As abordagens tradicionais de cibersegurança estão, em grande parte, distantes da inovação. Em vez de incorporar a segurança intrinsecamente a novos produtos, serviços e atividades comerciais, a abordagem convencional é aplicar de forma reativa os controles de segurança cibernética em conformidade com as políticas e padrões de segurança corporativa. Sob pressão para “agir rápido e quebrar as coisas”, é compreensível que as equipes de desenvolvimento às vezes omitam completamente a segurança nos lançamentos iniciais do produto. O problema dessa abordagem é que a implantação de controles cibernéticos sem entender, em detalhes, como uma determinada atividade comercial funciona invariavelmente a deixará desprotegida e, ao mesmo tempo, interferirá em sua operação eficiente. A segurança cibernética deve se expandir além de suas responsabilidades tradicionais de proteger os computadores da empresa para se tornar parte integrante da inovação comercial convencional, compartilhando a responsabilidade pela proteção e criação de valor comercial. A primeira etapa é incorporar a segurança cibernética ao design inicial de produtos, serviços e outros projetos baseados em tecnologia.
As tecnologias digitais estão transformando fundamentalmente a forma como as indústrias operam e fornecem valor aos clientes. Para acompanhar os esforços disruptivos da transformação digital, as empresas precisam inovar rapidamente para competir. No entanto, essas inovações introduzem novos riscos cibernéticos, à medida que as empresas adotam novas tecnologias ou aproveitam as existentes de novas maneiras, criando novos caminhos para ataques cibernéticos. Com a crescente importância da inovação digital nas operações, produtos e serviços comerciais, os riscos e consequências potenciais de um ataque cibernético bem-sucedido continuam aumentando, tornando os riscos mais altos do que nunca.
Para serem bem-sucedidas, as empresas devem garantir que seus produtos, serviços e operações comerciais sejam proativamente resilientes aos ataques cibernéticos, alterando o papel da segurança cibernética na inovação digital.
Resiliência proativa
Ao construir uma estrada de montanha, os construtores não decidem simplesmente a localização da estrada e esperam que os carros caiam do penhasco antes de implementar medidas de segurança, como grades de proteção. Em vez disso, eles analisam a natureza da estrada e seus riscos associados e implementam proativamente as medidas de proteção necessárias.
Da mesma forma, em transformações digitais bem-sucedidas, como comércio eletrônico, bancos e varejistas não implementam um meio de trocar informações confidenciais ou realizar transações, apenas decidindo implementar medidas de proteção após a ocorrência de um hack. Em vez disso, eles reconhecem os riscos potenciais com antecedência e implementam proativamente os controles de segurança cibernética como base para se protegerem contra eles.
Ao projetar qualquer novo produto ou serviço, é crucial identificar as condições necessárias para seu sucesso, segurança e escalabilidade. No contexto de uma transação comercial típica, essas condições podem envolver a verificação das identidades do comprador e do vendedor, a proteção de informações confidenciais e o fornecimento de comprovante de pagamento. É possível estabelecer esses objetivos com antecedência e antecipar quaisquer fatores que possam impedir que sejam alcançados.
Ao articular claramente esses objetivos para uma nova atividade comercial, é possível identificar e implantar as tecnologias de segurança cibernética necessárias para atingir esses objetivos e gerenciar com eficiência os riscos para eles.
Mas as abordagens tradicionais de cibersegurança estão, em grande parte, distantes da inovação. Em vez de incorporar a segurança intrinsecamente a novos produtos, serviços e atividades comerciais, a abordagem convencional é aplicar de forma reativa os controles de segurança cibernética em conformidade com as políticas e padrões de segurança corporativa. Sob pressão para “agir rápido e quebrar as coisas”, é compreensível que as equipes de desenvolvimento às vezes omitam completamente a segurança nos lançamentos iniciais do produto.
O problema dessa abordagem é que a implantação de controles cibernéticos sem entender, em detalhes, como uma determinada atividade comercial funciona invariavelmente a deixará desprotegida e, ao mesmo tempo, interferirá em sua operação eficiente. Essencialmente, você não pode proteger algo se não souber como funciona.
