O facilitador de confiança: Estratégias de segurança cibernética para um futuro digital
Na era da transformação digital, a confiança é um ativo elusivo, mas que está ao alcance das organizações que implementam ações assertivas – como a adoção de uma estratégia de segurança cibernética sustentável e voltada para o futuro.
Janeiro | 2023“Leva-se 20 anos para construir uma reputação e alguns minutos de incidente cibernético para arruiná-la.” Essa declaração feita por Stéphane Nappo, então Chief Information Security Officer da Société Générale, em artigo para a 1st Global Cyber Security Observatory ilustra a fragilidade da confiança na esfera digital. A melhor maneira de uma organização lidar com o cenário de ameaças – que está sempre mudando rapidamente – é ter uma estratégia de segurança cibernética clara e bem estruturada. Essa estratégia funciona como um escudo para as turbulências provocadas pela transformação digital, e é capaz de proteger os ativos tangíveis e intangíveis das empresas, incluindo sua reputação.
A transformação digital é amplamente influenciada por um conjunto de fatores-chave que estão moldando o futuro. Esses aspectos de mudanças são caracterizados pela volatilidade, incerteza, complexidade e ambiguidade (VUCA, na sigla em inglês). Em um mundo VUCA, empresas, indivíduos e sociedade enfrentam novos riscos e ameaças – aqueles que líderes de Riscos, pessoas em posições C-level, profissionais de TI e legisladores devem se preocupar em gerenciar. Essas ameaças podem corroer a confiança de produtos e serviços, minando uma reputação cuidadosamente construída, até mesmo da empresa mais valiosa do mercado.
Ao analisar os motivadores e as tendências que afetam o futuro da confiança digital, tomadores de decisão podem desenvolver de forma proativa estratégias que os capacitem para o enfrentamento de desafios mais prováveis à sua frente. O estudo global da Deloitte “Future of Digital Trust” identificou oito implicações críticas das tendências digitais: fragmentação e expansão da responsabilidade com o digital; sustentabilidade; governança de dados; digital como entidade especial; obsolescência da verdade singular; evolução da metodologia; o potencial habilitador da tecnologia; potencial habilitador da tecnologia; e a importância da qualidade da interconexão – que pessoas executivas em posições C-level e demais tomadores de decisão devem considerar ao desenvolver estratégias visando o futuro. O artigo se baseia nessas implicações, mostrando às partes interessadas como explorá-las em busca de insights que encorajem a confiança digital; cada uma delas deve ser considerada na abordagem de uma organização à segurança cibernética.
Algumas empresas podem ainda não estar cientes da amplitude e profundidade das implicações apresentadas no estudo, e outras podem nem sequer ter considerado a inclusão delas em suas estratégias de segurança cibernética. No entanto, esses aspectos são relevantes e eles permitem que as organizações invistam em esforços para mitigar proativamente os riscos associados a processos, tecnologia, pessoas e governança. Por trás de cada passo para alcançar uma transformação digital bem-sucedida está uma estratégia de segurança cibernética hermética: a bússola que aponta o caminho para a confiança digital.
O que é confiança digital?
Pense na confiança digital como um novo pré-requisito dos bons e velhos valores, como confiabilidade, credibilidade ou segurança, aplicados no espaço digital. Fundamentalmente, a confiança digital é um fator essencial para a digitalização sustentável e bem-sucedida de longo prazo de uma organização.
Em um relacionamento de confiança, não é preciso se preocupar em revelar vulnerabilidades; cada parte interessada pode contar com o tratamento responsável de tudo o que for apresentado. No contexto da digitalização, a confiança é a certeza do indivíduo que uma organização tratará os dados com segurança e responsabilidade no ambiente digital. A confiança digital assumiu uma nova atribuição à medida que a mudança para práticas e soluções tecnológicas eliminou axiomas previamente aceitos, interrompendo ações nas indústrias que visavam novos comportamentos e propósitos.
Para incorporar o conceito às estratégias de longo prazo, duas principais questões devem ser respondidas: quais forças motrizes (motivadores) e tendências formarão o futuro da confiança digital na sociedade e economia. Além disso, deve-se questionar também como a segurança cibernética pode ser um facilitador para uma transformação digital sustentável e confiável? Vamos nos concentrar primeiro nos motivadores e tendências, que levam a implicações que ajudam a construir uma estratégia de segurança cibernética forte.
