0
0
As palavras segurança e proteção são geralmente as mesmas em muitos idiomas. Isso também é verdade no mundo cibernético, onde frequentemente dizemos segurança cibernética quando realmente queremos dizer segurança cibernética . Eles são, no entanto, conceitos distintos, e a falta de precisão em nossa terminologia leva a mal-entendidos e confusão sobre as atividades que realizamos, as informações que compartilhamos e as expectativas que mantemos.
Para simplificar a distinção entre segurança e proteção, é útil colocar outro descritor na frente dessas palavras. Por exemplo, as práticas de segurança alimentar incluem higiene, inspeções de terceiros e listas de verificação. A segurança alimentar evoca preocupações sobre a escassez de fórmula infantil, envenenamento do suprimento de alimentos e fome. Segurança alimentar e segurança alimentar não são a mesma coisa.
Segurança Cibernética ≠ Segurança Cibernética
Da mesma forma, segurança cibernética e segurança cibernética não são a mesma coisa. Se você acredita que conformidade não é igual a segurança , talvez seja porque conformidade é sobre segurança. A adesão às boas práticas de segurança geralmente melhora a qualidade da saída, enquanto a segurança geralmente atrasa a saída. As boas práticas de segurança não eliminam a possibilidade de comprometimento intencional, mas as práticas que promovem resultados de maior qualidade permitem que os investigadores descartem rapidamente causas acidentais.
Se você se pergunta por que alguns tipos de informação cibernética são amplamente compartilhados e outros não, considere que, independentemente de afiliações geopolíticas, compartilhamos abertamente práticas de segurança nuclear, mas não práticas de segurança nuclear. Naturalmente, tendemos a ser transparentes sobre segurança, mas não sobre segurança. Geralmente, queremos que as medidas de segurança sejam muito visíveis, óbvias e bem conhecidas. Hotéis e companhias aéreas compartilham com destaque e repetidamente as medidas que tomaram para garantir nossa segurança. A maioria dos ambientes de fabricação exibe com destaque um sinal informando quanto tempo eles passaram sem um incidente de segurança.
Por outro lado, tendemos a manter as medidas de segurança invisíveis e desconhecidas (a menos que queiramos explicitamente deter os invasores por meio de exibições ostensivas de armas, guardas e portões). Essa mentalidade se estende ao compartilhamento de informações e pode explicar nossa relutância geral em compartilhar voluntariamente informações de segurança com terceiros (e até mesmo internamente).
As medidas de segurança podem estar ocultas em alguns casos, como airbags de carro e freios de elevador. Mesmo assim veremos certificados de inspeção para demonstrar que os padrões mínimos de segurança foram atendidos. Estamos sujeitos a inúmeras e diferentes inspeções no mundo cibernético, mas os resultados são muitas vezes ocultos à vista do público. Se as avaliações de rotina, como SOC2 e ISO27001, forem mais parecidas com inspeções de segurança, talvez esses resultados devam ser divulgados por padrão (como no SOC3) para comunicar quando cumprirmos as medidas mínimas de segurança cibernética.
Assumindo Responsabilidade Pessoal
As escolhas individuais têm um impacto direto na nossa segurança. Por exemplo, a maioria de nós sabe quais medidas podemos tomar para melhorar nossa higiene pessoal e ficamos chocados quando outros negligenciam ou ignoram essas medidas simples. A segurança, por outro lado, é muitas vezes vista como responsabilidade de outra pessoa com o indivíduo, geralmente limitada a um papel passivo de “ver alguma coisa, dizer alguma coisa”.
A segurança requer a participação ativa de todos e a maioria das pessoas adota as medidas de segurança como uma responsabilidade pessoal. Os indivíduos podem ver como podem contribuir diretamente para a melhoria (ou deterioração) da segurança. Podemos incutir um maior senso de responsabilidade pessoal e prestação de contas entre as partes interessadas de uma organização para manter a higiene cibernética adequada, reformulando adequadamente muitas atividades cibernéticas comuns que solicitamos a outras pessoas (por exemplo, patches) como ações para promover a segurança cibernética.
Para nos lembrar de nossa responsabilidade pessoal pela segurança, recebemos briefings de conscientização de segurança em todos os voos (com os comissários de bordo implorando para que prestemos atenção, mesmo que já tenhamos ouvido isso antes). Se você tentar dirigir sem os cintos de segurança afivelados, nossos veículos soam com tons agradáveis. Em muitos outros domínios, a conscientização sobre segurança acontece regularmente e não é reservada para apenas um mês em outubro.
Tornando a segurança utilizável
Enquadrar nossas atividades como segurança também pode ajudar os profissionais cibernéticos a entender que não podemos exagerar nas medidas de segurança cibernética. Muitos de nós podem desejar que todas as vulnerabilidades sejam corrigidas imediatamente, mas exigir que os trabalhadores de serviços de alimentação limpem as áreas de preparação de alimentos sempre que uma partícula de poeira cair traria uma parada brusca na produtividade. Da mesma forma, insistir na correção imediata de todas as vulnerabilidades de código pode dificultar o desenvolvimento de software. Para que as medidas de segurança sejam realmente eficazes, devemos entender e estabelecer margens de segurança razoáveis. O fato é que a maioria das vulnerabilidades não precisa ser corrigida imediatamente , e podemos aumentar nossa margem de segurança implementando controles compensatórios de segurança cibernética, permitindo adiar a correção para um momento mais oportuno.
É importante ressaltar que esses controles de segurança cibernética devem ser fáceis de usar, com pouca ou nenhuma margem para erros do operador. Infelizmente, estamos longe disso hoje. Nossos atuais mecanismos de segurança cibernética funcionam como assentos de segurança infantil da década de 1980: os pais devem descobrir um sistema de arnês complexo e, se errarem, são tratados como idiotas. Em nossos ambientes digitais de hoje, o usuário é frequentemente culpado por ser o elo mais fraco, apesar das interfaces confusas e inúteis.
Tornar as cadeiras de segurança para crianças mais fáceis de instalar exige a cooperação dos fabricantes de carros e cadeiras, bem como um requisito federal de conformidade com um sistema de trava . A responsabilidade pessoal ainda é um fator, mas a colaboração multipartidária entre reguladores federais, fabricantes de automóveis e fabricantes de assentos de segurança infantil permitiu que os pais evitassem erros comuns.
Essa coordenação entre produtores, consumidores e reguladores para segurança cibernética está em falta no mundo digital. Mas talvez o ponto de partida seja colocar todos na mesma página, entendendo as diferenças reais entre segurança cibernética e segurança cibernética.
FONTE: DARK READING