A Miopia dos CISO

Há 15 anos, escrevi um artigo intitulado "A Miopia do CSO". Naquela época, meu objetivo era destacar uma limitação crítica na gestão de segurança da informação. Demonstrei como muitos profissionais da área enfrentavam dificuldades em gerenciar todos os aspectos necessários para criar políticas e processos eficazes. A conclusão que eu buscava instigar era que, em grande parte, esse problema se devia a uma abordagem excessivamente centrada na própria organização e em seus recursos habituais.

Refletir sobre como seria gerir sua empresa sem os seus dados mais importantes ou, pior ainda, imaginar que toda esta informação poderia cair em mãos erradas, parecia, apesar de óbvio, bastante provocativo. Infelizmente, essa desconfortável realidade tornou-se e consolidou-se uma característica do cenário atual, onde casos de vazamento de dados, ataques cibernéticos, quebra de segredos e espionagem industrial são frequentemente noticiados em diversos meios de comunicação. Em um extremo, as ameaças à segurança nacional, como a ciberguerra, também acentuaram ainda mais a necessidade urgente de proteção de dados.

 Diante desse não tão novo cenário de riscos crescentes, as estruturas organizacionais precisaram e precisam constantemente reinventar-se e com isso o papel do CSO evoluiu para incluir novas responsabilidades, como a gestão de vulnerabilidades, riscos e cibersegurança. Assim, podemos dizer que esse profissional ganhou, além de muitas novas preocupações e responsabilidades, uma nova letra para compor seu título: Transforma-se o tradicional CSO em um novo, repaginado, e agora ainda mais cansado CISO (Chief Information Security Officer).

E o CISO “pegou” a carta do Mico.

Como em vários outros cargos de gestão, o CISO também é o profissional responsável por equalizar as relações de custo vs. benefício dos investimentos que serão aplicados em sua área, mais especificamente, a segurança e riscos que recaem sobre seus dados vs. a viabilidade dos custos/investimentos direcionados a este propósito. Obviamente, para estas decisões, é crucial encontrar equilíbrio entre os esforços aplicados e seus resultados, pois níveis excessivos e/ou mal direcionados, seja de burocracias operacionais ou de custos/investimentos, podem tornar toda a operação complexa, lenta e onerosa e por conseguinte inviabilizar projetos e negócios.

E é isso, ao mesmo tempo que percebemos o empenho do mercado em buscar soluções que tentarão garantir a tríade de segurança — Confidencialidade, Integridade e Disponibilidade (C.I.A.), vemos diferentes órgãos regulatórios implementando uma variedade de normas e padrões de segurança, como PCI-DSS, ISO/IEC 27001, HIPAA, e legislações como a LGPD e o GDPR, cada qual com seu propósito, mas sempre com o objetivo comum de garantir a tríade de segurança.

CISO - Compliance e regulamentações.

 Como podemos ver no gráfico abaixo, os tipos de vulnerabilidades registradas ao longo dos anos continuam a se concentrar em categorias principais muito semelhantes, embora com um aumento no número absoluto de ocorrências devido à expansão das superfícies de ataque.

OWASP categorização ao longo dos anos – Imagem: F5 Labs.

Informações como as apresentadas anteriormente ressaltam a importância crítica das análises e ferramentas para um CISO. Essas ferramentas são essenciais para aprimorar e atualizar os mecanismos de controle lógicos e físicos, ajudando a reduzir os riscos associados às vulnerabilidades já identificadas e contempladas nas políticas das organizações.

No entanto, parece que o “grau utilizado nos óculos” do agora CISO não foi suficiente para superar a crônica miopia que assola o cargo, pois a problemática fundamental permanece em grande parte inalterada. O processo construtivo pelo qual as empresas continuam a desenvolver e estruturar suas políticas ainda utiliza uma visão “inbox”, ou seja, uma perspectiva interna e por consequência de abrangência limitada; essa “abordagem” não foi, não é, e dificilmente será, suficiente para abarcar toda a gama de vulnerabilidades existentes na empresa.

Calma, eu explico: Somente quem não vivencia o dia a dia da organização consegue se afastar o suficiente do centro do problema para enxergá-lo sob outra perspectiva. É por isso que, enquanto tivermos um CISO tentando basear suas políticas de segurança exclusivamente em seus conhecimentos sobre a organização e em seus recursos habituais, será bastante improvável que essas políticas cubram todas as lacunas possíveis e imagináveis. Pior ainda é imaginar que, apoiadas nessas políticas, uma infinidade de instituições se torna prisioneira de sua pseudosegurança.

 É exatamente isso que chamo de miopia do CSO, ou melhor, agora do CISO: acreditar que a construção de uma política 100% “made in company” pode ser suficiente para controlar todos os aspectos da segurança. Isso é "ignorar" o fato de que os criminosos não seguem suas regras e políticas; eles pensam de maneira diferente, têm experiências diversas e, no final do dia, são muitos contra poucos.

CISO - Visão “inbox”

Quando age assim, o CISO aumenta significativamente o risco de controlar apenas os aspectos cobertos por essa visão "inbox", sem considerar uma grande porção de outras ameaças reais e imprevistas que podem ultrapassar suas medidas de segurança.

Pode-se dizer que a limitação de confiar exclusivamente nas políticas internas e no conhecimento do CISO e de sua equipe destaca a necessidade de uma perspectiva externa e especializada para fortalecer a segurança das organizações, e para isto profissionais e empresas especializadas podem oferecer visões mais imparciais; menos viciadas.

Serviços de pentest, por exemplo, permitem a simulação de ataques reais em seu ambiente, testando a eficácia das medidas de segurança sob condições adversas. Como os criminosos não seguem as regras estabelecidas pelas políticas internas, os pentesters imitam comportamentos e técnicas de ataque utilizados por criminosos reais o que ajuda a identificar fraquezas que poderiam ser exploradas por atacantes externos, que operam fora dos limites impostos pela política de segurança da empresa, e muitas vezes da própria lei.

Por fim, o que quero dizer é que a incorporação de uma perspectiva “outbox”, com vistas a amenizar problemas enraizados na visão “inbox” habitual, seja no suporte a fase de construção e atualização das políticas internas, seja na ampliação da base de conhecimento para consolidação das defesas, pode ajudar a remediar esta incomoda miopia que discutimos há anos.

Jordan Bonagura
Consultor Senior de Segurança na Secure Ideas
Jordan é um Consultor Senior de Segurança da Informação na Secure Ideas. Caso tenha qualquer pergunta adicional, sinta-se a vontade para entrar em contato com ele no jordan.bonagura@secureideas.com or ainda encontrá-lo no LinkedIn.