Segurança e Escalada por Abian Laginestra

Written by

O que a escalada tem a ver com a segurança cibernética?

Cibersegurança, Cultura de Segurança| Views: 89

Quando você decide ser um escalador ou alpinista você está comprando um risco inerente a essa atividade. Quando você tem um produto ou serviço digital você também está comprando um risco inerente a estar exposto na internet.

Sempre me inspiro no @Roman Romancini que aos 43 anos escalou o Everest.

Uma escalada começa quando você escolhe o seu parceiro de “cordada”, a cordada é o conjunto de indivíduos que farão parte da ascensão na montanha.

Então quando você define seu Blue Team, Red Team, White Team e escolhe os seus talentos, você já está definindo sua escalada na segurança de informação. Aí, nesse ponto, também começa a sua governança.

Escolher o seu parceiro para essa missão não envolve apenas os aspectos técnicos, um excelente e forte escalador pode ser uma parceria que não lhe dê segurança psíquica, bem como uma pessoa que você esteja muito à vontade pode não ter a competência necessária para escalar uma montanha daquele nível. Logo os hard skills e softs skills caminham em conjunto para que o seu projeto de cume se materialize.

Eu decidi a rota que vou escalar porquê estou confortável com a sua dificuldade, escolhi o parceiro e agora?

Chega o momento de definir a estratégia de proteção e o equipamento…

Hora de pensar no Cyber Kill Chain.

Quando escalamos usamos o termo “proteger”, que essencialmente é a ação de você mitigar os efeitos de uma eventual queda, o que dialoga exatamente com o cotidiano que os times de cibersegurança vivem, na pessoa jurídica devemos proteger nossos ativos e nossas informações, na escalada proteger nossa integridade física. Qual framework e abordagem vamos usar? Aquele que você estiver apto e confortável. Nist 800, ISO 31000, ISO 2700X, Mitre attack, Zero trust e por aí vai. Atualmente, mais que nunca, o termo proteção nos remete as políticas de proteção de dados pessoais (LGPD), o que podemos ler como: A proteção do meu parceiro de escalada.

Óbvio que imediatamente pensamentos:

“- Vou proteger tudo!”.

No entanto essa expectativa não é fácil de executar, não se realiza.

Não dá para carregar todo o equipamento que você gostaria, ou nem todo o equipamento é coringa para todas as escaladas. Então pensar no volume e peso que você vai parede acima é uma necessidade na sua estratégia do cume. Quanto mais leve, mais fluido eu escalo, quando menos equipamento, menos proteção. Mas sua vida depende de um equipamento, eu preciso de luvas, por exemplo, mas não posso levar tudo dobrado. Na segurança de informação também verificamos isso, quanto menos barreiras, menos atritos aos usuários (o que é fundamental), mas e se eu cair? Se eu perder o equipamento? A empresa estará protegida? Ou a queda será fatal? Logo a sabedoria de compreender o volume de proteção é de fundamental importância seja na montanha ou na área de cibersegurança.

Pensei nx parceirx, pensei na via, pensei nos equipamentos de proteção. Chega a hora da caminhada de aproximação, que pode determinar se haverá ou não a chegada ao cume. Se a caminhada com o equipamento for extenuante, a escalada será cansativa e lenta. Se a sua caminhada no treinamento constante do seu time for lento, sua estratégia de sucesso em SI será desastrosa. Uma coisa é certa, nenhum montanhista gosta da caminhada, mas ela é indissociável do processo.

Chega-se na base da via, define-se quem começa a ascensão, que recebe o nome de “enfiada”, cada chegada a uma parada (checkpoint), que normalmente é o tamanho da corda, 60m, 50m, 70m. São os checkpoints do projeto, que também pode ser no modelo projeto em cascata ou ágil, com os seus devidos ônus e bônus, já que quanto mais rápido o processo, mas suscetibilidade para o erro, e tanto para os times de segurança quanto para o escalador, o erro não é livre de riscos materiais. Então definir se você será “agile” ou “waterfall” é também uma composição estratégica e com o seu time.

Começamos a escalada. Produto no ar!

As agarras pequenas, os locais para as mãos e pés não são tão bons quanto os croquis diziam (agarras são locais na própria rocha ou gelo aonde conseguimos com as mãos, pés e com as piquetas e crampons se elevar). 

Os croquis podemos entender como o plano de negócio da empresa. É um documento que descreve o que devemos levar, a dificuldade, tempo e a exposição da via de escalada. Podem rir agora, é exatamente assim, o plano de negócios é muito mais difícil quando estamos no meio da rocha ou gelo, ou há um grampo (proteção) a 5 metros abaixo e outro a 5 metros acima, ou um pilar de gelo se rompendo e você pensa:

“-Ninguém me contou que seria assim! O que é que estou fazendo aqui?”

Mas você supera, chega no próximo grampo, se recompõe e continua a sua ascensão.

Na parada, leia-se checkpoint o seu (sua) parceiro (a) diz:

“- No Crux, fiquei tenso olhando você.”

Seria algo como:

“-No meio do rollout eu achei que ia subir para produção cheio de falhas de segurança.”

Vocês riem, comem algo, bebem uma água e trocam a guiada.

A escalada vai transcorrendo, parada a parada, checkpoint a checkpoint, dentro da macro estratégia de atingir o cume, existem dezenas de micro estratégias de proteção, como colocar o equipamento adequadamente, se você ataca o lance pela frente, pelo lado ou desescala um pouco para ficar melhor posicionado.

O processo de escalar acaba sendo mais prazeroso que o cume somente.

E se tiver um hackamento, uma falha? E se tiver uma queda? Conforme eu disse no início do texto, a queda, a falha é uma possibilidade real, quanto tangível! E esconder esse aspecto é muito prejudicial, você cria uma viés de segurança completamente inconsistente, muitos escaladores caem por não serem pragmáticos sobre essa sentença, assim como as falhas de segurança e vazamento de informações tem como origem o mesmo viés. Uma coisa é certa na vida dos times de cibersegurança: Haverá uma crise.

O salário, PLR ou bônus não é o único motivador, como amplamente já discutido por Peter Drucker, dentre outros nomes e gurus, o cume não é o único motivador, todo o universo da escalada, desde dias antes quando você definiu quem estaria na cordada com você é a força motriz (sua governança). A parceria que você forma ao deixar a sua vida na mão de alguém ou que a pessoa deixe a dela na sua. O comprometimento, a composição e diálogo a respeito das estratégias em dividir o peso do equipamento, a articulação, tudo é que faz o time de escalada ou de segurança da informação ser vitorioso, atingir seu cume, fechar mais um dia com o:

“- Mandamos bem!”.

Abian Laginestra

Abian Laginestra é especialista em segurança da informação, MBA em Gestão de segurança da informação. Com passagem nos mercados siderúrgico, jurídico, farmacêutico, financeiro e de TI nas áreas de Segurança da informação, aderência regulatória e melhores práticas. Top 100 CIO leaders em 2015 e 2017, 3 Lugar Security Leaders categoria banco digital em 2018, Indicado a executivo de TI em 2019, defensor da bandeira de uma sociedade digital mais segura e que a privacidade é direito inalienável de todos.

Para conhecer mais sobre Abian, acesse seu perfil profissional: https://www.linkedin.com/in/abian-laginestra/
Abian Laginestra

Deixe uma resposta