Taking Enterprise Security to the Next Level

Taking Enterprise Security to the Next Level

Uma entrevista com John Summers, Vice-Presidente Empresarial e Gerente Geral da Akamai Technologies

O que os líderes de negócios precisam entender sobre as atuais ameaças à cibersegurança empresarial?

No mundo da segurança corporativa, os dias de ameaças genéricas acabaram. As ameaças são altamente direcionadas à sua organização por pessoas em uma missão de buscar algo, geralmente propriedade intelectual ou informações pessoais ou financeiras. Ou a missão é simplesmente entrar e espiar as atividades da organização.

As pessoas que fazem isso são altamente qualificadas e bem-capacitadas. Alguns dos melhores em defesa cibernética são os agentes do estado-nação. Eles são persistentes e pacientes, e fazem o melhor para voar completamente fora do radar, fazendo com que suas interações com sua infraestrutura e negócios e as pessoas pareçam as mais inocentes possível. É uma nova classe de ameaça. Ela evoluiu ao longo dos últimos anos e está realmente tornando a segurança muito mais desafiadora.

Enquanto isso, os líderes de negócios têm a necessidade de conduzir suas organizações a uma maior agilidade e a agregar novo valor a clientes e parceiros de negócios, cadeias de fornecimento e cadeias de distribuição. As empresas precisam digitalizar para que possam operar e mudar com cada vez mais rapidez. Por necessidade, eles se conectam mais, se comunicam mais e utilizam mais a infraestrutura de nuvem.

Portanto, ao mesmo tempo em que os agentes de ameaças estão ficando cada vez mais sorrateiros nas formas como penetram na infraestrutura tecnológica, as empresas precisam fazer com que suas infraestruturas sejam mais permeáveis, para abrir conexões que possam tornar a empresa competitiva. Essa é atualmente a tensão central da cibersegurança. Como abrir uma empresa para avançar mais rapidamente, mas permanecendo atenta e se defendendo contra as formas como ela é ameaçada?

O que os líderes de negócios devem saber sobre as atuais abordagens comuns de segurança?

Historicamente, todos no setor de segurança saem da camada de segurança de rede. Esse é o mundo dos fossos e muros altos em que existia o lado de dentro e o lado de fora. Mas esse mundo está desaparecendo. Uma empresa altamente interconectada tem partes da infraestrutura e seus usuários em outros lugares, e não atrás de muros, mas fora com os clientes, com os parceiros de negócios e, em seguida, conectando-se às aplicações críticas para os negócios de locais às vezes distantes.

Essa conectividade generalizada torna a mentalidade herdada de segurança de rede amplamente irrelevante. Quando você acessa uma aplicação pela Internet, ela não está atravessando uma rede controlada por você e, portanto, os controles da camada de rede são muito menos eficazes na detecção e na deflexão das ameaças cibernéticas.

Qual é a alternativa necessária?

A perspectiva de segurança precisa evoluir para fora da rede e até as camadas do usuário, dos dados e da aplicação. Esses são os novos pontos de controle, os lugares em que se deve controlar as interações comerciais no mundo da infraestrutura de nuvem. Você precisa saber quem são os usuários. Você precisa saber a quais aplicações eles devem ter acesso e conceder a eles apenas esse acesso. E você precisa ter certeza de que os dados que passam entre usuários e aplicações são os dados corretos e estão seguros enquanto em trânsito. Eu chamo isso de evolução da segurança de "pacote, porta e protocolo" para "usuário, dados e aplicação".

O desafio é que precisamos de muito mais profissionais de segurança treinados em novas abordagens e controles. E os fornecedores devem mudar sua opinião acerca da segurança empresarial no mundo altamente distribuído e conectado. A Akamai possui vantagens reais aqui porque crescemos para entregar conteúdo com segurança pela Internet e criamos nossa plataforma diretamente na malha da Web. Tivemos que operar por 19 anos no nível do ativo: usuário, dados, aplicação, o dispositivo que está se comunicando conosco. Isso implica em autenticação forte, criptografia forte e visibilidade completa, independentemente das redes em uso.

A Internet é composta por algo da ordem de 15.000 redes diferentes. Quando você opera no meio disso, a segurança na camada do ativo é a sua única opção. Estamos ansiosos para compartilhar com os clientes o que aprendemos ao longo desses 19 anos sobre como levar a segurança para o próximo nível necessário.

