Operações de segurança:automação tem que significar automático?

A resposta a incidentes deve ficar cada vez mais automatizada, pois o aprendizado de máquina e a IA têm muito potencial para fazer todo o processo mais eficiente, mas a automação deve ser feita com cautela e até certo ponto, sem abrir mão do elemento humano e permitir que os CISOs mantenham o controle sobre todos os eventos de segurança cibernética, devido ao conhecimento e expertise insubstituíveis que possuem e devido à as deficiências óbvias dessas tecnologias que ainda precisam ser resolvidas
Os avanços nas áreas de aprendizado de máquina e IA tornaram-se cada vez mais visíveis no setor de segurança cibernética nos últimos anos. Várias soluções projetadas para agilizar os esforços de resposta a incidentes e torná-los mais eficazes, empregam essas tecnologias hoje em dia.

Não há dúvida de que automatizar certas tarefas dentro do processo de resposta a incidentes – em particular aquelas que envolvem trabalho rotineiro e mecânico – ajuda a tornar as organizações mais resilientes a ataques cibernéticos. Mas alguns profissionais de segurança cibernética tendem a igualar a automatização de alguns aspectos do processo com a automatização de todo o processo, que na verdade são dois conceitos diferentes.

É importante notar que, quando se trata de resposta a incidentes cibernéticos, automação e automático não devem ser considerados sinônimos.

>Veja também: Automação de segurança:aumentando a produtividade de TI e a resiliência da rede

Em sua essência, a automação, quando aliada a uma solução de orquestração, ajuda a reduzir os tempos de reação ao substituir as tarefas mais repetitivas e rotineiras que costumam consumir grande parte do tempo dos profissionais de segurança dedicados aos eventos de segurança cibernética, ao mesmo tempo em que permite manter o controle sobre o todo o processo e manter a possibilidade de usar o julgamento humano durante as fases de tomada de decisão.

Automático, por outro lado, significa basicamente dar controle total dos incidentes a uma máquina, que em alguns casos pode produzir resultados incorretos e até causar danos graves a uma organização.

Como os CISOs estão navegando no “novo mundo automatizado versus automático”

Nesse ambiente recém-criado, onde a ideia de resposta automática está ganhando cada vez mais força, uma das principais questões que surgem na comunidade de profissionais de segurança cibernética é como os CISOs estão navegando e se estão ansiosos para implementar a automação completa ou estão cientes dos riscos potenciais que isso envolve e estão determinados a manter uma abordagem orquestrada.

Pode-se dizer que há muitos CISOs que são tentados a adotar a resposta automática a incidentes, mas o que eles precisam saber antes de fazer isso é que existem inúmeros desafios e obstáculos associados a esse movimento.

Por exemplo, existem riscos de conformidade específicos que podem surgir desse tipo de cenário. A conformidade com as leis de notificação de violação de dados é fundamental na área de resposta a incidentes, pois as organizações são obrigadas a notificar seus clientes sobre violações e enviar relatórios sobre essas violações às autoridades apropriadas dentro de um determinado período de tempo.

>Veja também: A mobilidade exige que a segurança ande de mãos dadas com a automação

Para conseguir esse tipo de conformidade, as organizações simplesmente não podem contar com um sistema automático de resposta a incidentes, pois envolve entrada humana durante o processo de avaliação do escopo, gravidade e impacto das violações, que deve ser concluído antes que a organização possa decidir se uma violação específica está sujeita às leis de notificação.

O Regulamento Geral de Proteção de Dados (GDPR) como exemplo, que deve entrar em vigor em maio de 2018, é um desses regulamentos rigorosos que exigem que certas organizações que sofreram uma violação de dados dentro de 72 horas após tomar conhecimento da violação e notificar os indivíduos afetados por essa violação se for determinado que a violação teve um impacto adverso.

Para determinar esses fatos e decidir se uma violação deve ser relatada, as organizações precisam de profissionais de segurança cibernética que estejam cientes da existência de tais regulamentos e os conheçam em detalhes, e reajam de acordo com esses regulamentos, algo que um sistema automático de resposta a incidentes é não é capaz de fazer. As sanções por não cumprir esses regulamentos podem ser bastante severas, incluindo multas altas que podem prejudicar seriamente os resultados de uma organização.

A segurança cibernética manterá o elemento humano no futuro?

Outra questão importante que está sendo levantada na comunidade de segurança cibernética é se ainda há necessidade do elemento humano na resposta a incidentes. Os rápidos avanços no campo de aprendizado de máquina e inteligência artificial trouxeram essa questão à tona, com os defensores da automação alegando que é o próximo passo lógico e inevitável para a segurança cibernética.

Embora a ideia de ter uma resposta automática a incidentes possa parecer atraente, a opinião mais razoável e fundamentada é que o elemento humano continuará a desempenhar um papel significativo na segurança cibernética, devido a várias razões importantes. Em primeiro lugar, como dito acima, há o fato de que o julgamento humano ainda é necessário em muitos aspectos-chave da resposta a incidentes, como garantir a conformidade regulatória.

>Veja também: Automação:uma necessidade de rede

Então, profissionais de segurança cibernética experientes e altamente qualificados são, e devem continuar sendo, um elemento inseparável no processo de orquestração de resposta a incidentes. A orquestração é necessária para que as equipes de segurança possam conduzir de forma eficaz e eficiente todo o processo de resposta a incidentes, sem perder o controle sobre alguns aspectos essenciais do mesmo, como recuperação e erradicação, além da preparação e análise pós-incidente, que exigem a participação humana.

Além disso, espera-se, sem dúvida, que os CISOs continuem a fazer parte de algumas das atividades mais abrangentes relacionadas à resposta a incidentes, como aumentar a conscientização sobre segurança cibernética entre todos os funcionários de suas organizações e aumentar a resiliência de sua organização a futuros ataques cibernéticos.

Para resumir, a resposta a incidentes deve ficar cada vez mais automatizada, pois o aprendizado de máquina e a IA têm muito potencial para tornar todo o processo mais eficiente, mas a automação deve ser feita com cautela e até certo ponto, sem dar aumentar o elemento humano e permitir que os CISOs mantenham o controle sobre todos os eventos de segurança cibernética, devido ao conhecimento e experiência insubstituíveis que possuem e às deficiências óbvias dessas tecnologias que ainda precisam ser resolvidas.



Fornecido por Dario Forte, fundador e CEO da DFLabs



A maior conferência do Reino Unido para liderança tecnológica, Tech Leaders Summit, retorna em 14 de setembro com mais de 40 executivos de alto nível inscritos para falar sobre os desafios e oportunidades que cercam as inovações mais disruptivas que a empresa enfrenta hoje. Garanta seu lugar neste prestigiado encontro inscrevendo-se aqui