Por: Christine Vanderpool
19 de Setembro de 2019
Perguntaram-me recentemente porque houve um pico nos alertas de incidentes durante o mês corrente.
Como dei a minha resposta, reparei que estava a focar nas razões por detrás do “porquê” os números tinham aumentado e tornou-se evidente para mim que quando explico os riscos, tendo a focar-me no motivo pelo qual um risco pode ocorrer.
Acredito que isto se deve à minha forma de pensar. Mesmo quando falo ou peço a alguém para fazer algo, eu me concentro no “o que há nele para eles”, porque acredito que, em última instância, a maioria das pessoas precisa ser motivada antes de agir. Tem que haver uma razão por trás de todas as coisas e se entendermos a razão, podemos abordar os meios e as oportunidades que deixam esse motivo uma possibilidade de ação.
Quando um crime é cometido e avaliado no julgamento, o promotor é solicitado a fornecer os meios, o motivo e a oportunidade do suspeito de cometer o crime. A habilidade de alguém para cometer um crime é o meio. O motivo pelo qual alguém comete um crime é o motivo. A chance ou disponibilidade de recursos para que o crime seja realizado é a oportunidade.
É assim que, como CISOs, pensamos sobre os riscos e como enfrentá-los. Isso não significa que uma maneira de pensar seja melhor, porque para ser totalmente eficaz, você tem que considerar todos os três fatores, mas todos falharão em relação a um dos outros dois. Se você é uma CISO, a questão é: você é um meio, motivo ou oportunidade CISO?
O “Meio” CISO
Se você é uma CISO que se concentra no “meio” de um risco, você é muito provavelmente uma CISO altamente técnica, com uma forte base técnica e um histórico. Sua mente tenderá a pensar imediatamente no “como” um ataque seria realizado. Você gravitará para os meios técnicos pelos quais um ataque seria, ou poderia acontecer. A sua abordagem irá concentrar-se nas ferramentas e processos que podem ser usados para proteger contra os meios. Se você amarrar isso de volta às cinco áreas do NIST, sua casa da roda principal, ou onde você gosta de se concentrar, estará nas áreas de “proteger e detectar”. Esta é uma área muito importante para focar, porque se alguém tem motivo e oportunidade mas não tem meios para realizar o seu crime, você tem que se perguntar a si mesmo, será que o ataque iria mesmo acontecer?
O “Motivo” CISO
Onde há vontade, sempre haverá uma maneira. Este é o modo como a CISO “Motivo” pensará. Este tipo de mente irá focar no porquê de um ataque poder acontecer. Uma CISO que prefere focar no “porquê”, irá concentrar-se na psicologia de um ataque. Esta pessoa focaliza-se na área de identificação do modelo NIST. Eles olharão para cada possível “porquê” e então determinarão os meios e oportunidades a fim de proteger, detectar ou responder a um tal ataque. Este indivíduo geralmente acredita que não há nenhuma maneira possível de conhecer cada método ou oportunidade, então ao invés de tentar parar tudo isso, pare o que é mais provável baseado no que seria a razão mais provável para um ataque ser realizado. Se você entender o porquê, então verá como alguém seria capaz de orquestrar um ataque e bloquear a sua capacidade de o fazer.
A “Oportunidade” CISO
Quando uma porta se fecha, outra pessoa abre uma janela. Esta é a mentalidade da CISO “Oportunidade”. Este tipo de líder de segurança vai se concentrar na idéia de que existe mais de uma maneira de esfolar um gato. Eles se concentrarão nos riscos que estão dentro não apenas da sua própria visão e controle, mas também naqueles que estão além. O foco será a disponibilidade de todos os recursos à disposição do agressor. Esta CISO se concentrará na resposta e recuperação de outras organizações a fim de garantir que elas estejam coletando todos os dados sobre os vários recursos ou oportunidades disponíveis para um ataque. Eles se baseiam na experiência de outras organizações e as aplicam para reduzir os recursos disponíveis que podem ser utilizados em um ataque. Tirem a oportunidade de alguém fazer mal e não farão mal.
A defesa perfeita
Na realidade, não há crime perfeito e, inversamente, não há defesa perfeita. Todos os três fatores devem ser considerados ao desenvolver uma estratégia de segurança e uma CISO deve se concentrar nos três. É importante identificar-se como um líder de segurança que é sua preferência, ou foco padrão de um risco, porque você pode então identificar onde você precisa de pessoal para preencher ou focar nos outros dois. É como um triângulo. Não existe um ângulo correcto ou errado para olhar para ele. Uma CISO experiente será capaz de ver e identificar as três facetas no desenho da sua estratégia. Eles serão capazes de articular como o programa aborda os meios, motivo e oportunidade em termos e formas realistas e accionáveis.
Um foco não é melhor do que o outro, todos eles são igualmente importantes. É apenas uma forma de pensar e identificar a forma como você prefere olhar primeiro para um risco.