Risco Cibernético e a Arte na Cibersegurança
Belo Horizonte, 17 de Junho de 2022
“If you can’t measure it, you can’t improve it!” (Peter Drucker)
Nós vivemos rodeados de incertezas e riscos.
Talvez, umas das maiores certezas que temos seja a existência da incerteza.
Enquanto nos esforçamos para reduzir os riscos diante de cada decisão a tomar, a digitalização dos nossos sistemas e processos nos força a olhar com atenção para o desconhecido ciberespaço. Os sistemas digitais se integram cada vez mais em nosso dia-a-dia pessoal e profissional com o intuito de gerenciar o fluxo de informação e apoiar o processo de decisão, visando menos erros, maior eficiência/qualidade e a redução dos riscos.
O ciberespaço parece muito distante de nossa realidade, porém uma série de pequenas decisões tomadas nos leva a riscos cibernéticos muito maiores do que imaginamos. Decidimos usar uma senha fraca porque facilita lembrá-la. Decidimos acessar e fazer transações comerciais e financeiras em um site sem criptografia. Decidimos permitir o acesso à nossa localização, mesmo sem saber o propósito do seu uso pelo aplicativo. Esses poucos exemplos não consideram ainda cada decisão tomada (individualmente ou em grupo) pelo desenvolvedor do software e o projetista do hardware, que muitas vezes não incluem a segurança como parte dos seus projetos (precisamos avançar na aplicação de abordagens como security by design e privacy by design).
Ignoramos o componente “pessoas” da cibersegurança e enfatizamos o componente “tecnologia”. A tecnologia é usada para reduzir incertezas; sim, mas o que dizer do componente “pessoas”? Fiquei surpresa em recentemente ler que 43% das violações de segurança se originam dentro da organização por funcionários insatisfeitos ou por ações não intencionais dos funcionários, como uma configuração errada, por exemplo. O treinamento e a conscientização adequados são a chave para mitigar os ataques internos, além de um controle e políticas de acesso e uso. Seguir os princípios de privilégio mínimo e a confiança zero em nossos sistemas é uma boa prática técnica ao arquitetar os controles de acesso. Cuidar, educar e conscientizar o pessoal reduzirão os riscos de danos à instituição, além de torná-los resistentes a ameaças provenientes de engenharia social (spams e outros) que possam comprometer o sistema.
Porém, quando considera-se o componente “pessoas” na cibersegurança (e esse deve ser o caminho!), a cibersegurança se torna uma arte. Entendê-la e implementá-la requerem a cooperação entre múltiplas disciplinas. Arte pode ser vista de diferentes formas: uma habilidade; a expressão humana da criatividade e imaginação; a criação de artefatos a serem admirados por sua beleza ou poder emocional; algo que revela a verdade essencial ou oculta. Hacking, análise forense, inteligência de ameaças, engenharia social e muitas outras facetas da cibersegurança exigem anos de experiência, disciplina e treinamento. São habilidades lapidadas. Quando analisamos os testes de invasão (penetration tests ou apenas pentests), observamos que esses são a expressão máxima da criatividade, por exemplo, construindo falsificações elaboradas. Os testadores, também conhecidos como pentesters, aplicam o pensamento inovador e criativo para superar, contornar e passar por defesas com elegância.
Tanto os hackers quanto os profissionais de segurança cibernética trabalham duro. Eles planejam, testam, exploram, aperfeiçoam. O que é mais emocionante para os hackers do que romper as barreiras e invadir o sistema? Não seria esse mais um indício da cibersegurança como uma arte? Da mesma forma, as táticas de defesa, que podem atrair hackers para uma realidade falsa, são realmente uma arte. O que é mais emocionante (negativamente) do que descobrir que seu cartão foi clonado na Internet? Ou saber que sua organização foi invadida, todos os seus dados criptografados e o resgate custa uma fortuna? A cibersegurança é a arte que nos revela a dura verdade: os nossos sistemas digitais são extremamente vulneráveis a ataques cibernéticos e as consequências podem ser devastadoras.
O risco cibernético é mais um no largo espectro de riscos que vivenciamos dentro e fora das plataformas digitais. Gerenciar este risco encontra-se no mesmo patamar da arte na cibersegurança, ou seja, é sofisticado, requer elegância e, na maioria das vezes, complexo. As incertezas são tão grandes quanto a criatividade e a imaginação dos atacantes. Os esforços para avançar sistematicamente na gestão do risco cibernético devem se basear não apenas na Ciência da Computação ou Sistemas de Informação, mas também em áreas como Ciência Comportamental, Economia, Direito, Administração e Ciência Política.
Precisamos quebrar as barreiras e enfrentar os desafios da interdisciplinaridade a fim de avançarmos. Precisamos aperfeiçoar as medidas de risco a fim de eficientemente mensurá-las e de fato progredirmos nossos sistemas e nossa sociedade. Os riscos cibernéticos são a realidade não apenas da indústria, mas também de muitas organizações públicas. Precisamos impulsionar mais análises, discussões, pesquisas e colaboração interdisciplinar sobre esse assunto; do contrário permaneceremos limitados às barreiras de nossas áreas gerando distorções como por exemplo: profissionais de computação tentando criar leis; advogados propondo leis e regulações sem conhecer de fato os limites e o potencial da tecnologia.
Pensemos nisso!
Este é um convite para trabalhemos juntos e contribuir com o avanço de uma sociedade digitalizada e segura!
Eu também escrevi essas duas outras matérias, talvez você se interesse:
Comentários, sugestões, por favor, me escrevam.
Um abraço,
Michele Nogueira, D.Sc.
Professora Associada do Departamento de Ciência da Computação da UFMG
Pesquisadora do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) – nível 1D, Coordenadora da Comissão Especial de Segurança da Informação e de Sistemas Computacionais da SBC e membro titular do Conselho Nacional de Proteção dos Dados Pessoais e da Privacidade.
**Destaque para a imagem com efeito Monet.