Kyndryl: A segurança cibernética consiste em gerenciar os riscos de forma eficaz

Uma boa estratégia de segurança cibernética deve sempre começar pela definição do risco que a empresa está disposta a tolerar, e essa é uma tarefa na qual o gerente de segurança de TI deve envolver as áreas de negócios. Mas também é essencial que, ao preparar a estratégia de segurança cibernética, o CISO descreva claramente os investimentos e as ações que apoiarão os esforços de redução de riscos da empresa. Essa é a recomendação de Kris Lovejoy, Global Practice Leader, Security & Resiliency da Kyndryl.

"Com muita frequência, tenho visto CISOs fracassarem porque não têm clareza sobre o valor que os investimentos trarão em termos de pessoas, processos e tecnologia. Sem um entendimento explícito, a gerência geralmente espera que os investimentos possibilitem uma proteção perfeita. Todos nós sabemos que isso não é possível", enfatiza.

Isso inclui, é claro, a adoção da inteligência artificial generativa. Para Kris Lovejoy, a GenAI é uma ferramenta que pode permitir que as equipes de segurança de TI aprimorem sua capacidade de lidar com o atual ataque de ameaças, mas usá-la como um "parceiro confiável" requer primeiro o estabelecimento de limites e governança adequados.

Em uma entrevista à ComputerWeekly Brasil, a especialista em segurança cibernética e privacidade também discute por que a simplificação dos ambientes de TI e a modernização das infraestruturas legadas são necessárias para melhorar a segurança de TI, bem como a importância de investir em treinamento e exercícios que fortaleçam a conscientização dos funcionários e criem uma cultura de resiliência cibernética corporativa.

Uma das recomendações feitas aos CIOs e CISOs é trabalhar na simplificação dos ambientes de TI para melhorar seu gerenciamento e segurança. Mas como começar a fazer isso? Existem modelos diferentes para fazê-lo e qual você acha que é a melhor maneira de fazer isso?

Kris Lovejoy: É sempre mais fácil abordar a simplificação a partir de uma perspectiva de "serviços essenciais primeiro". Supondo que você tenha uma compreensão precisa dos sistemas que dão suporte às oportunidades de negócios essenciais, eu recomendaria que os CIOs e CSOs analisassem os controles de segurança para determinar se há uma oportunidade de consolidar fornecedores e reduzir custos, com o objetivo de transferir a economia para a automação dos controles.

Ao mesmo tempo, para sistemas não críticos, considere opções para interromper seu uso ou, pelo menos, simplificar radicalmente a infraestrutura que dá suporte à sua operação. Independentemente de onde você esteja nessa jornada, tenha em mente que o sucesso depende de uma cultura de colaboração e dedicação à melhoria contínua. Sem esses ingredientes, qualquer processo de simplificação fracassará.

Kris Lovejoy

As ameaças e os riscos à segurança cibernética podem vir de várias frentes e estão em constante evolução. As ferramentas baseadas em IA estão equipadas para identificá-los com sucesso?

Lovejoy: Cada vez mais, a IA está melhorando a capacidade das organizações de identificar e detectar possíveis ameaças e vulnerabilidades de forma muito mais rápida e ágil. Com os altos níveis de dados que chegam diariamente às equipes de segurança, dar sentido a eles se tornou um grande desafio. Como resultado, as organizações têm usado o aprendizado de máquina e a IA para filtrar o ruído de forma mais eficaz usando técnicas de automação e análise. Vemos a IA generativa como a próxima evolução da IA e do aprendizado de máquina. Se as proteções corretas forem implementadas, a IA generativa poderá dar o próximo passo para melhorar ainda mais nossa capacidade de analisar essas ameaças com mais rapidez e tornar a equipe de segurança mais eficaz.

Como você pode treinar seus funcionários para lidar com ataques amplificados por IA?

Lovejoy: O cenário da resiliência cibernética está se tornando mais complexo a cada ano. Atores sofisticados e bem financiados; taxas de sucesso cada vez maiores de ataques disruptivos, como ransomware e ataques de negação de serviço; escassez de habilidades; restrições orçamentárias; uma crescente propriedade de dispositivos legados que é vulnerável; e regulamentações cibernéticas cada vez mais prescritivas tornaram o gerenciamento da segurança cibernética mais desafiador do que nunca.

Embora as organizações possam tomar as medidas certas para acompanhar essas dinâmicas em constante mudança e implementar salvaguardas robustas para proteger seus negócios, a força de trabalho continua sendo o elo mais fraco. A IA generativa está provando ser uma tecnologia cada vez mais eficaz que pode ser usada para explorar esse elo. Para combater o risco, os líderes devem cultivar uma cultura empresarial que valorize a responsabilidade e a transparência. Isso envolve capacitar os funcionários para que contribuam ativamente para a criação de um ambiente ciber-resiliente e enfatizar a importância de relatar problemas de segurança sem medo de repercussões.

De um ponto de vista mais tático, investir em treinamento de segurança cibernética, exercícios de simulação, testes e simulações cibernéticas é fundamental para garantir que os funcionários entendam a importância do treinamento e retenham as informações.

Com o surgimento da IA generativa, muitas organizações estão ansiosas para se adaptar. Como elas podem enfrentar esses desafios?