Metodologia de análise e projeções para o futuro
É impossível prever exatamente o rumo de ações de desenvolvimento no futuro, mas a metodologia de negócios Future Foresight da Deloitte visa expandir a visão e compreensão das forças que moldam o amanhã, reduzindo o “ruído” gerado por grandes estereótipos. Com este modelo, tomadores de decisão e stakeholders podem se concentrar em fatores relevantes que, de alguma forma, poderiam escapar da avaliação deles e, consequentemente fazer com que se tornem habilitados para tomar decisões robustas, mas flexíveis.
O método Future Foresight pode permitir o desenvolvimento de estratégias de longo prazo, construindo uma base externa que se tornará interna. Começando com as forças motrizes, as tendências são derivadas e das implicações consideradas. Ao contrário de muitos métodos tradicionais, esse processo captura as complexidades ao nosso redor. Isso ajuda empresas a enfrentar e lidar diariamente com as questões mais urgentes e difíceis.
Transformação digital: a jornada em direção à confiança
Se vemos a confiança digital como o ponto máximo de uma jornada ascendente, a estratégia de segurança cibernética está logo abaixo. Mas, para formar uma estratégia bem-sucedida, precisamos reconhecer o desafio e os elementos-chave que estão com menos prioridade. Todos os elementos descritos abaixo — forças motrizes, tendências e implicações — são explorados em detalhes em nosso estudo “Future of Digital Trust”.
Forças motrizes
Por exemplo, na base de uma montanha estão os indivíduos, influenciando variáveis já estabelecidas, emergentes ou, em vez disso, no horizonte distante: os motivadores. Um caso existente pode ser a velocidade da globalização ou a economia digital. Os motivadores podem ser categorizados como sociais, tecnológicos, econômicos, ambientais, políticos ou legais (também conhecido como estrutura STEEPL, em inglês). Os motivadores variam em seu impacto e na incerteza de seu desenvolvimento. Identificá-los nos ajuda a delinear o ambiente altamente dinâmico que vivemos hoje, localizando com precisão a mudança que acontece ao nosso redor.
Tendências
As forças motrizes se unem para formar tendências que mostram desenvolvimentos abrangentes com potencial para moldar o futuro; elas são encontradas em vários setores, e mostram o caráter interdisciplinar da confiança digital, que vai além da tecnologia. As tendências consideram a natureza da interação do motivador individual, e como isso pode catalisar — ou paralisar atividades. Por exemplo, no atual contexto, a tendência “supersecuritização” descreve um investimento descoordenado em medidas de segurança de TI. Ela também é influenciada por fatores ligados a recursos cibernéticos nocivos e defensivos, proteção de dados e regulamentos de privacidade.
Implicações
A interação das tendências entre si revela oito principais implicações que apresentam várias oportunidades e desafios em todos os setores e núcleos de prioridades de negócios em termos de confiança digital. Analisadas individualmente, as implicações destacam pontos de ação exclusivos para cada organização. Juntas, elas formam a base para a criação ou revisão de estratégias e políticas de segurança cibernética de longo prazo que aumentarão a confiança digital.
Construindo uma estratégia de segurança cibernética que possibilite a confiança digital
Tendo compreendido as relações entre os elementos que influenciam a confiança digital, podemos obter ideias sólidas das oito implicações, e considerá-las no desenvolvimento de estratégias à prova do futuro. Abaixo, apresentamos três das oito implicações no contexto da segurança cibernética, destacando recomendações concretas. O mesmo tipo de exame também pode ser aplicado às outras cinco implicações.
- Reavaliação do potencial habilitador da tecnologia
No contexto da segurança cibernética, duas perspectivas precisam ser consideradas. Primeiro, a quantidade cada vez maior de informações está intensificando a complexidade dos processos – que é o maior entrave para uma segurança cibernética adequada. A complexidade não pode ser aumentada, mas caso seja, ela só tende a complicar a interconectividade e a proliferação exponencial de novos terminais digitais. Padrões e métodos devem ajudar a reduzir essas complexidades, além de melhorar a colaboração e automatizar respostas, usando o potencial de qualquer nova tecnologia que surgir.
A segunda perspectiva é encontrada olhando por uma “lente de segurança”. Os avanços tecnológicos estão transformando os modelos de negócios existentes e, consequentemente às mudanças, surgem também novos meios de ataques. Os invasores não devem ser os únicos a explorar todo o potencial das novas ferramentas digitais. A tecnologia deve acomodar requisitos de negócios específicos, ameaças e riscos; isso requer um conhecimento profundo das necessidades de negócios e do cenário de ameaças atual. A estratégia de segurança cibernética deve permitir serviços e combiná-los com táticas e objetivos de defesa, permitindo uma transformação digital segura.
