O valor é subjetivo. Se você vir um cartão de índice sobre uma mesa ao entrar em minha casa, pode considerá-lo um pedaço de papel insignificante e de pouco valor, mas como ele contém a receita de mostarda doce e picante da minha falecida avó, acho que não tem preço. O mesmo cartão de índice, duas interpretações completamente diferentes de seu valor. Todos os ativos digitais são como este cartão de índice. O valor delas é subjetivo para cada empresa, mas o ponto principal é que elas têm valor. Ativos digitais com valor — novamente, reconheço que quero dizer todos eles — precisam ser protegidos.
Embora uma política de tolerância zero ao risco tenha sido frequentemente uma abordagem de segurança para empresas, empresas digitais maduras reconhecem que uma abordagem de risco versus recompensa à segurança é melhor . Nas lojas físicas, é fácil perceber uma abordagem de risco versus recompensa na maneira como elas organizam e protegem seus produtos para venda. Itens de baixo valor (ah, essa palavra de novo) são facilmente disponibilizados aos clientes, enquanto itens de alto valor são colocados em vitrines trancadas. A facilidade de acesso melhora a experiência do cliente e a probabilidade de compra, ao mesmo tempo em que aumenta a facilidade de roubo e perda potencial. Mas, embora atribuir valor a produtos físicos e ativos digitais com equivalências monetárias seja fácil, atribuir valor a ativos digitais intangíveis apresenta um desafio maior.
A proteção dos ativos digitais intangíveis de uma empresa — seu código proprietário, dados operacionais e de clientes (telemetria), modelos de aprendizado de máquina (ML), etc. — é tão importante quanto proteger seu sistema, site de comércio eletrônico e transações de clientes. Uma violação desses bens intangíveis é semelhante à violação da honra de um cavaleiro nos tempos medievais. Embora a honra não tenha o mesmo valor tangível que o ouro e as pedras preciosas, os cavaleiros a protegeriam com suas vidas porque isso lhes permitia competir em torneios, comparecer à corte e ganhar o favor de damas da nobreza.
Uma violação nos ativos digitais de uma empresa prejudica a reputação da marca e expõe a empresa à perda de oportunidades de desenvolvimento ou à obtenção de novos métodos de renda. Tomemos como exemplo o varejista americano Kroger, que cria valor derivado a partir dos dados de seus clientes para abrir fluxos de receita com outras empresas. Se esse ativo digital fosse facilmente acessível aos agentes de ameaças, a Kroger não seria capaz de monetizar os insights subsequentes sobre os hábitos de compra dos clientes e as motivações de compra que eles derivam dele. Mas um firewall amplo e abrangente não é necessariamente suficiente para considerar o ativo digital seguro.
Os métodos de proteção que as empresas empregam para proteger seus ativos digitais retornarão à discussão anterior sobre valor. Continuando com o exemplo da Kroger, seus insights são claramente de alto valor, pois estão diretamente relacionados a um fluxo de receita. Os dados como um ativo digital de suporte podem não estar trancados atrás de uma porta guardada por um cavaleiro dentro do seu castelo com um fosso e uma ponte levadiça, mas também não é algo que você deseja que pessoas de fora tenham acesso para roubar ou corromper. Isso significa que você precisa determinar o quão valioso você acha que ele é e protegê-lo adequadamente, o que nos leva de volta à mudança para uma abordagem de segurança de risco versus recompensa, tudo isso possibilitado por arquiteturas empresariais modernas.
Arquiteturas empresariais modernas adotam segurança que fornece uma estrutura de proteção. Ferramentas de aplicação determinísticas, como autenticação e controle de acesso, são utilizadas juntamente com camadas de consciência situacional e políticas de remediação com reconhecimento de riscos.
Para aprender como fazer escolhas conscientes de risco para a segurança de aplicativos modernos e criar uma estrutura para proteção de ativos digitais, leia “Indo além da luta ou fuga”, um capítulo do renomado engenheiro Ken Arora em nosso livro da O'Reilly, Arquitetura empresarial para negócios digitais .