A segurança da informação tem sido uma parte intrigante do nosso passado, é uma parte crítica do nosso presente e será um fator determinante no nosso futuro. Existem ações que devem ser abordadas no nível micro/individual e desafios que devemos abordar de forma colaborativa como uma indústria avançando.
A economia da segurança é clara: “Não há estabilidade financeira sem cibersegurança”, escreve Loretta J. Mester, Presidente e CEO do Federal Reserve Bank, de Cleveland. De fato, a percepção de segurança cibernética ruim demonstrou reduzir o preço das ações e os múltiplos de preço das ações, prejudicar a reputação da marca, diminuir a participação de mercado, reduzir as vendas, precipitar multas, adicionar despesas legais e dificultar a contratação de funcionários de qualidade. Ter um futuro requer dominar a segurança da informação.
O caminho para o futuro domínio da segurança da informação inclui:
Reconhecer responsabilidades/responsabilidades individuais,
Tornar explícitas as crenças individuais de segurança da informação,
Praticar uma boa higiene cibernética,
Prestar atenção à cadeia de fornecimento de software e
Endurer de componentes de tecnologia operacional.
Não é mais sobre espectadores
Para a grande maioria da era digital até hoje, a segurança da informação era um esporte pouco frequentado por espectadores. Trabalhadores, clientes, executivos e membros do conselho basicamente sentaram-se nas arquibancadas enquanto os magos da informação [profissionais de segurança] lutavam contra os maus atores nas sombras.
O relacionamento distante da humanidade com a segurança da informação acabou! No futuro, todos que usam um dispositivo estão envolvidos com segurança cibernética; todos que usam um dispositivo melhoram ou degradam a segurança cibernética; e todos têm um papel e um conjunto correspondente de responsabilidades em relação à segurança da informação.
Prevejo que até o final desta década as responsabilidades pela segurança da informação serão explicitamente especificadas para todos os indivíduos com mais de cinco anos de idade. No final de cada dia, trimestre, ano e carreira, os executivos serão julgados e recompensados/punidos por terem melhorado ou degradado a segurança cibernética de sua comunidade e local de trabalho.
Não é minha intenção, nem prática efetiva, “culpar o usuário” por todos os nossos problemas cibernéticos. No entanto, precisamos garantir que todos os indivíduos da empresa saibam que têm um papel a desempenhar na segurança da informação.
Pense, diga, faça
Você não precisa ser futurista, psicólogo ou antropólogo para saber que frequentemente há uma grande discrepância entre o que as pessoas pensam, o que dizem e o que fazem. No futuro, a cibersegurança será menos sobre ciência da computação e mais sobre ciência comportamental.
A segurança da informação requer mudança de comportamento. Para mudar o comportamento, temos que gerenciar o que as pessoas sabem e como as pessoas pensam sobre segurança da informação. Para fazer isso, temos que entender o que as pessoas acreditam sobre segurança da informação.
Crença, conhecimento e mudança de comportamento estão inextricavelmente ligados. O primeiro passo é avaliar com precisão o que cada funcionário da empresa acredita sobre segurança da informação. Isso só pode ser feito por meio de entrevistas práticas, feitas por gerentes. O Pollster Nate Silver rotula a saída de tais interações como “vibrações no solo”.
Prevejo que os resultados dessas avaliações individuais revelarão duas crenças fortemente arraigadas e totalmente disfuncionais sobre segurança da informação:
“Eu não sou importante e ninguém está olhando para mim”.
“Eu não posso impedi-los, mesmo que eu quisesse”.
Pratique a higiene cibernética básica
Cada um de nós precisa promover e praticar uma boa higiene cibernética. A higiene cibredaçãoernética inclui, mas não se limita a, boas práticas de senha, processos robustos de correção de vulnerabilidades, detecção, prevenção e remediação oportunas, implementação de proteções para prevenir e bloquear malware e garantir protocolos de acesso robustos.
Atender a essas práticas recomendadas ajudará bastante a melhorar a segurança geral. De acordo com o Relatório de Defesa Digital de 2021 da Microsoft, quase 70% das violações de dados foram causadas por phishing e 98% dos ataques podem ser evitados com higiene básica de segurança.
Desafios da indústria
À medida que adotamos responsabilidades individuais por bons comportamentos de segurança da informação, removendo assim o “fruto mais fácil” para os maus atores, podemos esperar que o foco dos ataques cibernéticos mude. Duas áreas a serem observadas são a tecnologia operacional e a cadeia de suprimentos de software.
Os profissionais de segurança alertam há anos sobre ataques potencialmente devastadores à tecnologia operacional [por exemplo, linhas de produção de plantas, tecnologia de fabricação, serviços públicos, elevadores, termostatos, luzes e veículos]. O ataque à Colonial Pipeline foi um alerta para muitos.
Outro ataque, este no final de 2020, colocou a segurança da cadeia de suprimentos de software em destaque. O ataque ao fornecedor de software de monitoramento de rede SolarWinds colocou os usuários de seu software Orion em risco, incluindo instituições e agências governamentais dos EUA.
O desenvolvimento de software moderno tem sido comparado a fazer um bolo. Sem o conhecimento de muitos executivos, os componentes do bolo de software não são todos gerados internamente. Hackers inteligentes descobriram que é muito mais lucrativo hackear um componente de software instalado em milhares de empresas do que hackear as próprias empresas.
A grande preocupação do futuro imediato da segurança da informação é que componentes de software amplamente implantados possam ter sido comprometidos. As organizações estão revisitando cuidadosamente seu software “Bill of Materials”.