Por favor, fale mais sobre o que deve acontecer nos bastidores para proteger esses ativos.

Você precisa ter visibilidade dos ativos e de seus comportamentos para determinar o quanto eles podem ser confiáveis e quanto risco de negócios pode haver ao confiar neles.

Sempre tivemos identidades de usuário em um modelo tradicional de segurança corporativa, mas agora essas identidades precisam ser usadas para acessar aplicações, incluindo as principais aplicações SaaS, que residem na nuvem e não em nossos data centers.

Como uma extensão do usuário, precisamos saber coisas sobre o dispositivo que está sendo usado. Ele é gerenciado pela empresa ou é um dispositivo amplamente não gerenciado escolhido pelo usuário? As políticas e as práticas de segurança precisam considerar o BYOD (Traga seu Próprio Dispositivo) para facilitar as coisas para o usuário.

Com qualquer aplicação na nuvem, precisamos ter certeza de que o usuário está acessando a aplicação correta, bem como se a aplicação é totalmente confiável, ou apenas parcialmente confiável, ou não se sabe. Isso é extremamente importante, por exemplo, quando os usuários são vítimas de ataques de spear phishing clicando em links de e-mail que parecem vir de fontes familiares ou que fazem parte dos negócios normais. Para detectar possíveis ataques, precisamos saber o que está sendo comunicado e a confiabilidade do destino.

E depois há dados. Tentar garantir isso começa com a compreensão da sua importância. Os dados que estão sendo transmitidos entre o usuário e a aplicação são críticos para a empresa, ou não são tão críticos, ou não nos importamos se forem roubados? A classificação dos dados é realmente embrionário na maioria das empresas. As pessoas falam sobre isso conforme necessário, mas poucas organizações fazem isso bem. Um executivo de serviços financeiros nos confidenciou que existem basicamente apenas duas classes de dados: "Coisas pelas quais posso ter problemas e tudo mais."

Na proteção de todos esses ativos, precisamos reconhecer que as decisões e as ações de segurança são muito menos dissecadas do que costumavam ser. Não se trata de aprovar ou bloquear o acesso a endereços IP. Não é tão preto no branco. Precisamos ser muito mais sutis em nossas decisões de segurança, precisamos de uma visibilidade muito mais granular do que está acontecendo, e precisamos correr muito mais riscos comerciais na aplicação da política de segurança.

Quais são os benefícios comerciais de um modelo de cibersegurança mais baseado em riscos?

O objetivo é reduzir os riscos para os negócios, os riscos para a marca e, ao mesmo tempo, não atrapalhar a inovação, a aceleração e a mudança. Idealmente, as práticas de segurança possibilitam maior agilidade nos negócios, permitem que a empresa distribua novas aplicações continuamente de uma forma em que cada nova versão não exponha a empresa a riscos adicionais.

Isso representa uma mudança profunda. Historicamente, a segurança tem sido considerada uma barreira, algo que precisa ser superado para alcançar um objetivo comercial. Muitas vezes, as pessoas de segurança se consideram guardiãs. Você pode fazer isso, você não pode fazer isso.

Em vez disso, a segurança deve orientar a empresa sobre como ela pode atingir seus objetivos de maneira a gerar o menor risco e a maior oportunidade. A segurança deve ser vista como uma fonte de avaliação de riscos e orientação sobre como reduzir os riscos a um nível que permita que a empresa busque oportunidades. Os CSOs precisam dar aos seus colegas de negócios uma opção em torno da variação do risco que a empresa pode assumir. Nenhuma organização de segurança pode levar o risco a zero.

Qual é um exemplo de práticas de segurança que permitem agilidade dos negócios?

Trabalhamos com a equipe digital de uma grande empresa de serviços financeiros. Eles têm tudo a ver com novas aplicações, inovação rápida, experimentação rápida e novo valor comercial. Eles queriam poder implantar novas aplicações rapidamente, mas com confiança em sua segurança. Juntos, desenvolvemos uma estrutura de implantação de aplicações com uma camada de segurança integrada, de modo que todas as aplicações fossem arquitetadas para serem escaláveis e seguras desde o início.

