobre os fatores que vão para medir o impacto (perda real, reputação, etc.), e quão precisos nossos dados são para determinar a probabilidade real? E, mesmo que todos concordemos com esses números, como o CFO interpreta e escolhe finalmente permitir que você invista pode obviamente ser influenciado por esses e muitos outros fatores. Ao falar com muitos na indústria, bem como de nossas próprias experiências como praticantes, muitas vezes é o desafio de fazer a ponte entre a lacuna na compreensão. Se você não entende os verdadeiros níveis e perspectivas de tolerância ao risco da sua organização, você pode realmente estar lutando uma batalha difícil.

Ao fazer considerações sobre a gestão de riscos; é fundamental determinar o quão efetivamente os riscos são gerenciados. Do ponto de vista da segurança cibernética, muitas vezes veremos as organizações alinharem políticas e controles a estruturas padronizadas que muitas vezes são auditadas por terceiros anualmente para determinar maturidade, alinhamento e progresso geral. As equipes de segurança, então, muitas vezes são forçadas a priorizar reativamente muitos de seus esforços pós-avaliação para abordar os resultados.

Do ponto de vista da gestão de riscos, onde uma organização progride em termos de risco, torna-se puramente uma saída dos esforços colocados para responder aos resultados da avaliação. Estruturas de Valor em Risco como FAIR (Factor Analysis of Information Risk) chamam essa abordagem de método implícito de gerenciamento de riscos devido à sua natureza reativa e à falta de um loop de feedback consistente. O resultado é, muitas vezes, menos controle do resultado da gestão de riscos a partir de uma perspectiva de exposição à perda, uma vez que os elementos de probabilidade e impacto não são incluídos nativamente nos quadros. Uma postura proativa de gestão de riscos, em contraste, tem uma meta de risco muito explícita que é constantemente gerenciada como resultado de feedback e insumos no processo de gestão de riscos.

À medida que avaliamos a eficiência de custos operacionais, flexibilidade, redução de custos, valor dos negócios e melhor gestão de riscos como prática, buscamos trabalhar dentro de um modelo que informa e suporte continuamente ajustes proativos de nossos controles para lidar com um cenário de custo, benefício de negócios e riscos em constante mudança.

FONTE: NETSKOPE

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *