5 tendências em operações de cibersegurança

As operações de cibersegurança são um dos pilares da criação de uma resiliência cibernética , a partir da exposição de possíveis ameaças, do planejamento de respostas a incidentes e da priorização de riscos a serem sanados.

Conhecidas pela abreviação SecOps , elas são o componente essencial de qualquer programa de segurança eficiente.

Nesse sentido, as operações de cibersegurança abrangem pessoas, processos, serviços e tecnologias necessárias para a identificação e o gerenciamento da exposição de ameaças.

Além disso, seus esforços são dedicados à prevenção, detecção e resposta de segurança a possíveis incidentes.

Para que a iniciativa seja bem-sucedida, ela não deve envolver apenas os líderes de segurança e de gerenciamento de riscos .

Profissionais como diretores de informação, líderes de infraestrutura e operações e gestores de inovação de tecnologia e arquitetura corporativa também são essenciais.

É claro que o negócio como um todo precisa contar com uma cultura voltada para a cibersegurança presente nas rotinas de toda a equipe.

Sendo assim, as tendências em envolvimentos de operações de cibersegurança em várias frentes de atuação. Vamos falar sobre as principais delas nos conteúdos a seguir.

Tendências em operações de cibersegurança que estão ganhando força

Como mencionamos, as operações de cibersegurança (SecOps) desempenham um papel preponderante para a resiliência organizacional por meio da otimização e combinação de pessoas, processos e tecnologias .

Isso tem a ver com a visibilidade de riscos do negócio e sua compreensão para fins de segurança, que dizem respeito à viabilidade das operações do negócio como um todo.

Como veremos, os recursos efetivos de SecOps são impulsionados por eficiência, consistência, reprodutibilidade e, portanto, em muitos casos, processos automatizáveis.

A consistência e a repetibilidade fornecem uma base para uma estrutura de governança que o SecOps requer para ser bem-sucedido.

Para muitos líderes, identificar e articular a conexão da segurança com os resultados orientados aos negócios é um grande desafio.

Nesse sentido, eles precisam da orientação direcional sobre como a arquitetura de TI se desenvolverá e como prioridades de negócios mudarão .

Assim, a preparação proativa e reativa é importante para SecOps. É necessário se preparar para mudanças nos negócios, bem como para mudanças no cenário de ameaças e nas formas gerais de trabalho.

Nesse contexto, as operações de cibersegurança devem se adaptar ao ritmo das mudanças usando as tecnologias “ as a service ”, que refletem a expansão das infraestruturas em nuvem e dos serviços de plataforma.

Mas, por conta da crescente expansão da superfície de ataque para os cibercriminosos, a tendência é a necessidade de uma reengenharia das responsabilidades de SecOps .

As operações de cibersegurança vão ter que adotar uma abordagem voltada para a agilidade e o desenvolvimento.

Esse cenário é refletido em algumas tendências para a área, sobre o que falaremos em seguida.

Auxílio de provedores externos na concepção de centros de operações de cibersegurança modernos

A construção de centros de operações de segurança ( SOC ) mais modernos é, ao mesmo tempo, um desafio e uma das principais tendências em operações de cibersegurança.

A lógica é simples: a tecnologia evolui e, assim como ela, as possibilidades de exploração pelos cibercriminosos tornam-se mais numerosas e eficientes.

Nesse processo, é claro que as vulnerabilidades de segurança cibernética também aumentam e é preciso contar com os recursos adequados para gerenciá-las.

Acontece que esse processo é contínuo . Nunca chega um momento em que se conta definitivamente com todos os recursos necessários para gerar vulnerabilidades e combater o cibercrime.

É por isso que muitos gestores identificam a necessidade de contar com a ajuda de um provedor externo para construir um centro de operações de cibersegurança moderno .

Isso porque esses provedores mantêm um ciclo ininterrupto de aprimoramento de técnicas e tecnologias, mantendo constantemente as operações de cibersegurança.

Nesse contexto, é preciso identificar a combinação de habilidades, tecnologias e processos que atendem às necessidades do seu negócio, promovendo a mistura adequada da equipe interna com os provedores externos.

Assim, a resposta ao desafio de contar com o melhor centro de operações de cibersegurança possível está na contratação de recursos de segurança como serviço.

Essas equipes colaborativas vão contar com habilidades mais aprimoradas envolvendo a manipulação de dados , que são importantes ativos organizacionais.

Além disso, essa concepção dos novos centros de operações de cibersegurança também contém recursos para habilitar funções especializadas relacionadas à engenharia de detecção de ameaças .

É claro que, em conjunto com a equipe híbrida altamente especializada, você também deve usar a automação para aumentar e acelerar os processos e atividades.