As ferramentas de segurança que estavam usando, para verificações e monitoramento, autenticação e controle de acesso, foram todas incluídas na estrutura. Assim, os desenvolvedores poderiam apenas fazer seu trabalho de criar novas aplicações. A segurança não foi uma etapa adicional a ser incluída, ela estava integrada. Os métodos de segurança passaram de ser uma barreira para ser um facilitador.

Aqui está uma extensão para essa abordagem. Cada vez mais, as aplicações incorporam APIs e comunicações entre máquinas. A maioria das organizações não presta muita atenção à segurança dessas comunicações entre máquinas, entre APIs, entre bits de software. Elas vinculam um conjunto completo de APIs e, em seguida, adicionam um pacote de segurança apenas onde a aplicação se comunica com a Web ou com o usuário.

No entanto, se você pode incorporar comunicações seguras na camada de API, é uma grande vantagem para qualquer aplicação que use essas APIs. A segurança é incorporada ao software para o que é válido para a API enviar e receber. As aplicações podem ser implantadas com mais rapidez e, ao mesmo tempo, ser totalmente seguras.

O princípio fundamental aqui é que a segurança precisa ser projetada conforme você pensa na infraestrutura de negócios, e precisa ser integrada à infraestrutura, não sobreposta em uma data posterior. É ao criar novos dados que você deve pensar na sua importância para a empresa, em vez de tentar adicionar posteriormente uma classificação de segurança. Ao implantar aplicações, a segurança já deve ser incorporada. Esse é o próximo limite de práticas de segurança que as organizações precisam superar.

Como as organizações devem começar a usar o caminho para uma segurança mais baseada em ativos e orientada a riscos?

Você quer integrar a segurança mais diretamente à estrutura da empresa. Inicie a exploração em torno dos processos de negócios e não da infraestrutura. Observe os dados que estão sendo trocados entre várias etapas em um processo e avalie o risco potencial para a empresa de perder alguns desses dados em cada uma dessas etapas. Em seguida, coloque em vigor os controles de segurança corretos em torno de quem pode participar do processo, qual autenticação é necessária em cada extremidade das comunicações, e quais devem ser as limitações e os controles dessas comunicações. Se você pode pensar na segurança na camada de processos dos negócios, tudo fica muito mais evidente conforme você se move para baixo na camada de infraestrutura.

Você também quer unir mais de perto os domínios de segurança e o desenvolvimento das aplicações. Muitas vezes, dizem que a segurança é trabalho de todos, mas você não conseguirá treinar todos os seus desenvolvedores sobre como ser pessoal de segurança. No entanto, como discutido anteriormente, você pode criar uma estrutura de aplicações que facilita para as pessoas o desenvolvimento de novas aplicações com segurança integrada. No processo, você verá quais competências adicionais são necessárias no grupo de segurança em torno da segurança da camada de aplicação e dos mecanismos de controle de acesso de usuário e de dados.

Qual é o seu conselho final para CIOs e CSOs sobre como acelerar o progresso levando a segurança cibernética para o próximo nível?

Primeiro, não se deve temer a adoção da nuvem. Ela deve ser adotada. Ela pode realmente ajudar você a se tornar mais seguro ao mesmo tempo em que está ajudando sua empresa a se tornar mais ágil, mais rentável e capaz de crescer mais rapidamente.

Em segundo lugar, siga o princípio da confiança zero. Você deve presumir que tudo está potencialmente comprometido e deve implementar políticas comerciais e de segurança com base nessa suposição. É apenas nos casos fáceis que você sabe quando algo é definitivamente bom ou definitivamente ruim. A maior parte do mundo da segurança é a área cinzenta no meio. Portanto, você precisa avaliar o quão arriscado as coisas podem ser e reunir evidências ao longo do tempo para atualizar sua postura de segurança.

Em terceiro lugar, assuma a responsabilidade de conduzir os negócios em relação aos riscos, não apenas tomando decisões de proteção. É uma função maior e de maior valor agregado. Os profissionais de segurança são realmente profissionais de riscos, que precisam pensar especificamente sobre como os riscos comerciais são impulsionados pelos riscos de segurança, não apenas sobre os riscos de segurança. Dessa forma, os negócios podem ter nuances sobre estratégia e política de segurança, assim como sobre estratégia e táticas de negócios.

Conteúdo relacionado ao CIO