Recomendações derivadas desta implicação para estratégias de segurança cibernética:
- Eficiência: Automatize serviços/funções de segurança cibernética de ponta a ponta, desde a identificação até os recursos de recuperação. Muitos serviços e processos de segurança cibernética são conduzidos manualmente, mas a eficiência e a qualidade dos resultados podem ser aprimoradas com tecnologias de automação ou inteligência artificial;
- Eficácia: Siga uma abordagem com base em risco e priorize ações de acordo com os investimentos relacionados à capacitação de negócios. Isso significa utilizar verba onde é mais importante e gera mais impacto.
- Segurança: Construa arquiteturas de segurança modernas que incluam os mais recentes avanços tecnológicos e serviços resilientes, seguindo princípios como “nunca confie, sempre verifique”. Isso permitirá flexibilidade e adaptação segura em um cenário de negócios e tecnologia que estão sempre mudando rapidamente.
Aplicando o insight
Um exercício útil ao desenvolver uma estratégia de segurança cibernética é extrair as principais questões e etapas obtidas a partir dos insights de uma implicação. Abaixo está uma das oito implicações para análise. Contudo o tomador de decisão também deve repetir o exercício para as outras sete.
Implicação: A reavaliação do potencial habilitador da tecnologia.
Caso de uso: Adote uma abordagem de gerenciamento de arquitetura de tecnologia considerando as etapas a seguir e as perguntas correspondentes respectivamente.
- Analise o cenário de tecnologia e arquitetura. (Quais tecnologias e fornecedores já existem? Onde há lacunas que precisam ser corrigidas? Temos redundâncias e sobreposições? Podemos economizar dinheiro eliminando ferramentas?)
- Conduza a análise da fonte de dados. (Quais fontes de dados temos com base em nosso cenário de tecnologia? Quais dados já estão disponíveis por meio das várias plataformas? Quais dados disponíveis podem ser processados posteriormente, bem como combinados?)
- Crie plataformas de inteligência de negócios automatizadas, conduzindo exames e monitoramento em tempo real que aumentam a segurança e realizam análises de causa raiz. (Quais casos de uso podem ser criados com base nas ferramentas e dados existentes? Quais insights obtemos monitorando e analisando esses feeds de dados?)
- Fragmentação e expansão da responsabilidade e prestação de contas para o digital
O ônus de garantir um ambiente digital confiável — que inclui segurança cibernética — mudou de players únicos para vários interessados internos e externos, seja por pressão pública ou por regulamentações e leis. O fardo recai sobre uma ampla variedade de stakeholders dos setores público e privado que não eram tradicionalmente responsáveis pela esfera digital.
Isso significa que, dentro de uma empresa, a responsabilidade pela segurança não pode mais ser dividida em entidades separadas, devido ao aumento da complexidade e das dependências. As fronteiras clássicas que separam negócios, tecnologia operacional e da informação, além de produtos digitais conectados foram interrompidas. Para estabelecer a confiança digital, os modelos de governança e a responsabilidade devem refletir a interconexão de tudo no âmbito cibernético.
Recomendações derivadas desta implicação para estratégias de segurança cibernética:
- Abordagem de cocriação: As estratégias modernas de segurança cibernética não podem ser desenvolvidas somente no departamento de segurança da informação da organização, que é frequentemente isolado; desenvolva as estratégias juntamente com o restante da empresa e seu sistema, incluindo representantes de segurança cibernética;
- Responsabilidades compartilhadas: Desenvolva modelos de governança e planejamento abrangentes para incluir funções e responsabilidades cibernéticas claramente definidas, tanto técnicas quanto não técnicas, em toda a organização (negócios, TI etc.). Dessa forma, do ponto de vista da segurança do produto, a responsabilidade da segurança cibernética por componentes ou sistemas deve ser claramente designada e dividida entre os vários stakeholders (por exemplo, fornecedores) ao longo de todo o ciclo de vida, desde o início das atividades de desenvolvimento até a pós-produção;
- Priorização e customização: Uma estratégia deve atender aos objetivos de negócios enquanto protege os ativos mais críticos para estabelecer confiança, em vez de focar controles amplos ou apenas relacionados à tecnologia.
