Não é preciso fazer uma previsão astuta para ver que os ciclos de aquisição e planejamento de tecnologia estão cada vez mais compactados. Na TI corporativa, as duas maiores forças em jogo são as mudanças nos negócios e nas tecnologias. Essas duas forças principais são de alguma forma independentes. Muitas transformações tecnológicas ocorreram durante a última crise econômica e, de fato, as melhores previsões durante esse período envolveram o uso da tecnologia para enfrentar a crise e, por isso, é importante observá-las e entendê-las.
As previsões de segurança, no entanto, têm essas grandes forças (negócios e tecnologia) e uma terceira adicional conhecida como “A Ameaça”. É um equívoco comum que as previsões de segurança sejam apenas sobre ameaças. Essas previsões precisam observar as tendências tecnológicas uma vez que a segurança não existe no vácuo: ela é aplicada à tecnologia e, se a tecnologia mudar, a segurança também deve seguir o mesmo caminho. Como a empresa será transformada, é uma lente exclusiva para segurança: trabalhadores remotos, novos métodos de pagamento, adoção da nuvem, padrões bancários abertos e novos regulamentos são alguns exemplos de como as alterações nos negócios direcionam a segurança para novas vertentes. E a terceira grande força de tendências de ameaças é o território especial de segurança e está ligada às outras duas forças.
As previsões de segurança não são apenas manchetes. Líderes de segurança corporativa bem-sucedidos miram o futuro como se deve. No entanto, eles são altamente céticos em relação à maioria das previsões de segurança, uma vez que a maioria delas podem ser consideradas fracas. Esses líderes se prendem a essas poucas previsões significativas como guias para levar adiante suas organizações de segurança.
Então, o que torna uma previsão de segurança boa? Aqui estão as características:
Nem longo, nem curto: o prazo é na medida certa
Fazer previsões de segurança num futuro distante pode ser divertido, mas não é útil. O tempo de utilidade das previsões de segurança tem uma barreira de curto prazo de cerca de 6 meses essa é a realidade das ações de compras e de quanto tempo leva para mover o leme a mudanças significativas.
Uma previsão para o dia seguinte também pode ser legal, mas ou é uma observação meramente tática ou algo sem uma base prática em que possam ser tomadas decisões. E o oposto disso, creio eu, seria um tempo de 12 a 24 meses. Qualquer coisa a longo prazo é provavelmente o equivalente ao propulsor a jato e carros voadores dos antigos filmes de ficção, dado o quanto pode mudar nos negócios, na tecnologia ou na ameaça. Não me lembro de uma previsão recente significativa que não estivesse dentro dessa janela de 6 a 24 meses.
Probabilidade e Geografia
Nenhuma previsão é certa, caso contrário, seria um fato. Qual a probabilidade da previsão ocorrer? Mesmo uma previsão com uma probabilidade muito baixa é útil, indicando que é improvável que o evento ocorra e, portanto, é possível que não seja necessário tomar uma ação, ou pelo menos não em grande proporção. As previsões mais fracas são aquelas que se perdem em detalhes devido à fraca análise combinada à dúvida. “Algo ruim acontecerá no próximo ano” é uma expressão que nunca estará errada, mas também não é nada útil.
A Geografia é válida. Nem todas as ameaças, tendências de negócios ou adoção de tecnologias são globais, ou pelo menos não são proporcionadas igualmente em todo o mundo. Algumas ótimas previsões de segurança observaram tendências se desenvolverem em uma região e estenderam a análise para avaliar se elas expandiriam ou não para outras regiões.
Ser acionável é tudo
A informação é útil apenas se puder ser utilizada. A janela de oportunidade mencionada acima toca na pedra angular das previsões de segurança: a ação. Além de estar dentro dessa janela de tempo de ouro, uma previsão deve dar origem a algo que pode ser feito, algo concreto. Muitas previsões ruins têm relação com tendências de ameaças. Mudanças em algum aspecto do cenário de ameaças que não gerem alguma ação que você possa executar podem ser consideradas apenas comentários inúteis. Uma piada recorrente sobre previsões de segurança é “O próximo ano será o ano da PKI” e a previsão é repetida a cada ano.
Cuidado com a previsão de autoatendimento
“A ameaça que nosso produto combate aumentará em 1000 vezes.” Hmmm. As previsões do fabricante não devem ser automaticamente aceitas ou descartadas mais do que as demais. No entanto, há um ônus adicional quando a previsão é feita pelo fabricante, já que se espera que ele comprove as bases utilizadas para fazê-la. Se não forem explicadas com cuidado ou estiverem muito genéricas, podem ser consideradas “marketing” em vez de “previsão”. Como alguns fornecedores têm grandes equipes de pesquisa de ameaças e um número enorme de clientes, as previsões baseadas nesses dados exclusivos podem ser altamente úteis, às vezes até mais do que as feitas por terceiros desinteressados que não possuem esse conjunto de dados para embasá-las. As previsões feitas nesse tipo de vácuo de dados ou na realidade da implantação geralmente são rapidamente descartadas pelas empresas que vivem nessa realidade diariamente.
A água é molhada e o filtro “e daí?”
“Ameaças acontecerão no próximo ano” é uma previsão do Capitão Óbvio que não serve pra nada. Muitas previsões de segurança são da categoria “ameaças ruins” e “ocorrerão ataques”. Isso entra em conflito com o princípio de ser acionável, mas também é um sinal de pensamento preguiçoso. Essas “imprevisões” geralmente têm um núcleo de alto uso e capacidade de ação que leva apenas algum trabalho a ser descoberto. Eu chamo isso de filtro “e daí?”. Quando não há nada altamente acionável na afirmação, fico perguntando “e daí?” até que o que passa pelo filtro tenha algum significado.
Por exemplo: no ano passado, um conjunto de dados mostrou ameaças em alta. E daí? A maioria do aumento foi de mineração de criptomoedas. OK, um pouco interessante, mas e daí? O ransomware estava em declínio naquele trimestre, mas aumentou no trimestre seguinte, enquanto a criptomineração sofreu uma queda relativa. Ahhhh… e daí? A causa desse evento foi que o câmbio de Bitcoin por dólar caiu, o que significa que a criptomineração é menos popular quando é menos lucrativa com base nesse câmbio. Estamos chegando lá… E daí? A criptomineração aumenta às custas do ransomware quando as taxas de Bitcoin são altas, pois os ataques de ransomware podem definir seu próprio preço de resgate. Bingo. É possível tomar medidas para isso, incluindo uma nova métrica de segurança para observar as taxas de câmbio do Bitcoin.
Conclusão
Não desconsidere todas as previsões de segurança e seja um consumidor informado daquelas que você adota como parte do seu planejamento. As previsões de segurança podem ser muito poderosas para demonstrar à gerência e aos negócios o porquê do seu plano de segurança estar estruturado de uma certa maneira e para justificar os investimentos ou a ausência deles. As três principais forças mudam; ou seja, seu apego às tendências e previsões deve ser frequentemente ajustado.