Cibersegurança deve ser compromisso de todos
O ecossistema básico que define a experiência digital em nível local inclui múltiplos atores, destacando cada usuário de serviços digitais, cada empresa, a academia, a sociedade civil organizada e o setor público. AWS propõe 10 questões a considerar.
Conforme avançamos na transformação digital, adotamos um estilo de vida que, como indivíduos e como grupo social, não estamos dispostos a abrir mão. A convicção sobre os benefícios que a digitalização representa também deu início a movimentos sociais e políticos que promovem a consideração do acesso à internet como um direito humano fundamental. Na América Latina, esse impulso já se reflete em projetos de lei e pronunciamentos de vários governos, como Argentina, Costa Rica ou Chile.
No âmbito global, a resolução aprovada pela Assembleia Geral das Nações Unidas em setembro de 2020, entre outras questões, aborda este ponto da seguinte forma: “As tecnologias digitais transformaram profundamente a sociedade e criaram oportunidades e novos desafios sem precedentes. Quando usados de forma imprópria ou maliciosa, podem alimentar divisões dentro e entre países, aumentar a insegurança, minar os direitos humanos e exacerbar a desigualdade. Forjar um entendimento comum de cooperação digital e um futuro digital que mostre todas as possibilidades oferecidas pelo uso benéfico da tecnologia e abordando questões de confiança e segurança digital deve permanecer uma prioridade, pois nosso mundo agora depende mais do que nunca de ferramentas digitais para manter a conectividade e a prosperidade socioeconômica”.
A linguagem utilizada pela Assembleia Geral das Nações Unidas nos deixa claro que, embora não tenhamos dúvidas sobre os benefícios que a digitalização proporciona, estamos cada vez mais nos afastando da visão tecno-utópica e mais próximos do “tecnopragmatismo”, onde a realidade prevalece. O desafio da segurança digital é, sem dúvida, global e nesta dimensão desenvolvem-se esforços, como o referido, em múltiplos cenários, tanto nacional como internacionalmente. No entanto, para serem eficazes, esses esforços exigem acompanhamento e comprometimento com a segurança digital em todos os níveis.
O ecossistema básico que define a experiência digital em nível local inclui múltiplos atores, destacando cada usuário de serviços digitais, cada empresa, a academia, a sociedade civil organizada e o setor público. Para cada caso proponho algumas perguntas:
Como usuário: eu tomo algum cuidado ao usar os serviços digitais? Questiono e comprovo a origem e veracidade das mensagens que recebo? Mudo minhas senhas periodicamente? Mantenho os softwares dos meus dispositivos eletrônicos atualizados? Acredito em tudo o que vejo e leio na internet, principalmente nas mídias sociais? Procuro me informar sobre oportunidades de aprendizado e atualização sobre segurança digital?
Como empresa: estou ciente das implicações econômicas e potencialmente legais que um ataque cibernético teria para o meu negócio? Tenho algum nível de preparação, como a implementação de políticas e boas práticas de segurança cibernética? Estou ciente da minha responsabilidade como custodiante dos dados pessoais de meus funcionários e clientes? Conversei com minha equipe sobre questões de segurança digital e seu impacto na continuidade dos negócios e na reputação da empresa? Tenho algum tipo de suporte profissional para atender às minhas necessidades?
No setor acadêmico: estamos cientes de nossa tarefa? Estamos tomando medidas de segurança cibernética de nossas operações digitalizadas, como o registro de alunos ou o gerenciamento de plataformas de aprendizado online? Estamos contribuindo para a formação de uma cultura de segurança cibernética e para a formação de novos especialistas em segurança cibernética, suprindo a escassez de profissionais nesta área?
Na sociedade civil organizada: estamos tomando medidas de cibersegurança em nossas atividades e serviços? Estamos ajudando a criar e promover a cultura digital e programas de conscientização sobre cibersegurança? Estamos cientes dos riscos envolvidos nas redes sociais e na desinformação técnica?
Governo local, regional ou nacional: compreendemos o papel que nos corresponde na promoção da cibersegurança de nossas instituições, tanto internamente como na dimensão do serviço aos cidadãos? Em nossa jurisdição, temos responsabilidade pela infraestrutura crítica e entendemos suas implicações?
