Porque a gestão de riscos moderna deve combinar uma visão a curto e a longo prazo

De acordo com o último relatório da Verizon, aproximadamente um terço das violações envolveu ransomware ou outra técnica de extorsão em 2024.

Basicamente, as ameaças de extorsão caracterizam-se pelo facto de procurarem utilizar os dados exfiltrados para obter dinheiro ou outros fins através de chantagem. Os atacantes aproveitam os ficheiros e credenciais expostos para se infiltrarem em ambientes de cloud, aumentarem os privilégios e, por fim, consumarem a exfiltração. Além disso, por exemplo, podem automatizar a pesquisa de ficheiros expostos (por exemplo, .env) que contêm frequentemente chaves de acesso, credenciais de bases de dados ou tokens de API e utilizar estes dados para comprometer ambientes e violar direitos de acesso.

Outro problema fundamental é que o atual cenário de ameaças é marcado pela inovação. Nenhuma estratégia única pode cobrir as contingências quotidianas desta luta. Mas, ao mesmo tempo, as táticas baseadas no imediatismo não abordam questões como a categorização dos dados, a conformidade regulamentar ou a expansão da infraestrutura para o crescimento do negócio.

Por conseguinte, é necessário considerar ações a curto e a longo prazo para proteger o essencial e, ao mesmo tempo, cumprir os regulamentos, reforçar a confiança e fortalecer a organização contra ataques externos. Uma pesquisa recente mostra que o tempo médio de aplicação de patches é, em algumas regiões, de até 30 dias. É imperativo definir um plano para reduzir este atraso. Os dados também nos dizem que aproximadamente um quarto das ameaças armadas aparecem no mesmo dia em que o patch é lançado. Uma resposta rápida será, portanto, fundamental, mas, especialmente em grandes organizações, a distribuição de responsabilidades entre departamentos muitas vezes atrasa o processo.

Prontos para o combate

A industrialização do cibercrime, a ascensão dos brokers de acesso, o surgimento de armas baseadas na cloud, como o ransomware como serviço (RaaS)... todos estes são sinais que mostram claramente um cenário de ameaças em constante evolução. Quando chegar a altura, as equipas de segurança devem estar preparadas para responder rapidamente, monitorizando proactivamente a sua postura global de risco.

É fácil escrever palavras como "solução", "conformidade", "resiliência" ou "confiança", mas no campo de batalha, atingir estes objetivos é muito mais complexo. Os ativos de TI tradicionais coexistem com centros de dados desconhecidos, geridos por terceiros. Por outro lado, estão a surgir novas "palavras-chave", como Cloud-native ou Containered, que, por sua vez, levantam novas questões: porque, por exemplo, se o tempo de vida de um contentor é de cinco minutos, como proteger algo tão efémero?

Outro desafio são os ativos antigos. Os sistemas antigos representam grandes investimentos e são concebidos para durar anos. As atualizações e os patches podem causar períodos de inatividade problemáticos e, em muitos sectores, completamente inviáveis. Uma estratégia unificada terá de equilibrar, por exemplo, o risco de os manter vulneráveis e a perda de receitas devido ao tempo de inatividade durante os processos de atualização. As unidades empresariais argumentarão que a ameaça cibernética é teórica, mas a perda de receitas é perfeitamente calculável.

Integração desde o início

A verdade é que, curiosamente, ambos os argumentos são válidos. A colaboração entre departamentos é fundamental para definir um plano de ação a curto prazo e uma política eficaz para o futuro, combinando, por um lado, elementos como atualizações mais curtas e mais eficientes para minimizar o tempo de inatividade e, por outro lado, protocolos para mitigar os danos se uma vulnerabilidade não corrigida for explorada.

Além disso, as plataformas modernas integram a segurança desde o início (Security by Design), o que é crucial para acompanhar a velocidade dos fluxos CI/CD. Felizmente, já não é necessário preocupar-se com períodos de inatividade prolongados, uma vez que as equipas DevOps integram a segurança desde a fase de desenvolvimento. Os sistemas desenvolvidos internamente permitem uma visão a longo prazo, defendendo os ambientes através de boas práticas de codificação e facilitando atualizações rápidas, enquanto os modelos SaaS permitem satisfazer os requisitos de segurança a curto e a longo prazo.

Em conclusão, o planeamento é vital, mas não devemos perder de vista o presente. É como jogar xadrez contra um adversário astuto e tentar prever como será o jogo daqui a uma década. O futurista poderá ajustar as suas previsões analisando os jogos atuais, e o jogador concentrado no presente poderá beneficiar das previsões a longo prazo do estratega. Ambos os pontos de vista são valiosos e complementares. E nenhuma delas, por si só, é suficiente.