The Shift

Cibersegurança: O que é Secure by Design e como implementar na prática na sua empresa

Soraia Yoshida

A abordagem “Secure by Design” surge como uma resposta para proteger os ativos digitais e garantir a resiliência dos negócios (Crédito: Freepik)

Um alerta para as empresas: 65% dos funcionários que trabalham em escritórios admitem não seguir as políticas de segurança da empresa, segundo uma pesquisa recente. Eles costumam “contornar” as orientações de segurança cibernética para atingir metas de produtividade e eficiência – e, com isso, criam riscos para a cibersegurança da organização. Em um cenário de ameaças cibernéticas cada vez mais complexas, as empresas estão sendo forçadas a repensar suas estratégias. A abordagem “Secure by Design” surge como uma resposta para proteger os ativos digitais e garantir a resiliência dos negócios.

“Quando uma empresa desenha uma solução para segurança cibernética, é preciso colocar o ser humano no centro”, diz Demetrio Carrión, Cybersecurity Leader para a EY América Latina. Segundo ele, muitas organizações acreditam que basta espalhar comunicados com diretrizes de segurança ou dar um treinamento rápido para a equipe e o problema está solucionado. “Pense que um piloto de avião não está habilitado a pilotar qualquer avião. Ele tem uma noção do que é, mas tem habilidades para pilotar aquele avião. E muitas vezes, as empresas querem transformar o usuário em piloto de vários tipos de avião no dia a dia”, completa.

“A construção do sistema de segurança cibernética tem que ter o humano no centro, o que significa que deve ser mais fácil de usar. Então, ele deve ser construído pensando em como será usado”, afirma o líder para Cibersegurança para a EY na América Latina. “Pensar a segurança da informação como ser humano, para que cada pessoa se torne agente de conhecimento de como fazer todas as atividades da maneira correta e com segurança, dentro do conceito Secure by Design. Essa é a grande mudança que precisamos ver”.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

O que é Secure by Design?

Secure by Design é uma metodologia que coloca a segurança cibernética no centro do processo de desenvolvimento e implementação de sistemas, produtos e serviços digitais. Em vez de tratar a segurança como um complemento ou uma reflexão que vem depois de todas as considerações sobre o negócio, essa abordagem incorpora os elementos de segurança desde o início e em todas as etapas do ciclo de vida de um projeto ou produto.

O princípio fundamental do Secure by Design é que a segurança deve ser uma parte intrínseca e inseparável da arquitetura e do design de qualquer sistema ou solução digital – e não apenas uma camada adicional aplicada posteriormente. Isso significa considerar potenciais ameaças e vulnerabilidades desde a concepção inicial, e implementar controles e salvaguardas apropriados ao longo de todo o processo de desenvolvimento e implantação.

“Quando falamos em Secure by Design, a segurança está embutida em tudo. Esse tem que ser o modelo”, reforça Demetrio Carrión. Em sua experiência de mais de 20 anos, ele viu muitas empresas enfrentarem grandes dificuldades com o legado de vários sistemas, que não levaram em conta privacidade, por exemplo. “Não é como tirar um tijolo e substituir por outro. Tecnologia é mutante, os dados mudam, o volume muda, surgem novas tecnologias. O legado ainda pode levar algum tempo para desaparecer, mas é preciso fazer a segurança by design e a privacidade by design para diminuir a entropia”, diz. 

Por que o Secure by Design é importante?

O Secure by Design não é apenas uma tendência passageira, mas uma necessidade para as empresas que desejam crescer na era digital. Ao incorporar a segurança em todos os aspectos de suas operações digitais, as organizações estão mais protegidas de ameaças cibernéticas e podem, inclusive, ganhar vantagem competitiva na construção de confiança com os clientes e criar soluções inovadoras.