Além da confiança: completando uma estratégia sólida
As implicações discutidas neste artigo e os insights que elas revelam enfocam principalmente a confiança digital. Mas a noção de “bom senso” ainda deve fazer parte da base de uma estratégia de segurança cibernética sólida. Incluindo:
- Considerar objetivos estratégicos claros que atendam aos requisitos de negócios, estabelecendo uma estratégia que segue os princípios de design moderno (como “nunca confie, sempre verifique”);
- Usar princípios ágeis, que podem acompanhar o ambiente digital que está sempre mudando rapidamente, além de se adaptar às disrupturas contínuas e tendências emergentes durante o desenvolvimento e implementação da estratégia;
- Combinar a empresa e seu interesse de mitigar risco à demanda de segurança cibernética e aos objetivos de negócios;
- Promover uma reputação externa positiva e confiável; isso é fundamental para ganhar a confiança digital. Portanto, as estratégias de segurança cibernética devem sempre ajudar a criar e preservar uma marca bem-sucedida, estabelecendo comunicação e ações confiáveis com todas as partes, sejam elas internas e externas.
- Supremacia dos dados como princípio governante
A pauta sobre dados está continuamente crescendo e se diversificando, e por isso sua governança se expandiu para muito além da privacidade e da regulamentação. A incrível influência, relevância e importância dos dados devem ser reconhecidas de forma proativa nas estratégias de segurança cibernética — gerenciando, em vez de apenas orientar. À medida que mudamos para modelos de negócios digitais com base em dados e plataformas, estamos cercados por serviços inteligentes e personalizados. Eles criam e usam informações pessoais (dados de mobilidade, estatísticas de saúde, detalhes de transações financeiras, etc.). Construir confiança nesses serviços digitais é fundamental, e o manuseio de dados deve ser administrado da mesma forma que gerenciamos nosso mundo analógico.
Recomendições derivadas desta implicação para estratégias de segurança cibernética:
- Redefinição do gerenciamento do ciclo de vida dos dados: Na esfera digital, os ciclos de vida dos dados devem ser repensados quando aplicados no mundo infinitamente interconectado — desde a criação até a exclusão final — especialmente no que diz respeito ao número cada vez maior de interfaces e dispositivos/ferramentas que se comunicam entre si;
- Criação de estruturas: Crie estruturas para medidas técnicas e organizacionais que abordarão a quantidade crescente de dados. Por exemplo, defina e mantenha continuamente os padrões de segurança alinhados com a evolução dos recursos do provedor de nuvem e o uso dela. Além disso, monitore continuamente a conformidade com os padrões de segurança e habilite a correção automática, quando possível. Finalmente, estabeleça inteligência de alta qualidade e recursos de monitoramento (como inteligência de código aberto, centro de operações de segurança ou informações de segurança e estruturas de gerenciamento de eventos), com o objetivo de estar vigilante, além de identificar ameaças reais no ambiente digital;
- Estabelecimento da governança de dados em todo o ciclo de vida: Da criação à exclusão, a governança deve abranger as várias interfaces e entidades consumidoras. Por exemplo, pode-se designar autoria e propriedade de dados digitais, definindo e mantendo requisitos de proteção modernos para eles, especialmente para garantir sua integridade e confidencialidade. Isso ajudará a criar confiança em todos os estágios — desde dados em ativos até dados inativos. Além disso, a transmissão de dados por meio das fronteiras corporativas deve ser controlada e monitorada adequadamente, com base em métodos de classificação de dados claramente definidos, como a nuvem pública.
No auge: da estratégia à confiança digital
Dia após dia, a segurança cibernética está se tornando cada vez mais importante. No entanto, líderes de negócios podem estar negligenciando sua influência em clientes e colaboradores, que se preocupam com suas interações diárias com a tecnologia enquanto os invasores procuram constantemente novas maneiras de ataque. A confiança digital provavelmente só será concedida a organizações que implementam estratégias modernas de cibersegurança, pensadas para o futuro.
Há uma série de fatores que afetam a confiabilidade e, no auge dela, está a promessa de um patrimônio e relacionamento digital protegidos para clientes e funcionários. A segurança cibernética é um facilitador para atingir esse nível — e, em última análise, apoiar a criação e preservação de uma organização confiável e reconhecida. Analisando as implicações da confiança digital nas estratégias de segurança cibernética de longo prazo e o que deve ser considerado no processo de desenvolvimento, tomadores de decisão e as partes interessadas podem transformar radicalmente o mundo VUCA. A volatilidade se torna visão, a incerteza em compreensão, a complexidade em clareza e a ambiguidade em agilidade.