Saket Modi, cofundador e CEO da Safe Security, descreve como a segurança cibernética no setor bancário agora ganhou um foco nítido. “No entanto, os fundamentos de como a cibersegurança é abordada ainda não estão claros, e é por isso que ainda vemos empresas gastandomuito e ainda assim sendo violadas”, disse
Posso pular por cima de dois ou três caras como costumava fazer? Não. Sou tão rápido quanto costumava ser? Não, mas ainda tenho os fundamentos e a inteligência. Isso é o que me permite ainda ser um jogador dominante. Como uma criança crescendo, eu nunca pulei etapas. Sempre trabalhei nos fundamentos porque sei que o atletismo é passageiro – Kobe Bryant
Para qualquer disciplina – seja esporte, música ou acadêmica – o domínio dos fundamentos precisa ser forte. Afinal, não se pode escrever uma frase sem primeiro aprender o alfabeto.
A pandemia catalisou mudanças digitais dentro das organizações e fora delas, à medida que seus clientes adotaram o banco aberto e as transações digitais. De acordo com o estudo de vantagem competitiva do Mobile Banking da Business Insider Intelligence, 89% dos entrevistados disseram que usam o mobile banking.
A Deloitte relata que 35% dos clientes aumentaram seu uso de banco online durante a Covid-19, e a Visa viu cerca de 13 milhões de clientes latino-americanos fazerem sua primeira transação online no primeiro trimestre de 2020.
Com esse “boom” digital, a segurança cibernética ganhou um foco nítido. No entanto, os fundamentos de como a segurança cibernética é abordada ainda não estão claros, e é por isso que ainda vemos empresas gastando muito e ainda assim sendo violadas.
De acordo com um relatório da Deloitte, as instituições financeiras devem gastar cerca de 11% de seu orçamento de TI em segurança cibernética, com os maiores bancos dos Estados Unidos. investindo US$ 1 bilhão cada!
No entanto, enquanto as organizações estão melhorando o planejamento, detecção e resposta de ataques cibernéticos, sua capacidade de conter uma ameaça ativa diminuiu 13%, de acordo com o Relatório de Organização Cibernética da IBM.
Quais são os fundamentos?
Atualmente, os cinco vetores do setor bancário – pessoas, processos, tecnologia, terceiros e produtos de cibersegurança – são visualizados em silos e tratados como tal. Pessoas, segurança, ferramentas de segurança, conformidade e auditorias são considerados fundamentais para a segurança cibernética quando fazem parte de um quadro granular.
As organizações estão comprando mais produtos para gerar mais listas, com base não em medições objetivas, mas em abstrações subjetivas do CIO, equipe de segurança ou empresas concorrentes.
Em média, as empresas implantam 45 ferramentas relacionadas à segurança cibernética. No entanto, há uma falta definitiva de coesão em determinar o que está indo bem e o que poderia ser melhor. Para colocar isso em perspectiva, as empresas que implementam mais de 50 ferramentas de segurança cibernética se classificam 8% abaixo em sua capacidade de detectar ameaças do que outras empresas que empregam menos conjuntos de ferramentas!
Não existe um padrão do setor que determine os fundamentos que permitem aos institutos financeiros (IF) responder a uma pergunta simples: Quão seguros estão hoje? Quando o CEO pode ser responsabilizado pela violação de uma organização (de acordo com a LGPD), o conselho fica mais curioso e envolvido nos processos de tomada de decisão de segurança cibernética do que nunca.
Nesse cenário, a cibersegurança deve deixar de ser rica em jargões e se tornar simples, unificada e fácil. Gerenciar, mitigar e medir o risco de forma objetiva é a mudança fundamental necessária, e isso vem com o conhecimento da probabilidade de violação de uma empresa.
As instituições financeiras precisavam adotar a probabilidade de violação “para ontem”
A Gartner define Gerenciamento de Risco Integrado (IRM, sigla em inglês) como “práticas e processos apoiados por uma cultura ciente de riscos e tecnologias habilitadoras, que melhoram a tomada de decisões e o desempenho por meio de uma visão integrada de como uma organização gerencia seu conjunto único de riscos”.
