Como bons seres humanos que somos, gostamos de rotular as coisas, temos essa necessidade para facilitar nosso entendimento e utilizar o repertório que já possuímos para presumir características daquele que foi rotulado. Trata-se de um grande atalho no dia a dia, pois a partir dos rótulos já podemos prever algumas características de pessoas ou situações sem precisar avaliar todo o contexto que as envolve.
Por exemplo: em uma conversa com um presidente, a partir do rótulo “presidente”, já se subentende o tom da conversa, a postura esperada, e até o tipo de roupa que iremos utilizar neste tipo de interação. Outro exemplo: ao rotularmos alguém de “iniciante”, já assumimos que este terá pouco conhecimento e maturidade, então a conversa poderá ser um pouco mais jovial e pedagógica.
O fato é que rótulos são feitos para falhar, não é apenas porque um molho de tomate foi rotulado como tal, que terá o mesmo sabor ou a mesma textura que todos os outros molhos de tomate. Assim como um iniciante não necessariamente terá pouco conhecimento e pouca maturidade, mas pode ter um talento inato que muitos experientes levaram anos para obter.
Então rotular, ou classificar, o estado da segurança da informação nas empresas nos permite compreender seu nível de maturidade, os pontos fracos e fortes de sua segurança. Podemos ter uma percepção bastante interessante que nos possibilita nortear as ações para tornar o ambiente ainda mais seguro.
Hoje, consigo identificar cinco perfis bem distintos do estado da segurança da informação em empresas. A intenção inicial era criar alegorias apenas se baseando em seres mitológicos, o que ficaria interessante e mágico, porém não foi totalmente possível, sendo assim, temos: A Borboleta, a Fênix, a Hidra, a Medusa e o Ciclope.
Veremos que estas alegorias se apresentam em ordem evolutiva de cyber segurança nas empresas, mas não é obrigatório que as empresas se encaixam em todas elas, uma empresa pode surgir em qualquer um dos 5 tipos e evoluir ou regredir. O caminho mais natural seria nascer como uma Borboleta, progredir para uma Fênix, tendo por ideal ser uma Hidra. A Medusa e o Ciclope aparecem em alguns contextos específicos de empresas que geralmente nascem e morrem como tal.
Uma empresa pode possuir mais de um arquétipo, não é incomum. Empresas com muitas divisões, distribuídas por áreas de negócio ou distribuídas geograficamente podem possuir segmentos computacionais isolados e, com isso, cada segmento tem a sua maturidade em segurança da informação. Também é comum existir nas empresas a segregação entre as áreas produtiva e corporativa. Podemos citar escolas como exemplo, onde a preocupação com segurança em relação ao ambiente de tecnologia oferecido aos alunos é pouca, enquanto o ambiente de coordenação e administrativo já tem um nível elevado de controles de segurança da informação. Às vezes a diferença se apresenta por regiões geográficas, no caso de multinacionais, onde países têm legislações mais rígidas ou o próprio orçamento de segurança da informação é diferenciado de uma região para outra. E nestes casos cada segmento computacional pode adotar um arquétipo diferente e adequado à sua realidade.
A Borboleta
Borboletas são seres muito frágeis, com muitos predadores naturais – sendo o ser humano o maior deles – e facilmente acabam morrendo, assim como as empresas deste perfil, que já no primeiro incidente de segurança sofrem danos catastróficos, mesmo com ataques simples, sem muita sofisticação.
A Borboleta acredita que sua beleza traz algum benefício contra os predadores – talvez uma camuflagem – mas a realidade é que sua beleza não agrega muito a sua segurança e até pode “jogar contra”, já que somos fascinados por coisas belas.
Há até empresas que assumem esta fragilidade em seus negócios, pois o foco está no desempenho ou na performance, e por isso acabam vendo a segurança da informação como um empecilho.
Este é um pensamento interessante e até lógico,
seguindo uma analogia: como vou entrar correndo em casa se as portas possuem trancas? Mas então não deve ser um problema chegar em casa e encontrar sua geladeira vazia porque outras pessoas também entraram. Assim como borboletas: se suas asas fossem indestrutíveis ou seu corpo rígido e cascudo, não conseguiriam voar.
O voo da borboleta é curto e geralmente com direções duvidosas, totalmente dependente do vento, do clima, e esta fragilidade tem um outro viés de segurança: as empresas deste perfil não permitem que seus negócios se desenvolvam, cresçam de forma tranquila.
