por Moises Polishuk, Analista e Consultor de Tecnologia e Negócios
O Problema: A falsa percepção da insegurança na nuvem
Nós vemos com frequência. Muitos empreendedores e empresários ainda acham que centralizar sua tecnologia no escritório é "mais
seguro" do que ter seus serviços, aplicações e informações na nuvem. Ou seja, a qualquer hora e em qualquer lugar apenas com acesso à internet.
Muitos líderes empresariais acreditam que se o " hardware" está em um lugar visível, você tem mais controle de tudo. E, na verdade, eles não poderiam estar mais errados.
Nada pode ser mais seguro do que o rigoroso controle de acesso à tecnologia que está na nuvem, que, dependendo de quem a oferece, pode até ser criptografada de tal forma que apenas o pessoal permitido pode ter acesso ao que está autorizado, nas horas em que isso é possível e nos dias que são permitidos.
Em caso de um grande problema, como inundação ou incêndio, a nuvem é o lugar mais seguro para você ter a certeza de que poderá continuar trabalhando. Já vimos isso nos protocolos de proteção civil. Se houver um incidente crítico, o acesso aos escritórios é proibido e, com isso, o acesso às informações disponíves nos computadores que estão no local torna-se impossível. Por outro lado, se você estiver na nuvem, sempre haverá um acesso seguro para poder operar com uma simples conexão à internet, em qualquer lugar, a qualquer momento, pois dependendo do provedor você terá replicabilidade automática ao operar em vários data centers dentro da mesma zona de disponibilidade ou mesmo em várias regiões geográficas.
A realidade: enfrentando ameaças na empresa versus fazê-lo na nuvem
Por outro lado, não podemos esquecer que, por um tempo, tornou-se mais prático atacar empresas de médio ou pequeno porte do que grandes corporações com múltiplas certificações, recursos e serviços de segurança.
Vamos pensar por um momento: quanto você estaria disposto a pagar se, de repente, perdesse o acesso a todas as informações da empresa? A resposta é sempre uma quantidade tipicamente 100 vezes maior do que seria necessário para proteger essa informação.
A próxima pergunta, então, é: por que não está tudo protegido com antecedência? E a resposta que eu vejo várias vezes é que você nem sequer teve esse tipo de problema contemplado. Simplificando, o desconhecimento das pessoas que alocam o orçamento são os mais comuns neste caso. E posso dizer que é muito difícil estar atualizado sobre todos os riscos possíveis, especialmente se você é uma pessoa fora do mundo da cibersegurança e se, além disso, o objeto do negócio não tem nada a ver com a forma como a tecnologia é armazenada, usada e aplicada. Portanto, as seguintes considerações são claras:
1. As pessoas responsáveis pelos orçamentos devem preferir opções onde possuem uma empresa especializada em gerenciar e operar a tecnologia, proporcionando paralelamente a segurança disso como serviço.
2. A proteção das informações, operações e aplicações deve ser integrada, completa, permanente e atualizada sem levar um segundo de tempo para quem as contrata, mas com a capacidade por parte do contratante de poder participar da segurança no nível de aplicação, ou seja, na definição de acesso, horas de uso e outros aspectos, assim como você faria em um data center de tecnologia proprietário.
3. Sempre, sempre, sempre, o valor de proteger informações, operações e aplicações será, pelo menos, da ordem de 10 a 100 vezes menor em preço do que enfrentar um problema, o que torna essa decisão uma questão de economia segura e de mitigação de um risco latente.
Os cenários
É sempre prudente contemplar 3 possíveis cenários e suas consequências:
1. Se nada for feito
Neste caso, você não está pensando em ter operações fora do escritório e ter o que é considerado necessário para responder a problemas de cibersegurança. Com isso, antes do primeiro problema de falhas elétricas nos escritórios, problemas com a internet a 1km de distância, ou inundações e tremores, serão suficientes para a paralização da operação por tempo indeterminado. Dependendo do tipo de empresa, isso pode representar de perdas significativas até perder o negócio. A questão é, por que correr esse risco se ele pode ser 100% controlado?
2. Se não faz o suficiente
Pode ser o caso de você ter algumas medidas de segurança, talvez, até mesmo, ter certos tipos de proteções, mas não estar protegido para a grande maioria dos problemas. Isso muitas vezes acontece por ignorância, falta de orçamento ou simplesmente pelo mau conselho de um provedor que, por não ter todos os serviços disponíveis, faz parecer que o que ele não oferece não é importante. Hoje em dia, a cibersegurança é um tema que deve ser visto de forma abrangente e holística, e são contemplados aspectos como:
- Saber quem pode acessar quais informações ou aplicativos e em quais casos ou condições eles podem fazê-lo.
- Validar permanentemente o estado de segurança, estabelecendo ações automatizadas que serão mais precisas e rápidas do que fazê-lo por pessoal contratado.
- Ter a capacidade de parar atividades não autorizadas, documentar atividades maliciosas e enviar achados de risco de segurança para resolução.
- Possuir ferramentas automatizadas que aprendem a distinguir atividades perigosas para a empresa, permitindo alcançar as causas e origens dos problemas.
- Ser capaz de lidar com ataques de negação de serviço, que são muito comuns hoje em dia.
- Identificar dentro de todas as informações quais são os dados mais sensíveis e adicionar mais níveis de proteção a esses dados automaticamente.
- Conceder acesso seguro a todas as pessoas da empresa facilmente e que seja possível compartilhar vários serviços e aplicativos sem ter que autenticar separadamente cada uma delas.