Embora os padrões de segurança cibernética e os processos de governança que garantem sua aplicação sejam úteis para manter uma boa higiene de segurança cibernética e proteger práticas comerciais legadas e imutáveis, eles deixam os novos produtos e serviços inadequadamente protegidos e interferem nas demandas da transformação digital.
As organizações em transformação digital enfrentam um dilema: falham em implementar suas estratégias de transformação digital, que são essenciais para a sobrevivência corporativa, ou comprometem sua segurança ao se exporem a riscos desconhecidos que não conseguem gerenciar, o que pode levar a consequências desastrosas.
Para garantir que produtos, serviços e operações comerciais sejam proativamente resilientes aos ataques cibernéticos, é necessária uma mudança fundamental no papel da segurança cibernética e em seu relacionamento com a organização. A segurança cibernética deve se expandir além de suas responsabilidades tradicionais de proteger os computadores da empresa para se tornar parte integrante da inovação comercial convencional, compartilhando a responsabilidade pela proteção e criação de valor comercial.
Integre a segurança cibernética ao design
A primeira etapa é incorporar a segurança cibernética ao design inicial de produtos, serviços e outros projetos baseados em tecnologia. Para atender às demandas do desenvolvimento tradicional de software com ciclos de lançamento regulares, a maioria das grandes organizações criou processos formais de governança que exigem análises de segurança cibernética em pontos de verificação durante todo o ciclo de vida do desenvolvimento e em testes de vulnerabilidade após a conclusão do desenvolvimento.
O problema é que as vulnerabilidades de segurança descobertas nesses estágios posteriores do ciclo de desenvolvimento do produto geralmente enviam os projetos de volta à prancheta, com o efeito de retardar o processo de desenvolvimento e arriscar reformulações caras para incorporar recursos de segurança que poderiam ter sido previstos como parte do design inicial. Ao integrar a segurança cibernética na fase de projeto, as organizações podem evitar essas ineficiências e garantir a velocidade e a agilidade necessárias para atender às demandas da transformação digital.
Responsabilidades complementares
Iniciar o processo de design com segurança cibernética é uma etapa crucial, mas também requer uma mudança significativa na mentalidade em relação à colaboração entre as equipes de segurança cibernética e design. Na prática, as equipes de produto se concentram na criação de excelentes produtos e recursos e têm uma tendência compreensível de ver a segurança cibernética como um obstáculo a ser superado ou, em alguns casos, totalmente evitado. Enquanto isso, as equipes de cibersegurança se concentram em gerenciar riscos gerais para computadores corporativos e avaliar os riscos associados ao produto final nesse contexto.
Para incorporar com sucesso a segurança cibernética ao design de novos produtos e serviços, as equipes de segurança cibernética e de design devem assumir responsabilidades complementares. A equipe de segurança cibernética deve fornecer consultoria e suporte em design e arquitetura de segurança, o que pode exigir novos recursos e habilidades. Isso exige uma cultura de colaboração, uma orientação a serviços e a capacidade de fornecer assistência no projeto de segurança cibernética, o que é diferente de simplesmente avaliar a conformidade com os padrões e práticas de segurança.
As equipes de produto, por outro lado, devem articular os requisitos de seus produtos e serviços com detalhes suficientes para facilitar a colaboração com a equipe de segurança cibernética. A parte mais desafiadora de avaliar a postura de cibersegurança de sistemas complexos é determinar como eles funcionam e o que fazem. Uma vez que isso seja entendido, determinar o conjunto apropriado de controles se torna simples.
Ao identificar os elementos essenciais necessários para o sucesso do projeto e as consequências de possíveis falhas, as equipes de produto e os colegas de segurança cibernética podem trabalhar juntos para aplicar com eficiência a tecnologia de segurança cibernética para alcançar os objetivos de negócios com segurança.
Ao integrar a segurança cibernética como um elemento essencial de inovação e promover uma responsabilidade compartilhada pela criação de valor comercial, as empresas podem ir além das avaliações de risco padrão de seus sistemas de computador e garantir proativamente a resiliência de seus produtos, serviços e operações comerciais gerais contra possíveis ataques cibernéticos no cenário em constante mudança da transformação digital.