É comum que estas empresas Borboletas tenham uma percepção de que segurança é grande, e de que tudo parece bonito. Geralmente a percepção de ser tudo perfeito e lindo é mais interna do que externa, ou seja, a própria empresa desconhece seus pontos fracos, acaba acreditando que basta ter passado por uma transformação (de lagarta para borboleta) que nunca mais precisará se preocupar. Mas a realidade é que a segurança precisa ser continuamente exercitada e praticada, tal como músculos que, se deixarem de ser treinados, acabam definhando. Então esse excesso de confiança faz com que os pontos fracos acabem sendo soterrados e nunca tenham a devida atenção – até que um incidente ocorra novamente.
Empresas Borboletas são aquelas que saíram a pouco do casulo, que passaram por uma transformação um tanto brutal. Precisamos compreender ao que está associada esta transformação e o seu motivador. Esta pode ser a força de uma lei que obriga a empresa a mudar o seu modo de atuação – o que é muito comum no mercado nacional. Mas também pode ser um incidente de segurança, que acabou por jogar luz ao assunto e viabilizar recursos infinitos para garantir que nenhum outro incidente ocorra. Esta transformação também pode ser fruto de uma consultoria que apontou falhas de segurança, ou ainda de novos colaboradores que desembarcam na empresa com muita bagagem de conhecimento e poder de influenciar a captação de investimentos ou da criação de um departamento de segurança que passa a dar atenção para a segurança da tecnologia dentro da empresa.
Então, algo que acabou de sofrer uma transformação e saiu muito belo de seu casulo é algo imaturo. Não basta acreditar que, pelo simples fato de estar voando se é imune a todas as ameaças. Esta visão é irreal, porém presente em muitas empresas. Maturidade só vem com o tempo, tendo experiências e muito tempo observando o seu redor. Enfim, a Borboleta é aquela empresa que pensa ser segura, mas conta com a sorte. E que provavelmente não se recuperará quando houver um incidente grave de segurança.
É muito comum ver empresas que gastaram um bom dinheiro com alguma ferramenta de segurança como um XDR, um PAM e que tem convicção de que agora não dependem mais das pessoas, de processos e podem confiar cegamente nos produtos implantados. Tal como uma borboleta, lindo de ver! Exuberante, mas não voa direito. Estas empresas precisam focar em pessoas e treiná-las e conscientizar sobre todo o arcabouço da segurança da informação, assim como focar em processos, tê-los bem escritos, definidos e auditados. Isso sim trará maturidade e a garantia de que as ferramentas estão sendo bem utilizadas.
A Fênix
A Fênix era um pássaro mitológico que se queimava e ressurgia das cinzas voltando a ser exatamente como era antes. Associada sempre ao renascimento, ela traz uma visão de resiliência, pois era indestrutível. O seu renascimento não era instantâneo, mas era certa sua volta. A Fênix tem questões parecidas com a Borboleta, tal como a fragilidade e a beleza, ou seja, a Fênix é muito linda em seu conceito, em sua concepção, beleza sempre estará associada à jovialidade e com isso, imaturidade.
Fênix são seres raros, e é visível que empresas Fênix também são.É muito difícil encontrar empresas que sabem retornar o ambiente após um incidente de segurança, que possuem todos os recursos à disposição
para retornar um ambiente. As possibilidades de ataques e formas de interromper serviços são tão vastas que geralmente é exigido do time técnico criatividade para retornar o ambiente de forma mais rápida possível.
O maior problema das empresas deste tipo é a falta de aprendizado. Retornar das cinzas da mesma forma que era antes significa não ter aprendido com o problema. Manter-se constantemente falhando nos mesmos pontos.
Incidentes de segurança podem ocorrer com empresas Fênix, elas têm capacidade de retornar. Pode demorar um pouco até voltar das cinzas, mas é certo que o processo ocorre, e assim como a ave mitológica, a empresa retornará ao seu funcionamento com todas as mesmas características. Então, ou o plano de recuperação de desastre funciona nestas empresas ou elas dispõem de profissionais muito dedicados que darão o sangue para retornar os sistemas atingidos o mais breve possível.
A Fênix é a evolução mais natural de uma empresa Borboleta, que depois de vários incidentes (isto é, se sobreviveu aos incidentes) ela adquiriu maturidade e aprendeu a ressurgir das cinzas. O primeiro passo para estas empresas é ter um backup adequado e garantido ou implementar um site-backup.
As empresas deste tipo não têm a visão de “secure by design”, ou seja, as coisas são pensadas e implantadas com conceitos de segurança intrínsecos. Segurança geralmente deixa as coisas feias. Tal como as casas nas quais que não se pode ver os belos jardins por causa dos muros altos, ou que possuem câmeras de vigilância como penduricalhos em todos os cantos. Então, a segurança é inserida depois, adicionando proteções e camadas complexas que tentam tornar o ambiente seguro.