A implementação do Secure by Design requer um compromisso de toda a organização, desde a alta liderança até cada colaborador, passando também por parceiros terceirizados. A adoção da abordagem Secure by Design é importante  por várias razões:

  1. Aumento das ameaças cibernéticas: O relatório “2023 EY Global Cybersecurity Leadership Insights Study” revelou que 77% das lideranças de cibersegurança ouvidas relataram um aumento nos ataques disruptivos, como ransomware.
  2. Complexidade dos ambientes digitais: Com a rápida adoção de serviços em nuvem, aplicativos SaaS e uma força de trabalho global mais distribuída, os perímetros de segurança tradicionais se tornaram obsoletos.
  3. Regulamentações mais rigorosas: As leis de proteção de dados estão evoluindo rapidamente em todo o mundo, exigindo que as empresas adotem práticas de segurança mais robustas.
  4. Custos de violações de dados: Abordar problemas de segurança tardiamente pode ser muito mais caro do que incorporá-los desde o início do desenvolvimento de um projeto ou produto.
  5. Confiança do cliente: Uma postura de segurança forte é um fator-chave para atrair novos clientes e melhorar a fidelidade, independentemente do setor.

Aspectos-chave do Secure by Design

Para implementar efetivamente o Secure by Design, as empresas precisam considerar os seguintes pontos:

  1. Avaliação de riscos e modelagem de ameaças

É essencial realizar uma avaliação abrangente de riscos e desenvolver modelos de ameaças para identificar vulnerabilidades potenciais e vetores de ataque. Isso deve ser feito no início do processo de design e revisado regularmente.

 

  1. Princípio do menor privilégio

Adotar o princípio do menor privilégio, concedendo aos usuários e sistemas apenas os acessos mínimos necessários para realizar suas funções. Isso limita o potencial de danos em caso de comprometimento de uma conta ou sistema.

 

  1. Autenticação e autorização robustas

Implementar mecanismos fortes de autenticação e autorização, incluindo autenticação multifator (MFA) e controles de acesso baseados em identidade. A identidade tem que estar no core da segurança cibernética.

 

  1. Criptografia de ponta a ponta

Utilizar criptografia forte para proteger dados em repouso e em trânsito, garantindo que informações sensíveis permaneçam seguras mesmo se interceptadas.

 

  1. Segmentação de rede

Dividir redes e sistemas em segmentos isolados para conter potenciais violações e limitar o movimento lateral de atacantes.

 

  1. Monitoramento contínuo e detecção de ameaças

Implementar sistemas de monitoramento em tempo real e detecção de ameaças para identificar e responder rapidamente a atividades suspeitas ou maliciosas. Os sistemas mais eficientes contam hoje com automação, Inteligência Artificial (IA) e Aprendizado de Máquina (ML).

 

  1. Atualizações e patches regulares

Manter todos os sistemas, aplicativos e dispositivos atualizados com os patches de segurança mais recentes para proteger contra vulnerabilidades conhecidas.

 

  1. Treinamento e conscientização de segurança

Educar funcionários, contratados e parceiros sobre melhores práticas de segurança e riscos cibernéticos. O estudo da EY de 2023 mostrou que apenas 36% dos CISOs estão satisfeitos com a adoção das melhores práticas cibernéticas pela força de trabalho que não é de TI. A cibersegurança evoluiu e o papel dos CISOs evoluiu também.

 

  1. Testes de segurança regulares

Realizar testes de penetração, varreduras de vulnerabilidades e simulações de ataques para identificar e corrigir fraquezas nos sistemas de segurança.

 

  1. Planos de resposta a incidentes

Desenvolver e manter planos abrangentes de resposta a incidentes para garantir uma reação rápida e eficaz em caso de violação de segurança.

Secure by Design na prática: como implementar na empresa

A implementação do Secure by Design requer um esforço coordenado em toda a organização. Aqui estão algumas etapas práticas que as empresas podem seguir:

  1. Estabelecer uma estrutura de governança

Criar uma estrutura de governança clara para supervisionar a implementação do Secure by Design, com responsabilidades bem definidas e linhas de comunicação estabelecidas.

 

  1. Integrar segurança ao ciclo de vida de desenvolvimento

Incorporar práticas de segurança em todas as fases do ciclo de vida de desenvolvimento de software (SDLC), desde o planejamento inicial até a implantação e manutenção contínua.

 

  1. Adotar uma abordagem de “confiança zero”

Implementar uma arquitetura de “confiança zero” que verifica continuamente a identidade e a autorização de usuários e dispositivos, independentemente de sua localização na rede.