Lovejoy: As organizações estão entrando em um território desconhecido e, em grande parte, não regulamentado, onde a ética e a responsabilidade estão se desenvolvendo para o uso da tecnologia autônoma. É importante considerar essas estratégias e fazer isso de forma sistemática e consciente dos riscos:

• Busque orientação sobre os novos padrões emergentes de IA;
• Prestar atenção à fonte e à integridade dos dados;
• Inicie a jornada da IA generativa com um caso de uso: uma das abordagens mais eficazes para usar a IA generativa com sucesso é o atendimento ao cliente.

Embora a IA seja tremendamente atraente e bem-intencionada, ela também tem o potencial de causar estragos se não for orientada e gerenciada adequadamente. Por esse motivo, os limites e a governança adequados devem estar em vigor desde o início para que a IA funcione como um parceiro confiável para as empresas. E é fundamental que essas proteções atinjam o equilíbrio certo entre o gerenciamento de riscos e a inovação e o crescimento sustentados.

O que deve ser considerado ao desenvolver uma estratégia de segurança cibernética bem-sucedida, qual é o primeiro passo que um CISO deve dar e como atingir um estado adequado de proteção?

Lovejoy: A segurança cibernética é um processo de gerenciamento de riscos. Ela permite que uma organização identifique, proteja, resista e se recupere de ataques cibernéticos, que podem afetar as operações e os dados comerciais. Uma boa estratégia de segurança cibernética sempre começará pela definição da tolerância ao risco da empresa: quanto risco a empresa está disposta a correr –nenhum risco, risco mínimo, risco moderado, outro? Isso exige que os CISOs envolvam a empresa desde o início e definam claramente um entendimento compartilhado do que é bom. Com esse entendimento, torna-se possível para um CISO desenvolver uma estratégia lógica –com base em uma estrutura de risco– que lhe permita descrever em termos concretos quais investimentos ou ações apoiarão os esforços de redução de riscos. Em seguida, a questão passa a ser se a gerência determina que a relação risco/benefício é aceitável.

Com muita frequência, tenho visto CISOs fracassarem porque não têm clareza sobre o valor que os investimentos trarão em termos de pessoas, processos e tecnologia. Sem um entendimento explícito, a gerência geralmente espera que os investimentos possibilitem uma proteção perfeita. Todos nós sabemos que isso não é possível. Ao criar uma estratégia baseada em um entendimento comum de "o que é bom o suficiente", o CISO não ficará com toda a responsabilidade quando ocorrer a inevitável violação.

Outro motivo importante pelo qual os CISOs não conseguem desenvolver estratégias é o fato de tentarem proteger o que inerentemente não pode ser protegido. Atualmente, a maioria das organizações tem vários ativos legados que nunca estarão seguros para uso. Nessas circunstâncias, o CISO deve se tornar o principal defensor da modernização em favor de operações comerciais mais resilientes.

Qual é a relação entre a qualidade dos dados e a segurança?

Lovejoy: Há um ditado que diz: dados ruins entram, dados ruins saem. Em uma época de crescente dependência da IA, precisamos reconhecer a verdade absoluta dessa afirmação. Dados confiáveis (em que a procedência e a integridade são pelo menos garantidas) são a base para qualquer forma de análise. Essa é uma área em que vejo as organizações correndo um risco significativo. Embora haja um debate saudável sobre ética e segurança em torno dos algoritmos de IA, muitas vezes deixamos de considerar a procedência e a integridade dos dados que usamos para alimentar os algoritmos.

É fundamental que nos perguntemos: podemos confiar que os dados não foram manipulados? Observe que, uma vez que um algoritmo de IA tenha sido treinado, é quase impossível voltar atrás e "destreiná-lo" removendo os recursos que representam dados ruins. Pense nisso como se estivesse treinando uma criança. Assim como não é possível fazer com que uma criança "desvende" o que viu na TV, não é fácil fazer com que a IA desvende os dados que recebeu.

Como a resiliência empresarial é alcançada e você acha que as empresas, especialmente na América Latina, têm uma boa compreensão desse conceito e do que ele implica?

Lovejoy: A Kyndryl adotou uma abordagem diferenciada para atender à necessidade dos clientes de garantir a resiliência de seus negócios habilitados digitalmente. Encapsulamos essa abordagem no que chamamos de "resiliência cibernética". Nós a definimos como a capacidade de antecipar, proteger, resistir e se recuperar de qualquer condição adversa, interrupção ou comprometimento que afete um negócio cibernético. Acreditamos firmemente que as organizações devem ir além de uma abordagem míope das ameaças tradicionais à segurança cibernética e considerar a antecipação, a proteção, a resistência e a recuperação de várias interrupções em seus negócios habilitados para a segurança cibernética, como ataques de ransomware, furacões, inundações, quedas de energia, pandemias e muito mais. Isso pode ser alcançado por meio da adoção de uma estrutura de gerenciamento de riscos cibernéticos que analisa a ampla abertura descrita acima.

Na América Latina, eu diria que a conscientização é desigual. Embora isso possa ser uma afirmação sobre o comportamento humano, vimos que as organizações com consciência madura residem em países ou operam em setores que são regulamentados. Sem regulamentação, as organizações tendem a investir somente depois de sofrerem um incidente. Observando o mapa de regulamentação cibernética da América Latina, é fácil prever quais organizações se sairão melhor do que outras no caso de uma violação ou interrupção significativa.