A Medusa
Medusa foi um monstro do sexo feminino com serpentes na cabeça e que transformava em pedra aqueles que a olhavam diretamente. Assim, a regra era nunca olhar diretamente para ela. Um ser desprovido de beleza e bastante solitário. Teve sua cabeça cortada por um herói que meticulosamente tomou o cuidado de emboscá-la observando-a através de reflexos em seu escudo e sombras. Certamente um trabalho extremamente perigoso, sem chances para erro, mas que chega a contar com a sorte.
Tal como a Medusa, que sem segunda chance nem um pingo de piedade imediatamente transformava em pedra aqueles que tentavam burlar sua única regra, há empresas em que seguir
regras é extremamente obrigatório e as punições são bastante dolorosas.
Medusas geralmente são empresas de setores extremamente críticos como energia nuclear, bancos e militares que seguem protocolos rígidos para garantir a segurança.
São setores de pouca inovação, a rigidez é necessária para garantir a segurança. Bancos evoluíram muito pouco, se comparado a outros setores e isso se deve a sua criticidade.
Tal como a Medusa, ela tem dificuldades de adquirir novos talentos já que ela não tem condições de se aproximar de forma segura das pessoas.
Assim como na história, onde a Medusa acaba com sua cabeça dentro de um saco, as empresas Medusas sempre tem fragilidades, mas que dependem de ataques meticulosos, destemidos e com possibilidades ínfimas de sucesso, mas que podem ocorrer e quando ocorrem são catastróficas.
Empresas Borboletas tendem a evoluir para Fênix, mas não é verdade que depois desta tendem a se tornar Medusas. Geralmente empresas com esta característica nascem Medusas e morrem Medusas.
A Medusa ainda seduz, o fato de ser tão exótica e de difícil acesso causa certo fascínio em suas vítimas, que acabam sendo atraídas por ela. Nas empresas Medusa do mundo real, os próprios colaboradores muitas vezes são tentados a burlar suas regras, pois se entendiam com tantos protocolos. Assim como hackers, que tem fascinação por empresas críticas e por conseguir invadir algo absurdamente seguro.
A Hidra
Outro ser mitológico, com corpo de dragão e cabeça de serpente, um monstro que foi criado por um deus para matar Hércules. Com uma personalidade agressiva, a Hidra matava qualquer um que atentasse contra ela, e possuía a capacidade de fazer crescer duas cabeças quando uma delas fosse cortada.
Empresas com o perfil de segurança de Hidra possivelmente evoluíram da Fênix, pois são empresas que, além de ressurgir como a Fênix, ressurgem mais fortes, tal como a Hidra em sua mitologia, onde no lugar de uma cabeça cortada apareciam duas.
A Hidra é um bicho feio, grotesco, cascudo e que perdeu a necessidade de ser bonita, o visual externo não importa mais,
está de fato preocupado em ser robusto, e até ameaçador para quem chega perto. São empresas que acabam desenvolvendo uma casca grossa e que não caem mais em “contos de vendedores” e estão muito certas do seu posicionamento no mercado.
Implementam com sucesso o “secure by design”, pois estão preocupadas em criar serviços que já nascem seguros. A beleza fica em segundo plano, sendo priorizada a funcionalidade e segurança.
Hidra é um ser que não foge do embate, ela não se intimida com quem tenta atacá-la e acaba por usar seu veneno e garras para se defender. Na vida real, as empresas Hidra estão sempre inovando, sempre agindo de forma destemida, ou seja, o departamento de segurança consegue dar tranquilidade ao negócio para que ele possa evoluir, desempenhar suas atividades sem impacto na segurança.
A característica mais marcante da Hidra é o fato de, ao se cortar uma cabeça, nascem duas no local, retornando ainda mais forte do que era antes. Ou seja, aprende com as falhas e retorna ainda mais robusta. Neste ponto as empresas Hidra estão prontas para retornar, elas sabem cirurgicamente o que fazer quando um incidente de segurança ocorrer. Retornar uma operação que foi atacada deve ser um processo simples, bem treinado e que deve ocorrer antes de perder todas as cabeças. Aqui falamos de planos de continuidade de negócio, plano de recuperação de desastres que deverão ser bem escritos, com papéis bem definidos e conhecidos por todos envolvidos.
A Hidra de certa forma aprende com cada ataque, e por isso retorna mais forte.
