Líderes de segurança devem adotar um modelo centrado no ser humano para estabelecer um programa eficaz de segurança cibernética
O Gartner, líder mundial em pesquisa e aconselhamento para empresas, anuncia as nove principais tendências mundiais de cibersegurança. Segundo os analistas, os líderes de Segurança e Gerenciamento de Riscos (SRM) deveriam repensar o equilíbrio de seus investimentos em tecnologia e orientar suas estruturas para elas serem centradas no ser humano ao criar e implementar programas de segurança cibernética.
“Uma abordagem centrada no ser humano para a proteção cibernética é essencial para reduzir as falhas de segurança”, afirma Richard Addiscott, Analista e Diretor Sênior do Gartner. “O foco nas pessoas no desenho do projeto e a implementação de controles, bem como nas comunicações comerciais e no gerenciamento de talentos de segurança cibernética, ajudarão a melhorar as decisões de risco comercial e a retenção dessa equipe.”
Para abordar os riscos de segurança cibernética e sustentar um programa de proteção digital eficaz, os líderes de SRM precisam se concentrar em três frentes principais: o papel essencial das pessoas para o sucesso e a sustentabilidade dos programas de segurança; recursos técnicos de segurança que fornecem maior visibilidade e capacidade de resposta em todo o ecossistema digital da organização; e reestruturar a forma como a função de segurança opera para permitir agilidade sem comprometer a proteção.
Para o Gartner, as nove tendências de cibersegurança que irão gerar um amplo impacto para os líderes de segurança digital são:
1 – Design de segurança centrado no ser humano – O design de segurança centrado no ser humano prioriza a experiência do funcionário em todo o ciclo de vida do gerenciamento de controles. Até 2027, 50% dos diretores de segurança da informação (CISOs – Chief Information Security Officer) de grandes empresas terão adotado práticas de segurança centradas em pessoas para minimizar o atrito induzido pela segurança cibernética e aumentar a adoção de controle.
“Os programas tradicionais de conscientização de segurança falharam em reduzir o comportamento inseguro dos funcionários”, diz Addiscott. “Os responsáveis por segurança devem revisar os incidentes anteriores para identificar os principais atritos gerados pela segurança cibernética e determinar onde podem reduzir os cursos e aliviar a carga dos funcionários por meio de controles mais centrados no ser humano.”
2 – Aprimorar a gestão de pessoas para a sustentabilidade do programa de segurança – Tradicionalmente, os líderes de segurança cibernética se concentram em melhorar a tecnologia e os processos que fornecem suporte a seus programas, com pouco foco nas pessoas que criam essas mudanças. Os CISOs que adotam uma abordagem de gerenciamento de talentos centrada no ser humano para atrair e reter profissionais observaram melhorias na maturidade de suas empresas. Até 2026, o Gartner prevê que 60% das organizações mudarão da contratação externa para a “contratação silenciosa” dos mercados internos de talentos com o objetivo de enfrentar os desafios sistêmicos de segurança cibernética e de recrutamento.
3 – Transformar o modelo operacional de segurança cibernética para apoiar a criação de valor – A tecnologia está mudando de funções centralizadas em TI para outras frentes de negócios e novas funções corporativas, com equipes multidisciplinares. Segundo pesquisa do Gartner, 41% dos funcionários realizam algum tipo de trabalho relacionado à área de tecnologia e essa é uma tendência que deve continuar crescendo nos próximos cinco anos.
“Os líderes de negócios agora aceitam amplamente que o risco de segurança cibernética é um dos principais problemas de negócios a serem gerenciados e que não são apenas uma questão de tecnologia a ser resolvida”, diz Addiscott. Segundo o analista, apoiar e acelerar os resultados de negócios é uma importante prioridade de segurança cibernética, mas continua sendo um grande desafio. O Gartner alerta que os CISOs devem modificar o modelo operacional de segurança cibernética para entender como o trabalho é feito. Os funcionários devem saber como equilibrar uma série de riscos, incluindo de segurança cibernética, financeiros, reputacionais, competitivos e legais. A segurança cibernética também deve se conectar ao valor empresarial, medindo e relatando o sucesso em relação aos resultados e às prioridades corporativas.