Como mostram os estudos e notícias que acompanhamos diariamente, os ataques cibernéticos continuam a aumentar e a pergunta que fazemos não é sobre a possibilidade de sermos vítimas, mas quando iremos sofrer um desses ataques. As perguntas que acabo de sugerir não são exaustivas, elas destinam-se apenas a nos alertar para questões fundamentais e convidar à ação, para que estejamos cientes e melhor preparados. Além disso, existem vários conceitos-chave que podem nos ajudar nesse processo de autodisciplina:
Confiança Zero ou Zero-Trust: segue a máxima: "nunca confie, sempre verifique", o que significa que os dispositivos não devem ser confiáveis por padrão. Embora tecnicamente possa ser um exercício sofisticado, em termos gerais é possível adotá-lo como uma atitude permanente. Trata-se de assumir uma postura baseada na gestão de riscos, aplicada ao nosso dia a dia.
Segurança por Design: refere-se principalmente a desenvolvedores de software e dispositivos digitais. É uma filosofia ou abordagem que busca incorporar a segurança em cada etapa do processo de desenvolvimento do produto. É uma importante mudança de norma, pois, há anos, e infelizmente ainda hoje, algumas equipes técnicas (principalmente em empreendimentos não comerciais) cedem à pressão por prazos de entrega e relegam a atenção aos aspectos de segurança para uma fase posterior. No entanto, a abordagem pode ser estendida a todo o desenvolvimento e atividade digital que envolva a utilização de plataformas digitais, como campanhas de mobilização social, ou quando nos registamos num novo serviço e definimos preferências de segurança do nosso perfil de usuário.
Segurança por padrão: também se refere principalmente a desenvolvedores e fabricantes de software e outros produtos tecnológicos. Trata-se de garantir que os produtos sejam pré-configurados para a máxima segurança ao sair da fábrica. Uma configuração padrão de fábrica oferece proteção máxima de segurança cibernética integrada ao produto desde o primeiro dia de instalação, o que é um ótimo ponto de partida. Porém, no processo de parametrização final, seja em empresas, instituições ou em casa, corremos o risco de diminuir a segurança desnecessariamente, muitas vezes por falta de conhecimento. O crescimento da adoção de dispositivos populares, como câmeras de vídeo com acesso remoto ou controles para acender ou apagar as luzes da casa remotamente, bem como a dispersão de dispositivos conectados em todos os espaços, está agravando essa situação.
Segurança como responsabilidade compartilhada: trata-se de conhecer minha parcela de responsabilidade nos sistemas digitais, pois geralmente é compartilhada com outros stakeholders do ecossistema. Atualmente existem muitos exemplos, mas talvez os mais representativos sejam a segurança no uso de serviços em nuvem e o gerenciamento de dispositivos de funcionários em uma organização (BYOD, bring your own device).
Especificamente, no caso de serviços em nuvem, é essencial que o cliente entenda a diferença entre o potencial de segurança oferecido pela nuvem e que, como usuários, somos responsáveis por configurar adequadamente os mecanismos de segurança que a nuvem nos disponibiliza. Assumir que o provedor de serviços em nuvem é o único garantidor da segurança da minha operação é um erro bastante comum, onde ambos têm parte da responsabilidade. Da mesma forma, no caso do uso de dispositivos móveis pessoais para acessar ferramentas de negócios, o cumprimento das políticas de segurança da empresa se estende ao dispositivo pessoal e tanto o funcionário quanto a empresa devem garantir o cumprimento.
Conformidade de segurança: as leis, regulamentos e diretrizes devem ser respeitados e aplicados. Estas são máximas necessárias no mundo analógico e digital. Podemos ter os melhores planos e a melhor legislação para cibersegurança, mas é fundamental que todas e cada uma das partes envolvidas garantam a conformidade.
Embora ainda possamos nos inspirar na tecno-utopia que nos leva a pensar que com a tecnologia resolveremos todos os problemas da humanidade, também devemos entender que grandes sonhos e aspirações exigirão algum tipo de esforço. O sucesso de nossas aspirações por uma vida digital segura, no preâmbulo de um novo direito da humanidade, requer pragmatismo e esforços pessoais e institucionais. Não podemos esperar mais para agir; a responsabilidade é compartilhada por todos e exige conformidade.
Sobre o autor: Arturo Cabañas é líder de Segurança da AWS na América Latina.