Os desafios decorrentes da discrepância de incentivos na área de segurança cibernética

A Intel Security entrevistou  800 profissionais de segurança cibernética de importantes setores e questionou-os sobre os seus incentivos, métricas e processos. Ao analisar as respostas, identificamos três principais incentivos desalinhados: entre as estruturas corporativas e o fluxo livre das empresas criminosas, entre estratégia e implementação e entre executivos de nível sénior e pessoas em funções de implementação.

Estruturas corporativas x empresas criminosas

As duas grandes diferenças entre os criminosos cibernéticos e uma típica equipa de segurança cibernética corporativa são o fluxo de informações e o uso de recursos especializados. Os mercados de informações destinados aos criminosos cibernéticos rapidamente divulgam ataques bem-sucedidos, códigos e vulnerabilidades recém-descobertas, incentivando e impulsionando a inovação. Apesar da maior adoção da prática de partilha de informações sobre ameaças, ainda falta muito ao setor da segurança para se equiparar à velocidade e aos detalhes disponíveis na dark web. Estes mercados também possibilitam um alto nível de especialização, permitindo que programadores de malware, hackers de exploração e criminosos de engenharia social sejam excelentes naquilo que fazem. Essa é uma diferença enorme em relação aos departamentos de segurança cibernética, que desempenham funções mais genéricas e só chamam os especialistas de segurança externos quando necessário.

Estratégia x implementação

Segundo o estudo realizado, a maioria das organizações considera a segurança cibernética o seu principal risco e desenvolveu estratégias para lidar com ameaças novas e existentes. No entanto, existem algumas lacunas significativas entre estratégia e implementação, particularmente a maior consequência de uma violação de segurança e os métodos usados para proteger a organização. A principal preocupação dos executivos de TI é o impacto na reputação e menos de um terço deles acredita que um incidente resultaria em prejuízos financeiros, possivelmente criando uma falsa sensação de segurança. Ao mesmo tempo, quase dois terços estão a adquirir tecnologias de segurança que se sobrepõem para proteger a organização. Embora isso possa parecer uma boa ideia, a sobreposição de tecnologias que não são integradas e não se comunicam entre si pode resultar em lacunas de segurança em virtude de políticas inconsistentes e ferramentas de configuração discrepantes.

Executivos de nível sénior x implementadores

Em relação à opinião sobre incentivos, parece haver uma lacuna significativa entre os executivos de TI e a equipa de operações de segurança cibernética. Mais de um quarto dos colaboradores entrevistados alegaram não haver incentivos na sua organização, como bónus ou reconhecimento, em comparação com apenas 5% dos executivos. É possível que funcionários em níveis inferiores da estrutura organizacional não tenham conhecimento dos incentivos por desempenho ou que não acreditem que as ofertas tenham um impacto significativo. Nem sempre é necessário dar dinheiro para conseguir melhores resultados. Outros estudos mostraram que oportunidades de desenvolvimento profissional são consideradas um incentivo equivalente ou mais valioso do que bónus, além de expandir os conhecimentos e os recursos da sua equipa.

O que pode ser feito?

A ideia de copiar alguns aspectos do comportamento criminoso pode parecer estranha, mas há lições que podem ser aprendidas com a forma como os criminosos cibernéticos operam. A Segurança como Serviço pode oferecer a flexibilidade necessária para combater operações do “crime cibernético como serviço”. Consultores especializados podem complementar a equipa interna com conhecimentos e recursos direcionados, quando necessário. Reconhecimento e incentivos por desempenho podem resultar em defesas mais reforçadas e em ciclos de patches acelerados.