4 – Gerenciamento de exposição a ameaças – A superfície de ataque das empresas modernas é complexa e gera fadiga. Os CISOs devem evoluir suas práticas de avaliação para entender sua exposição a ameaças implementando programas de gerenciamento de exposição contínua a ameaças (CTEM – Continuous Threat Exposure Management). O Gartner prevê que, até 2026, as organizações que priorizam seus investimentos em segurança com base em um programa CTEM sofrerão dois terços menos violações.
“Os CISOs precisam refinar continuamente suas práticas de avaliação de ameaças para acompanhar o trabalho em evolução de suas organizações, usando sempre uma abordagem CTEM para analisar mais do que apenas vulnerabilidades tecnológicas”, acrescenta Addiscott.
5 – Imunidade da estrutura de identidade (Identity Fabric Immunity) – A infraestrutura de identidade frágil (Identity Fabric Immunity) é causada por elementos incompletos, mal configurados ou vulneráveis . Até 2027, os princípios de imunidade da estrutura de identidade impedirão 85% dos novos ataques e, assim, reduzirão o impacto financeiro das violações em 80%.
“A imunidade da estrutura de identidade não apenas protege os componentes de gestão de identidade de acesso (IAM – Identity & Access Management) da estrutura com detecção e resposta à ameaça de identidade (ITDR – Identity Threat And Detection Response), mas também a fortalece ao completá-la e configurá-la adequadamente”, afirma o analista do Gartner.
6 – Validação de segurança cibernética – A validação de segurança cibernética reúne técnicas, processos e ferramentas usadas para validar como os potenciais invasores exploram uma exposição à ameaça identificada. As ferramentas necessárias para validação de segurança cibernética estão fazendo progressos significativos para automatizar aspectos repetíveis e previsíveis de avaliações, permitindo benchmarks regulares de técnicas de ataque, controles de segurança e de processos. Até 2026, mais de 40% das organizações, incluindo dois terços das empresas de médio porte, contarão com plataformas consolidadas para executar avaliações de validação de segurança cibernética.
7 – Consolidação da plataforma de segurança cibernética – À medida que as organizações procuram simplificar as operações, os fornecedores estão consolidando plataformas em torno de um ou mais domínios importantes de segurança cibernética. Por exemplo, serviços de segurança de identidade podem ser oferecidos por meio de uma plataforma comum, capaz de combinar governança, acesso privilegiado e recursos de gerenciamento de uso. Os líderes de SRM precisam inventariar continuamente os controles de segurança para entender onde existem sobreposições para reduzir a redundância por meio de plataformas consolidadas.
8 – Negócios combináveis precisam de segurança combinável – As organizações devem fazer a transição de sistemas monolíticos para a construção de recursos combináveis em suas aplicações para responder ao ritmo acelerado das mudanças nos negócios. A segurança combinável é uma abordagem na qual os controles de segurança cibernética são integrados a padrões de arquitetura e, em seguida, aplicados em um nível modular em implementações de tecnologia combinável. Até 2027, mais de 50% das principais aplicações de negócios serão criadas usando arquitetura combinável, exigindo uma nova abordagem para proteger essas aplicações.
“A segurança combinável é projetada para proteger os negócios combináveis”, afirma Addiscott. “A criação de aplicações com componentes combináveis introduz dependências ainda não descobertas. Para os CISOs, essa é uma oportunidade significativa de incorporar privacidade e segurança desde o momento do projeto para criar objetos de controle reutilizáveis e baseados em componentes.”
9 – Os Conselhos de Administração expandem sua competência em supervisão de segurança cibernética – O foco dos Conselhos de Administração em segurança cibernética está sendo impulsionado pela tendência de responsabilizar os membros do board pelas atividades de governança. Os líderes de segurança cibernética devem fornecer aos Conselhos de Administração relatórios que demonstrem o impacto dos programas de segurança nas metas e objetivos de suas empresas. “Os líderes de SRMs devem incentivar a participação ativa do Conselho, assim como o envolvimento na tomada de decisões de temas relacionados à segurança cibernética”, diz Addiscott. “É a oportunidade de atuar como um consultor estratégico, fornecendo recomendações para ações a serem tomadas pelo Conselho, incluindo alocação de orçamentos e recursos para segurança digital.”