O método de Lean Manufacturing traz benefícios significativos para a indústria, incluindo redução de custos, melhoria de qualidade, menor tempo de ciclo e maior satisfação do cliente (Assista “The Machine that Changed the World”, Womak, J., Jones, D., and Roos, D., Free, Press, 1990, uma análise inovadora do método Lean Production da Toyota). As organizações de tecnologia da informação podem aplicar o método Lean à cibersegurança?
O principal desafio na fabricação é evitar os sete resíduos fatais: atividades que usam recursos, mas não agregam valor, que são:
- Defeitos – produtos ou processos incorretos que exigem retrabalho ou reprogramação
- Excesso de produção – produção maior do que as necessidades do cliente, ou mais cedo ou mais rápido
- Transporte – mover componentes em ou entre processos
- Espera – peças ou pessoas à espera de processos a serem concluídos
- Estoque – estocar matérias-primas, peças sobressalentes ou trabalho em processo caso sejam necessárias
- Movimento – exigir que as pessoas se movam para realizar uma tarefa
- Processamento em excesso – fornecer mais recursos do que o cliente precisa (“featuritis”)
- Muitas vezes o método Lean inclui um oitavo desperdício: o desperdício do potencial humano.
Alguns destes aplicam-se mais diretamente à segurança da informação do que outros. Todos pesam no problema. Esta análise vem no momento certo, já que muitas organizações estão ampliando a proteção para domínios desconhecidos, como IIoT (Internet Industrial das Coisas), gerenciamento de riscos terceirizado e privacidade. Como eles, entender como aplicar segurança de forma eficiente pode evitar implementações falhas e processos ineficazes.
Defeitos. Os defeitos da segurança da informação incluem não identificar um ataque, corrigir uma vulnerabilidade ou autorizar uma atividade segura, mas desconhecida. Observe que o teste não melhora a qualidade. O teste apenas mostra a qualidade daquilo que você desenvolveu. Comece com requisitos simples e claros, depois crie testes adequados para validar que o produto atende a esses requisitos.
Produção em excesso. Um programa de segurança ou privacidade da informação pode ser elaborado demais para atender aos requisitos comerciais ou regulamentares. A simplicidade no design e na execução tornará o programa efetivo sem que seja oneroso.
Transporte. Um programa de gerenciamento de riscos de informações pode exigir que os dados passem por várias etapas, ou que as notificações apareçam em várias telas, ou que os alertas notifiquem muitos intermediários. O principal problema é uma arquitetura fraca ou desleixada, com pouco valor agregado nas etapas de processamento. Os riscos incluem o atraso da rede, a complexidade que faz com que a depuração leve muito tempo e a fragilidade, que fazem com que pequenas perturbações nas características do sistema gerem incoerências.
Espera. Não adequar a velocidade de eventos críticos e respostas apropriadas. Particularmente com a integração dos Sistemas de Controle Industrial (ICS, também geralmente denominado de OT) com a Tecnologia da Informação, o processamento em tempo real pode ser mais rápido que o processamento convencional de TI não-sincronizado. A troca de mensagens entre estações de trabalho na nuvem e locais podem levar mais tempo do que os processos contínuos podem aguardar. A equipe que aguarda os resultados de uma análise ou verificação de uma correção também representa um risco.
Estoque. Em TI, isso pode se referir aos resíduos ambientais de TI, tais como máquinas virtuais não utilizadas, informações não esclarecidas após serem processadas e arquivadas, reter dados de sensores ou informações pessoais identificáveis para futuras possíveis análises. Não armazene aquilo que não precisa.
Movimento. Exigir que os analistas usem vários painéis compromete a produtividade. Um estudo preliminar (“The Economic Value of Rapid Response Time”, Walter Dougherty e Ahrvind Thadani, IBM Systems Journal, novembro 1982), mostrou que até mesmo ½ segundo de atraso em uma exibição interfere na atenção de um indivíduo e os processos de reflexão são interrompidos novamente quando a informação finalmente aparece. Essas interrupções trabalham contra a capacidade do analista de ver o padrão subjacente dos dados, tornando a análise lenta, propensa a erros e frustrante para o indivíduo.
Processamento em excesso. Muitas vezes no desenvolvimento de software, os codificadores adicionam recursos que o usuário não usa e que não foram solicitados. Tendo em vista que as taxas de defeito estão muito relacionadas ao volume do código, mais código significa mais erros. As ferramentas de segurança da informação com muitos “adereços” podem retardar a implementação e impedir a eficácia.
Os programas de segurança da informação podem usar o método Lean. Ou seja, podem evitar desperdícios, minimizar erros e maximizar o valor para a organização. Selecione ferramentas que ofereçam resultados claros, corretos e inequívocos. Use produtos que suportem a automação e a integração avançadas com os principais componentes de infraestrutura. Se envolva com os fornecedores de treinamento focado e documentação atempada e utilizável. Projete processos que otimizem seus recursos mais valiosos: seus analistas e técnicos qualificados. Os processos com o método Lean te fornecerão menos o que você não precisa e mais o que você precisa: indicadores do problema real e a solução ideal para seu ambiente específico.