Em princípio, podemos dizer que a segurança não está completa, e um problema em um desses pontos é suficiente para correr riscos muito altos de improdutividade ou paralisação total das atividades.
3. Se você fizer o que é necessário
Por outro lado, se for considerado que a partir da nuvem há a possibilidade de enfrentar todos os pontos acima de forma abrangente, automática, mas sobretudo de forma autônoma graças ao bom uso de uma iniciativa na nuvem, podemos ver que:
- O preço de proteger vários desses pontos pode ser incluído no serviço contratado e/ou com um valor claro, perfeitamente orçado, conhecido e nunca equivalente ao valor de enfrentar um problema por não ter a medida de proteção adequada.
- Não será necessário preparar pessoal nesses aspectos, alocando-os para melhorias de inovação no objetivo do negócio e não em aspectos operacionais da tecnologia.
- O risco será mitigado a níveis controláveis.
Entre os pontos mais importantes.
As despesas que ninguém menciona diante das contingências de cibersegurança
Ao conhecer a opinião de várias pessoas em cargos de gestão ou donos de negócios, você tem uma sensibilidade especial para pagar por aspectos de cibersegurança, ao mesmo tempo em que tem uma falsa impressão de confiança de que será difícil que algo aconteça na empresa.
A realidade é que, de alguns anos para cá, é muito lucrativo sequestrar informações (Ransomware) ou o uso de nossos recursos para causar danos a terceiros e nos tornar responsáveis por isso. Por conta disso, é importante entender minuciosamente quais são as consequências de não lidar adequadamente com os desafios da cibersegurança.
Não conformidade comercial
É muito grave quando, devido a um problema de cibersegurança, as operações comerciais são prejudicadas ou completamente paralisadas, e com isso, os prazos de entrega, a qualidade do produto ou serviço falham, ou mesmo a obrigatoriedade de reprocessar uma tarefa devido a esse tipo de problema.
Neste cenário, há sempre uma despesa não contemplada que afeta os resultados da situação financeira da empresa, não apenas pela falta de receita ou perda de negócios, mas também por multas e ações judiciais por descumprimento ou penalidades convencionais que clientes e/ou fornecedores podem optar por exercer, justamente por não realizarem seus respectivos trabalhos em decorrência do problema causado pelo nosso próprio negócio.
Prestígio no chão
O ditado é claro: "você nunca tem uma segunda chance de causar uma primeira impressão" e, dependendo do caso e do ramo de negócio, isso pode representar o inconveniente de um mercado que vai se expressar nas redes sociais e em diversos meios de comunicação que prejudicam a reputação do negócio.
As medidas de recuperação sangram o negócio
Sempre que um problema imprevisto tiver que ser resolvido, não será fácil ter um orçamento para lidar com ele. Isso pode levar à alocação de recursos de aspectos operacionais e de alto valor para a empresa, que terá que enfrentar uma crise imprevista, o que prejudicará a demonstração de resultados da empresa, causará incômodo nos colaboradores, clientes e fornecedores e não permitirá facilmente chegar ao estado anterior em que se encontrava.
Redução de preços ou mesmo produtos e/ou serviços gratuitos
Quase sempre, a medida "desesperada" para lidar com um problema desse tipo é baixar os preços de produtos ou serviços e, em alguns casos, até mesmo dar alguns deles, tudo para tentar remediar os danos causados por não conseguir fazer o trabalho em tempo hábil e de forma correta. Esta medida não resolve o problema, apenas o mitiga, e em qualquer caso, o risco reputacional não será fácil de remediar.
Conclusões
Quando é a hora ideal?
Se você ainda não passou por um problema de operação, está em um ótimo momento para reconsiderar a migração da operação para a nuvem e, paralelamente, garantir o uso de uma estratégia abrangente de cibersegurança.
É importante que você não só tenha a operação e as informações na nuvem, mas uma estratégia abrangente de cibersegurança que esteja integrada desde o início.
Há algo mais importante do que cibersegurança?
A coisa mais importante para o negócio é cumprir com seu propósito corporativo, seus compromissos e fazer o que o distingue no mercado. Para isso, a tecnologia, a informação e os serviços devem operar de forma impecável, e não desgastar a empresa por sua operação. Ou seja, fazer tudo funcionar, a um preço ideal, conhecido e viável, sem surpresas, para que haja um maior foco em aspectos como inovação e excelência no atendimento.
Como a cadeia de valor é impactada?
Vivemos em um mundo altamente conectado. Os últimos anos nos mostraram o impacto da falta de entrega de componentes e serviços em diferentes indústrias, vendo como o comércio declina, as vendas sofrem, o mercado se agita... É por isso que seu negócio não pode correr o risco de não ser previsível, confiável e seguro. Sem a cibersegurança em um ambiente de nuvem que permita que você se concentre inteiramente no objeto do negócio, os recursos sempre terão que ser desviados para operar e não para inovar.
Tome cuidado, não se preocupe.
Vivemos em tempos incríveis, onde felizmente já existem opções para fazer operações de formas diferentes.
Não espere que sua concorrência desfrute desta nova forma de operação com preços são mais competitivos porque sua operação é mais enxuta e segura.
Em particular, não devemos esperar até que tenhamos um risco de segurança que impacte o negócio. Lembre-se, sorte é finita e amanhã pode ser tarde demais. Então aja hoje, faça as coisas acontecerem ao invés de ver as coisas acontecerem ou pior, ficar se perguntando “O que aconteceu?”.