0
0
Alguém acha que as chances de sobreviver a um acidente de avião aumentam se nossas bandejas estiverem trancadas e nossas malas de mão completamente guardadas sob nossos assentos? Que ficaremos bem se o avião atingir uma montanha se tivermos os cintos de segurança bem apertados na cintura? Nem mesmo os comissários de bordo, que serão responsáveis por nos expulsar do avião se não obedecermos, realmente acreditam que esses rituais nos deixam mais seguros. E, no entanto, marcamos a caixa em todos os voos porque uma agência governamental disse que não podemos voar a menos que o façamos.
Estou começando a me perguntar se a obsessão em marcar caixas em segurança cibernética pode ser semelhante a proteger nossas bandejas antes da decolagem. Fazemos o que nos mandam, marcamos todas as caixas, damos tapinhas nas costas e, no processo, nos distraímos do nosso objetivo final: deter os maus atores e proteger nossos dados.
Comecei a pensar sobre esta realidade um tanto desconcertante da comunidade de segurança cibernética ao examinar os títulos de alguns dos participantes de uma recente conferência regional sobre segurança cibernética. Fiquei surpreso com a frequência de títulos que combinavam segurança com compliance. A saber: Gerente de Segurança da Informação e Conformidade, Gerente de Consultoria de Segurança e Conformidade, Gerente Sênior de Controles Internos e Conformidade, Gerente Sênior – Segurança de TI e Conformidade (entre outros). Somando-se a isso: inúmeros títulos de “auditor” – funções projetadas especificamente para garantir a fidelidade a vários requisitos de padrões.
Quase todas as violações corporativas se originam de uma destas três maneiras, e todos os profissionais de segurança cibernética sabem disso:
- Uma vulnerabilidade não corrigida
- Roubo de credenciais
- Instalação de software malicioso (normalmente via phishing)
Então, vamos tentar uma experiência. Pergunte a um CISO ou especialista experiente em segurança cibernética como eles defenderiam sua organização contra esses três tipos de violação se:
1. Eles poderiam ignorar completamente os padrões e a conformidade e não receberiam nenhum crédito por qualquer nível de conformidade (e não haveria ramificações para a não conformidade)
2. Eles poderiam redistribuir cada dólar do orçamento alocado para conformidade com padrões e auditoria da maneira que quisessem
3. Seu único objetivo era vencer o jogo (deter os malfeitores e minimizar o risco de comprometimento da organização)
Quantos determinariam que a melhor utilização dos seus recursos seria atingir ou manter a conformidade com uma norma de segurança cibernética? E quantos implementariam esses recursos de conformidade e auditoria para corrigir mais vulnerabilidades, investiriam em conhecimentos adicionais de segurança cibernética, ferramentas para identificar e reduzir a sua pegada de ameaças externas e inúmeras outras medidas eficazes para reduzir genuinamente o risco cibernético da sua organização?
Não é como se a dedicação à conformidade fosse mais uma garantia contra uma violação do que qualquer outra tecnologia, estratégia ou oração. Aqui estão alguns exemplos de empresas em conformidade que sofreram violações de alto perfil (obrigado ao ChatGPT por me poupar as horas de pesquisa necessárias para construir esta lista):
- Equifax (PCI e NIST CSF)
- Target (PCI)
- Marriott (PCI)
- Anthem (HIPAA)
- Premera Blue Cross (HIPAA)
- CareFirst BCBS (HIPAA)
- SolarWinds (NIST CSF)
É claro que esta não é uma lista exaustiva. Mostre-me uma grande empresa que foi violada e eu lhe mostrarei uma grande empresa que aderiu a vários padrões de conformidade.
Na verdade, ainda este mês, várias agências governamentais dos EUA foram vítimas de um ataque que explorava uma vulnerabilidade num software de transferência de ficheiros (embora de dia zero). É justo presumir que existem vários regulamentos estritamente cumpridos pelas agências que acabaram de ser violadas.
Então, por que continuamos obcecados com conformidade, padrões, estruturas de segurança cibernética, etc.? A razão óbvia é que as organizações podem ser multadas por não conformidade.
E, no entanto, tem havido pouco esforço entre os especialistas em segurança cibernética para desafiar as agências reguladoras. Na verdade, muitos abraçam a conformidade com entusiasmo e parabenizam a si mesmos e às suas equipes por alcançá-la. E, claro, ninguém ama mais os padrões de conformidade do que os fornecedores, assim como todos os barbeiros do mundo celebrariam uma nova lei que exige que todos cortem o cabelo semanalmente.
A razão menos óbvia para o amor da nossa comunidade pela conformidade é que ela cobre os traseiros. “Sim, fomos violados, mas fizemos tudo o que deveríamos fazer, então não nos culpe.” Os treinadores de todos os esportes identificarão isso como uma atitude de perdedor. Os campeões sabem que não existe uma fórmula para vencer e não há desculpa para perder, especialmente “fizemos tudo o que deveríamos e ainda assim perdemos”. É clichê, mas os melhores times e atletas “simplesmente sabem vencer”.
Estou sugerindo que abandonemos as estruturas e a conformidade? Não imediatamente, e não sem debate e análise sérios. Mas pode-se argumentar que a filosofia centrada na conformidade que rege a tomada de decisões em segurança cibernética hoje simplesmente não está funcionando, e nós, na segurança cibernética, somos a personificação viva da (não) definição de insanidade de Einstein: fazer a mesma coisa repetidamente e esperando um resultado diferente.
Os gastos com segurança cibernética continuam a aumentar, mas os incidentes de violação também estão aumentando. Não deveria ser um sacrilégio propor que considerássemos mudar a nossa filosofia fundamental, deixando de assinalar as caixas num formulário de auditoria de conformidade para fazermos tudo o que faz sentido para defender as nossas organizações e vencer.
FONTE: HELP NET SECURITY