Assim deve ser no mundo real, onde se aprende não só com as próprias falhas, mas com as falhas dos outros e com as lições aprendidas de outros casos. É importante se informar do que acontece em outras empresas do mesmo setor, os ataques da modinha e conferir se não há as mesmas falhas em seu próprio ambiente. E se é uma premissa aprender com os próprios erros, então torna-se ainda mais lógico que planos de retorno devem ter ainda mais atenção e serem um primor.
Quando falamos destes conceitos da Hidra, estamos falando do conceito do antifrágil, que não é o antônimo do frágil. Antônimo do frágil é o robusto – aquele que não quebra, mas neste caso estamos falando daquele que quebra sem medo e sabe se aproveitar de suas falhas para aprender, para retornar ainda mais robusto.
O Ciclope
A característica mais notável do Ciclope é sua visão: um único olho redondo no centro do rosto que acaba reduzindo o seu campo de visão e percepção do espaço. E assim, empresas deste perfil acabam tendo um campo de visão bastante reduzido, ou seja, sem capacidade de compreender as ameaças que estão por perto, geralmente sem um serviço de monitoramento (NOC/SOC). A deficiência de visão também pode ser a falta de um inventário correto de TI, que sem visão do parque computacional existente não é capaz de conhecer as próprias vulnerabilidades.
A falta de visão periférica não incomoda um Ciclope, pois também eram tidos como extremamente robustos.
Não era uma simples flecha, um ataque qualquer que conseguia derrubar um Ciclope. Algumas literaturas mencionam até que ele era imortal, mas na maioria delas era visto como um ser difícil de ser abatido. Assim são empresas deste tipo, elas têm uma grande resistência a ataques e mesmo quando estão sob ataques, mesmo que tenham sido feridas, continuam seguindo. Sem a visão certa de quem está atacando, ou que armas estão sendo utilizadas, seguem agindo como se nada estivesse acontecendo.
O prejuízo com o ataque é desprezado em empresas deste perfil, não há uma estratégia definida para mitigar riscos ou responder a incidentes. Elas conseguem seguir sua atuação mesmo com problemas, seja por conta da independência de tecnologia ou pelo prejuízo inexistente.
Ciclopes eram gigantes, muito maiores que pessoas, eram geralmente lerdos e poucos cautelosos, sinônimos de brutalidade, o que significa que empresas assim não tem foco em segurança, caminham em passos lentos em sua jornada de segurança da informação, e possuem dificuldade em mudar de direção quando precisam, ou seja, adotar ferramentas mais seguras.
O Ciclope é com um trator: lento, pesado e que vai arrastando tudo por onde passa. Isso não significa que são invulneráveis ou que possuem uma segurança da informação robusta, na realidade elas não dão valor à segurança e não estão interessadas em dar foco a esta, pois tratar de segurança só vai trazer gastos que são extremamente difíceis de serem justificados.
É fato que Ciclopes tem dificuldade de comunicação, sua excentricidade e tamanho causam dificuldade em se comunicar e serem compreendidos. Sempre vemos a figura do Ciclope como um ser quieto e introspectivo, e assim é com as empresas que se representam nesta figura, tem dificuldade para pedir ajuda, quando sob ataque acabam sofrendo caladas, tentando resolver os problemas sozinhas e sem conseguir ajuda externa, às vezes por falta de recursos destinados, às vezes imersas em burocracias que não dão condições de rápidos acionamentos para correção dos problemas críticos.
Empresas deste perfil são vistas geralmente em setor público em países emergentes, áreas agrárias e outras que são pouco ou nada dependentes de tecnologia. São casos em que não há prejuízo para a corporação em caso de problemas de segurança da informação, onde a imagem da companhia não é abalada por essas falhas e os serviços seguem sendo prestados mesmo com incidentes de segurança. São corporações que quando vulneradas não conseguem pedir apoio externo em tempo hábil por falta de recursos ou por tamanha burocracia.
Conclusões
Acredito que neste momento você tenha identificado empresas, departamentos ou segmentos da empresa em cada um dos perfis e conseguido visualizar a maturidade que há em cada uma dessas.
O ideal para as empresas é adotar uma postura de Hidra. Atuar de forma destemida. Para uma empresa ser uma Hidra, não é necessário tecnologias disruptivas de segurança ou gastos extraordinários. É somente necessário ter o básico bem-feito: Sistemas e Políticas de backup; Planos de continuidade de negócios; Patches de Segurança e Segmentação e Treinamento em recuperação de desastres. São itens que são discutidos desde os primórdios da tecnologia.