A propósito, a automação é uma tendência considerada irreversível no mundo da cibersegurança e na gestão de negócios em geral , sendo oferecida por diversas empresas especialistas em cibersegurança.

Exploração da automação para promover a governança

Temos aqui mais uma das tendências em operações de cibersegurança que envolvem a estruturação de equipes .

A governança em SecOps depende de equipes efetivamente estruturadas que se comunicam e suportam um alto desempenho trabalhando juntas.

Em outras palavras, a governança em operações de cibersegurança está diretamente ligada ao engajamento das equipes envolvidas.

Mas, além disso, também é preciso contar com processos robustos que incluem a coleta de dados para auxiliar no mediação e na sintonia das equipes operacionais.

A criação de um ambiente coeso e comunicativo e o desenho das métricas e procedimentos para apoiar as equipes depende de um planejamento minucioso e completo.

Por isso, a exploração da automação de segurança tornou-se uma tendência para deixar as operações mais consistentes.

Se você achou essa tendência contraditória porque a governança em SecOps depende tanto de equipes bem estruturadas quanto da utilização de automação, você precisa repensar essa suposta oposição.

Isso porque os recursos de automação são projetados justamente para que as equipes possam manter-se centradas nas ações estratégicas e na detecção de novas necessidades.

Isso faz ainda mais sentido na área das operações de cibersegurança do que em outros setores.

A automação é programada para colocar em prática instantaneamente tarefas que a equipe de tecnologia levaria horas, ou até dias, para concluir. Isso sem falar nos erros e na falta de foco decorrentes do cansaço relacionado às atividades repetitivas.

Não existe estratégia de segurança cibernética eficiente sem a exploração de diferentes possibilidades de automação em vários níveis.

Então, é claro que os padrões de governança também devem utilizar essas modernas ferramentas que podem auxiliar as equipes na detecção de anomalias, invasões, fraudes e vulnerabilidades.

A automação distribuída funciona a partir do trabalho conjunto de diferentes ferramentas, que podem ser direcionadas para a realização de análises complexas visando à garantia da estabilidade em todos os sistemas e ambientes.

Assim, uma série de etapas são aceleradas e as operações de cibersegurança tornam-se mais transparentes, um requisito essencial à governança.

Serviços de segurança ininterruptos

Pode-se dizer que praticamente todas as organizações precisam, na atualidade, de operações de cibersegurança funcionando 24 horas por dia e sete dias por semana com recursos de respostas.

Essa necessidade torna muito complicada a tarefa de fornecer e gerenciar esses serviços internamente. Por isso, mais uma vez precisamos falar sobre a terceirização.

Os provedores de operações de cibersegurança são concebidos já com essa proposta de oferecer monitoramento ininterrupto, com uma equipe completa e madura dedicada à exposição de ameaças bem como à investigação eficaz, além dos serviços adequados para as eventuais respostas aos incidentes.

Esse tipo de serviço cobre a tecnologia e a engenharia de detecção de ameaças, além da inteligência de ameaças e da caça de ameaças.

Os provedores de operações de cibersegurança também oferecem recursos de gerenciamento complementares em áreas como exposição, vulnerabilidade, superfície de ataque externo, logs e incidentes retentores de resposta.

Sendo assim, você deve traçar seus planos para as operações de cibersegurança e buscar por um provedor que tenha a capacidade de estabelecer uma arquitetura de segurança com soluções automatizadas e integradas, proporcionando a manutenção das operações em funcionamento 24 por dia todos os dias da semana.

Dessa forma, os riscos serão reduzidos, e a proteção dos mais diversos ativos será garantida, incluindo os dados e a própria infraestrutura.

Alguns requisitos importantes para a escolha do provedor devem ser a experiência na área, a capacidade de atender a demandas personalizadas e exemplos exitosos em investigações e respostas a incidentes.

Lembre-se de que um incidente de segurança cibernética não tem hora para acontecer, e os danos podem ser muito maiores se as suas operações não estiverem a postos ininterruptamente.

Plataformas TDIR

A identificação de ameaças dentro da infraestrutura de uma empresa com a aplicação da resposta oportuna é uma necessidade — e também um desafio — devido à dinamicidade da tecnologia.

Por isso, é preciso contar com ferramentas específicas de segurança, que criam e processam telemetria para a detecção e investigação, e que permitem a mitigação e contenção de ameaças por meio de integração de APIs eficazes.

Assim, as ferramentas mais utilizadas pelas equipes de SecOps são plataformas que detectam ameaças e providenciam respostas a incidentes, conhecidas como plataformas TDIR.

A sigla TDIR corresponde à abreviação da expressão “threat, detection and incident response”, que pode ser traduzida como “resposta a ameaças e detecção de incidentes”.