 

  1. Utilizar automação e Inteligência Artificial

Aproveitar ferramentas de automação e IA para melhorar a detecção de ameaças, a resposta a incidentes e a aplicação de políticas de segurança. As empresas definidas pela EY como “Secure Creators” – organizações com as funções cibernéticas mais eficazes – têm tempos de detecção e resposta a incidentes cibernéticos mais de 50% mais rápidos do que outras organizações.

 

  1. Implementar controles de segurança em camadas

Aplicar múltiplas camadas de controles de segurança para criar uma defesa em profundidade, tornando mais difícil para os atacantes comprometerem sistemas críticos.

 

  1. Realizar avaliações de segurança regulares

Conduzir avaliações de segurança abrangentes e regulares, incluindo auditorias de conformidade, para identificar lacunas e áreas de melhoria.

 

  1. Fomentar uma cultura de segurança

Promover uma cultura organizacional que valorize e priorize a segurança cibernética em todos os níveis, desde a alta administração até os funcionários da linha de frente.

 

  1. Colaborar com parceiros e fornecedores

Trabalhar em estreita colaboração com parceiros e fornecedores para garantir que eles também adotem práticas de Secure by Design, minimizando riscos na cadeia de suprimentos.

 

  1. Manter-se atualizado com as tendências de segurança

Acompanhar constantemente as últimas tendências e ameaças de segurança cibernética, adaptando as estratégias de proteção conforme necessário.

 

  1. Mensurar e comunicar o valor da segurança

Desenvolver métricas claras para medir o impacto e o valor das iniciativas de segurança, e comunicar regularmente esses resultados às partes interessadas.

Desafios na implementação do Secure by Design

Apesar dos benefícios claros, há algumas barreiras para a adoção do Secure By Design nas empresas, principalmente aquelas em que o legado ainda é muito grande e do qual o negócio principal da empresa ainda depende muito. Ainda assim, as lideranças da empresa devem elaborar uma estratégia para garantir a transição para um sistema melhorado e desenhado para as necessidades atuais.

A seguir, os principais desafios que as lideranças deve considerar na hora de construir sua estratégia de transformação:

  1. Complexidade dos ambientes modernos: A integração de tecnologias emergentes como IA, IoT e computação em nuvem torna o cenário de segurança mais complexo.
  2. Escassez de talentos: Há uma escassez global de profissionais de segurança cibernética qualificados, dificultando a implementação de estratégias avançadas de segurança.
  3. Equilíbrio entre segurança e usabilidade: Garantir que as medidas de segurança não comprometam a experiência do usuário ou a eficiência operacional é um desafio constante.
  4. Custos iniciais: A implementação do Secure by Design pode requerer investimentos significativos em tecnologia, processos e treinamento.
  5. Resistência à mudança: Mudar a mentalidade organizacional de uma abordagem reativa para uma proativa em segurança pode encontrar resistência.

O futuro do Secure by Design

À medida que as ameaças cibernéticas continuam a evoluir, o Secure by Design também deve se adaptar. Algumas tendências emergentes incluem:

  1. Integração de IA e aprendizado de máquina: A IA está sendo cada vez mais utilizada para melhorar a detecção de ameaças, a resposta a incidentes e até mesmo o desenvolvimento de código seguro.
  2. Foco em identidade digital: A identidade está se tornando o novo perímetro de segurança. Soluções como o acesso just-in-time devem ser pensadas.
  3. Segurança quântica: Com o advento da Computação Quântica, as empresas precisarão desenvolver estratégias de segurança resistentes a ameaças quânticas.
  4. Regulamentações mais rigorosas: É provável que vejamos regulamentações de segurança cibernética mais abrangentes e rigorosas em todo o mundo, exigindo que as empresas adotem práticas de Secure by Design.
  5. Colaboração intersetorial: A crescente sofisticação das ameaças cibernéticas provavelmente levará a uma maior colaboração entre empresas, setores e até mesmo países para combater ameaças comuns.

SOBRE ESTE CONTEÚDO: A série Ciberinteligência é um projeto conjunto da divisão de cibersegurança da EY em parceria com a The Shift. Com atuação em Assurance, Consulting, Strategy, Tax e Transactions, a EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países contribuem para o crescimento, transformação e operação de seus clientes. Saiba mais sobre como geramos valor as empresas por meio da tecnologia.