É hora de mudar o modo como consumimos cibersegurança

A ampla adoção da nuvem fez com que executivos e membros do conselho das empresas se sentissem à vontade para pagar por novos recursos de TI e serviços sob demanda. Esse modelo de consumo oferece benefícios financeiros e operacionais amplamente aceitos, que promovem agilidade, escalabilidade e transformação.

Os principais provedores de serviços em nuvem como Amazon Web Services (AWS), Microsoft e Google, agora cobram por incrementos e parcelas cada vez menores, permitindo que os clientes acessem os serviços conforme sua necessidade. A AWS, por exemplo, tem sido ousada e agressiva na formulação de seu modelo de consumo, cobrando clientes por serviços usados por segundo.

Os líderes de negócios devem seguir o exemplo e desafiar seus CISOs, se não estiverem adotando a nuvem como plataforma que permite essa mudança nos modelos de consumo. Mover-se de um investimento monolítico de alto custo baseado em Capex para um modelo sob demanda, pay-as-you-go, com capacidade infinita, é claramente o caminho do futuro, já que a agilidade digital é hoje uma importante vantagem comercial.

A segurança cibernética, no entanto, permanece amplamente enraizada em um modelo de aquisição e implantação, que geralmente resulta em excesso de provisionamento, silos de segurança e desafios de gerenciamento. O ponto crítico é que a segurança precisa ter a capacidade de não apenas responder em tempo hábil, mas também de se adaptar; a capacidade máxima não é necessária em todos os momentos. Essa mudança no consumo – passando de grandes investimentos em hardware para um modelo de “pague pelo que usa”, é fundamental.

Preenchendo a divisão

Todos falamos muito sobre a necessidade dos executivos de negócios e líderes técnicos estarem na mesma página em termos de prioridades para implantar recursos e serviços de TI e atingir metas de negócios importantes. No entanto, cada vez mais, encontramos exemplos nos quais os dois campos estão em uma encruzilhada de duas perspectivas diferentes.

Em uma conferência recente que participei, ouvi que 67% dos líderes empresariais e membros do conselho estão forçando os CIOs, CISOs e outros líderes técnicos a difundirem seus serviços e abordagens de maneira mais rápida e agressiva. Os membros do conselho embarcaram no movimento da transformação digital e querem que suas organizações se movam mais rápido do que as concorrentes em direção a esse objetivo.

Mas, outras pesquisas entre CISOs, indicam que a maioria dos executivos de segurança cibernética acredita que as coisas podem estar se movendo muito rápido para avaliar adequadamente os riscos e suas implicações. Por segurança, isso significa que os líderes de negócios desejam implantar não apenas aplicativos na nuvem, mas também serviços de TI vitais, como segurança, para aproveitar todos os benefícios da nuvem. Dessa forma, membros do conselho e líderes de negócios rapidamente se tornam grandes crentes na noção de “TI descartável”, que impõe impacto menor nas empresas, ao mesmo tempo em que proporciona mais agilidade e, potencialmente, redução de custos. Muitos CISOs, no entanto, ainda tem uma mentalidade tradicional de compra de licenças, apoiadas por muitos testes, análises de risco e decisões metódicas.

Como as organizações devem equacionar o abismo entre “ir mais rápido” da diretoria e a filosofia “vamos domar o monstro do risco cibernético” do CISO?

O modelo de consumo para segurança

Os modelos de consumo de cibersegurança devem espelhar os modelos de consumo de TI, com grande atenção aos padrões reais de uso e aos mapas de segurança dos serviços de TI. Por exemplo, se sua organização de TI adotou um processo de DevOps, seu perfil de uso e disponibilidade de TI pode mudar a cada semana, todos os dias ou até mesmo em poucas horas. O consumo de segurança deve seguir alinhado com essa tendência de uso de TI.