O bloco de construção do IRM é o risco corporativo. Atualmente, as organizações tentam e não conseguem proteger os dados observando a segurança cibernética apenas por meio de estruturas de conformidade, com relatórios pontuais de ferramentas isoladas. É hora de eles passarem do gerenciamento de risco reativo e defensivo para o gerenciamento de risco preditivo por meio da probabilidade de violação, o que simplifica a segurança cibernética.
O cálculo da probabilidade de violação de uma empresa aproveita a tecnologia que não é estranha ao setor BFSI (Bancos, serviços financeiros e seguros, traduzido do inglês). As previsões habilitadas para Machine Learning já estão sendo implantadas em seguros, bem-estar de funcionários e experiência do cliente. Um grande sistema de pagamentos online usa Deep Learning, algoritmos, modelos de várias classes e muito mais para filtrar transações fraudulentas e genuínas, derivando percepções acionáveis de sua análise de modelo de história.
A cibersegurança também pode ser simplificada usando tecnologia já existente. O elemento fundamental da segurança cibernética é tão básico quanto conhecer a probabilidade de violação corporativa que pode ser calculada a partir de sinais de toda a empresa.
A previsão de probabilidade de violação no setor bancário transfere o poder para a equipe de segurança cibernética e a organização, permitindo-lhes prevenir em vez de reagir a ameaças. Seja a possibilidade de uma violação por meio de ransomware, configurações incorretas de nuvem ou comprometimento de e-mail comercial, a probabilidade de violação fornece uma métrica do estado em que se encontra para riscos cibernéticos e um meio de priorizar vulnerabilidades.
Isso simplifica a compreensão e o gerenciamento da segurança cibernética. As instituições financeiras que desejam investir em métodos que simplificam a cibersegurança podem começar com:
- Afastar-se de uma abordagem qualitativa apenas de conformidade para garantir que nenhum vetor – pessoas, processos, tecnologia ou produtos de segurança cibernética para terceiros e terceiros – fique sem solução;
- Consolidar relatórios de todos os produtos/serviços de segurança cibernética em um único painel. Isso ajudará as equipes de gerenciamento de segurança e risco a priorizar os riscos em toda a empresa em uma única visão;
- Medir sua postura de risco cibernético no estado em que se encontra. Eles aceitam o risco e melhoram sua postura de risco comprando seguros cibernéticos, aceitam o risco e renunciam a quaisquer alterações, especialmente quando o investimento necessário para mitigar o risco é maior do que o impacto do valor em dólares, ou mitigam as vulnerabilidades definindo seu risco cibernético e tolerância ao risco cibernético.
Até o momento, a abordagem fundamental para proteger qualquer negócio tem sido reativa. Os investimentos em segurança cibernética têm mantido historicamente uma abordagem de seleção para atender aos requisitos de conformidade e auditoria. Existem muitas distrações e abstrações em torno da segurança cibernética, especialmente quando se trata de uma análise qualitativa. Assim que a base for sólida com a adoção da probabilidade de violação em todo o setor, a segurança cibernética se tornará uma solução, em vez de um problema que os executivos de segurança percebem como agora.
Sobre o autor
Saket Modi é cofundador e CEO da Safe Security, uma empresa de plataforma de quantificação de riscos de negócios digitais e segurança cibernética. Engenheiro de ciência da computação por formação, ele fundou a Safe Security em 2012, quando estava em seu último ano de engenharia. Incubado no IIT Bombay e apoiado pelo ex-presidente e CEO da Cisco, John Chambers, o Safe Security protege a infraestrutura digital de várias empresas da Fortune 500 em todo o mundo com sua plataforma de mitigação e medição de risco cibernético chamada SAFE. Modi faz parte das listas de 40-under-40 da revista Fortune, de 35-under-35 da revista Entrepreneur, de 30-under-30 da revista Forbes, entre outras.