As plataformas TDIR normalmente incluem gerenciamento de eventos e informações de segurança (SIEM) e orquestração de segurança, plataformas de automação e resposta (SOAR).

O SIEM é a combinação do SIM (gerenciamento de informações de segurança) com o SEM (gerenciamento de eventos de segurança) em um sistema de gerenciamento de segurança.

Essa tecnologia coleta dados de log de eventos de diversas fontes, identificando atividades desviantes da norma com uma análise em tempo real e a tomada de decisões apropriadas.

Assim, a organização passa a contar com a visibilidade das atividades de suas redes para responder a possíveis ciberataques e atender aos requisitos de conformidade.

Já a tecnologia SOAR engloba um conjunto de soluções de softwares compatíveis que também permitem a coleta de dados sobre ameaças de diversas fontes.

Ela melhora a eficiência das operações definindo, priorizando, padronizando e automatizando as funções de respostas a incidentes.

A SOAR conta com quatro componentes:

1. Gerenciamento;
2. Orquestração;
3. Resposta;
4. Automação.

A partir deles, os centros de operações de cibersegurança passam a contar com uma documentação mais robusta, maior fidelidade e otimização do tempo na resolução de incidentes.

Integrando todos esses recursos a favor das operações de cibersegurança, as plataformas TDIR também podem ser utilizadas para outros requisitos adjacentes à segurança.

Isso acontece, por exemplo, com o gerenciamento de log e com a concepção de relatórios de conformidade.

Essas tecnologias geralmente apresentam equipes de segurança com aquisição, implantação e desafios operacionais contínuos.

Desenvolvimento de programas complexos para o gerenciamento de ameaças e exposições

O gerenciamento de ameaças e exposições diz respeito à gestão de ativos e sistemas em todos os ambientes nos quais as unidades de TI operam e que podem levar a incidentes de cibersegurança.

Assim, ele inclui programas complexos e fundamentais que exigem a coordenação e cooperação da equipe de segurança com outras áreas da empresa.

Isso engloba principalmente as áreas de segurança de infraestrutura, gerenciamento de identidades e acesso e operações de tecnologia da informação.

Algumas áreas do mercado envolvidas nesse processo já demonstram um bom patamar de maturidade, como, por exemplo, o gerenciamento de vulnerabilidades.

É claro que trata-se de um processo contínuo, mas a tendência é a consolidação dessas áreas, com o devido grau de eficiência.

Mas também existem áreas que ainda não contam com essa mesma maturidade, como o gerenciamento de marcas e as infraestruturas em nuvem e serviços de plataforma.

Em algumas áreas as ofertas de suporte para o gerenciamento e a exposição de ameaças ainda estão surgindo, mas o resultado em geral varia bastante.

Como este é um caminho sem volta, a tendência é a complexificação cada vez maior dos sistemas aplicados a esse propósito, ainda que o processo esteja apenas no começo.

A busca por maneiras de obter e manter a visibilidade de ativos, tecnologias e ambientes, bem como de implementar e sustentar capacidades para gerenciar exposições e vulnerabilidades, deve ser constante nos próximos anos.

Esse é um desafio a ser superado com base em pesquisas e estudos avançados e deve fazer toda a diferença nas variadas operações de cibersegurança organizacionais.

Concluindo

Conforme apontamos ao longo dos tópicos acima, é perceptível que a automação, a terceirização, o aprimoramento constante e o estabelecimento de uma perspectiva colaborativa estão presentes de maneira generalizada nas tendências de operações de cibersegurança.

O objetivo é a obtenção de um gerenciamento satisfatório de vulnerabilidades de segurança e de um plano eficiente de respostas a incidentes que possa ser colocado em prática imediatamente.

Se você considera todo esse processo muito complicado, é importante lembrar que as iniciativas de segurança cibernética são uma necessidade e não uma opção.

Além disso, não basta criar operações de cibersegurança que não passem por um aprimoramento constante.

Porém, a maneira mais eficiente de solucionar uma demanda é começando pela parte mais urgente. Nesse sentido, a Regra de Pareto aplicada à cibersegurança pode te ajudar.

Em resumo, trata-se de um princípio seguido em diversos setores que afirma o seguinte: 20% do esforço dedicado ao alcance de um objetivo são responsáveis por 80% do desempenho obtido.

É claro que a meta é alcançar a porcentagem mais próxima possível de 100% de desempenho quando o assunto é cibersegurança, mas, ao identificar os problemas que correspondem a 20% das vulnerabilidades de segurança e dão origem a 80% dos incidentes, você otimiza suas ações.

Para saber mais sobre o Princípio de Pareto e aplicá-lo a suas operações de cibersegurança, leia: Princípio de Pareto: como utilizar a regra 80/20 na cibersegurança . Até o próximo conteúdo!