Podemos visualizar esse processo como um tripé. Primeiro, há uma necessidade operacional; segundo, os desenvolvedores criam a solução para atender a essa necessidade; terceiro, a segurança deve estar vinculada aos ciclos operacionais e de desenvolvimento. Infelizmente, o DevOps, até o momento, normalmente não inclui essa etapa de segurança. Pesquisas indicam que cerca de 80% das organizações estão adotando o DevOps, mas um percentual muito menor fez a transição para o DevSecOps.

Os ciclos de DevOps se movem cada vez mais rápido a cada dia. Os líderes estão exigindo adaptação em tempo real do software, para atender aos requisitos operacionais e a segurança deve corresponder em cada passo do caminho. Caso contrário, novos cenários e requisitos de DevOps terão ido e vindo antes que a equipe de segurança descubra o que era necessário – ontem. Portanto, é necessário mudar de DevOps para DevSecOps, onde a segurança é parte nativa do processo de DevOps.

Se o seu CISO não puder ser uma parte igual desse processo de DevOps, ele precisará preparar uma explicação realmente boa para o pessoal C-Level. A realidade é que o negócio simplesmente continuará sem o seu apoio.

Você nunca pode ser muito ágil

A adoção de um modelo de consumo de segurança para pagamento conforme o uso permite agilidade, capacidade de resposta, escalabilidade e eficiência de custo que os atuais ciclos de desenvolvimento e implementação de aplicações exigem. As organizações que hesitam em se locomover dessa maneira provavelmente descobrirão que investindo excessivamente em Capex de segurança e não podem investir um centavo extra quando surgem novos riscos.

Recentemente, me encontrei com um CIO que queria transformar o data center de sua empresa. Ele me disse que demorou um tempo excessivamente longo para reprojetar, obter aprovação e implementá-lo. Tanto que hoje o centro já está desatualizado. Ficar preso em investimentos monolíticos e de longo prazo simplesmente não faz sentido se você quiser permanecer competitivo em mercados cada vez mais digitalizados.

O que nos traz de volta à essa tensão entre o lado do negócio e o lado técnico quando se trata de segurança. A maioria dos executivos de negócios reconhece a falta de conhecimento técnico profundo em segurança cibernética, e por isso, confiam em seu CISO para estratégia e operações. Mas eles sabem disso: querem que seus dados, processos de negócios, rotas para o mercado, propriedade intelectual e fontes de vantagem competitiva sejam protegidos contra ameaças cibernéticas. Os CISOs, é claro, também querem tudo isso – mas muitas vezes querem que seja o resultado de uma solução Rolls-Royce. Os líderes normalmente pensam que isso é simplesmente um gasto excessivo e pode levar muito tempo para ser implementado.

O novo modelo de consumo ágil permite que as organizações criem uma segurança cibernética de última geração, escalonável e acessível, alinhada às metas de transformação digital e à necessidade crucial de mais agilidade.

Um mundo em mudança

Se sua organização tiver uma TI descartável como novo paradigma para transformação digital e você pretende alinhar a segurança cibernética com ela, esse mundo em mudança pode fazer os CISOs se sentindo pressionados a manter o ritmo. Mas não precisa ser uma experiência angustiante, especialmente se houver um plano para mudar para um novo modelo de segurança.

Lembre-se, o objetivo é descobrir e impedir violações antes que aconteçam e fazê-lo contra um conjunto de agentes mal-intencionados em rápida evolução em um ambiente cada vez mais inovador pode se tornar proibitivamente caro e dependente de mão-de-obra. Trazer a segurança cibernética para o mix é a terceira perna do tripé. A segurança sob demanda, pay-as-you-go, permite agilidade, reduz custos e pode acelerar os tempos de resposta (já que não há limite para capacidade). O valor desse modelo de consumo já está claramente funcionando na nuvem, na TI e não há motivo para não adotarmos essa mesma lógica para segurança cibernética.

*Greg Day é VP e CSO EMEA da Palo Alto Networks