Você reserva um lugar na mesa de transformação digital para seu CISO? Você deve.
Várias tendências estão levando a infraestrutura para o subsolo. A adoção generalizada de abordagens de automação e infraestrutura como código para gerenciar a base de aplicativos ofuscou a importância da miríade de tecnologias de rede e aplicativos necessárias para entregar e proteger aplicativos.
Os desenvolvedores não querem se preocupar com os detalhes da infraestrutura, principalmente no que se refere à rede. A computação em nuvem há muito tempo busca eliminar a necessidade de lidar com infraestrutura, recorrendo a APIs e ferramentas de configuração de arrastar e soltar para ajudar os avessos à rede e à infraestrutura a evitarem sujar as mãos. O Kubernetes, criado por desenvolvedores para desenvolvedores, habilmente deixa a rede e a infraestrutura de lado ao escondê-las sob uma camada de mágica de configuração e orquestração.
Mas isso não significa que devemos ignorar a existência da infraestrutura ou seu perfil como alvo principal de ataque.
A saber, três das dez principais vulnerabilidades rastreadas pelo IBM X-Force em 2020 eram vulnerabilidades relacionadas à infraestrutura.
Vou esperar enquanto você digere isso.
Preenchendo o top dez estavam as vulnerabilidades da plataforma e da estrutura do aplicativo, como você sem dúvida esperaria. Mas três deles — incluindo a vulnerabilidade mais explorada — tinham como alvo a infraestrutura.
Enquanto houver necessidade de infraestrutura — e isso significa o futuro previsível — haverá necessidade de protegê-la. A infraestrutura é o primeiro ponto de contato na maioria das arquiteturas, com firewalls, DNS e balanceadores de carga assumindo a liderança. Essas são infraestruturas críticas que podem, quando atacadas, derrubar toda a presença digital de uma organização. De fato, o Relatório Anual de Internet da Cisco observa: “Interrupções de infraestrutura também continuam sendo uma ameaça, com mais da metade das operadoras enfrentando esse problema”.
A relação entre infraestrutura e negócios continua morna. Para ser justo, os líderes empresariais dão quase a mesma importância à proteção da infraestrutura que dão aos negócios e aos aplicativos. O que quer dizer que eles são mornos em proteger, bem, tudo.
Escolhemos essas categorias com um motivo muito específico em mente: juntas, elas formam o "stack" de negócios digitais. Os negócios digitais dependem de aplicativos, e os aplicativos dependem de infraestrutura. Os três são inseparáveis no mundo digital padrão de hoje e, ainda assim, são obviamente vistos como coisas distintas a serem protegidas — ou não — com base em nossas percepções de sua importância por função na organização.
A desconexão que vemos evidente na importância atribuída à proteção dos principais alvos de ataque indica que a maioria das organizações ainda está amadurecendo em sua jornada de transformação digital. Negócios e TI precisam se unir como parceiros iguais para operar e proteger negócios digitais com eficiência. Isso significa que a TI precisa encarar a proteção dos negócios como algo tão importante quanto a infraestrutura — e vice-versa.
Embora a jornada de transformação digital tenha sido certamente acelerada pela COVID-19 e pela pressa em "tornar-se digital", a maturidade das práticas e percepções levará tempo para ser alcançada. Hoje, a PWC relata que, como resultado da COVID-19, mais da metade das empresas estão "mais propensas a considerar a segurança cibernética em todas as decisões comerciais — um aumento de 25% em relação à nossa pesquisa do ano passado".
Esse é um bom começo.
Uma das maneiras de avançar para organizações que ainda não adotaram essa prática é observar quem está sentado à mesa da transformação digital. Embora muitas vezes falemos sobre a necessidade de um assento exclusivo para o CIO, é menos provável que mencionemos a importância de convidar o CISO para a mesa.
O papel do CISO mudou ao longo do tempo, às vezes abruptamente. Em essência, a função exige foco em segurança. À medida que as empresas adotaram o digital como padrão, essa função se expandiu para uma função mais estratégica, uma função que envolve tanto operar com segurança quanto com rapidez. Isso significa que os CISOs precisam estar envolvidos na transformação digital desde o início, com o objetivo de implementar as políticas e proteções necessárias para que a organização proteja os dados corporativos e dos clientes, ao mesmo tempo em que permite a aceleração dos negócios digitais.
Se o seu CISO ainda não faz parte da conversa sobre transformação digital, ele precisa fazer. A infraestrutura ainda é um componente crítico dos negócios digitais e ainda é um vetor de ataque atraente, e proteger a infraestrutura ainda é uma responsabilidade do CISO.