Segurança não deve ser sobre medo, mas sim esperança, diz executiva da Microsoft
Por Felipe Demartini • Editado por Claudio Yuge |
Em um mundo em que ameaças estão por todos os lados e se tornam cada vez mais sofisticadas, é fácil acreditar que estamos lutando uma batalha perdida. Há tanto a se fazer e orientar, que quando os números chegam facilmente aos milhões em perda financeira e totais de ataques, a fala de Vasu Jakkal, da Microsoft, se torna ainda mais inusitada. “Segurança não pode ser sobre medo. Para que [a proteção] funcione, é preciso inspirar e liderar com esperança e otimismo”, afirma ela.
- Zero trust e o futuro do trabalho no escritório
- 5 recomendações para a segurança de dados no trabalho híbrido
A executiva está à frente de um dos times centrais da estratégia atual da gigante de Redmond. Ela atende como vice-presidente de segurança, compliance, identidade e privacidade da Microsoft, uma posição que reúne uma sinergia que ela própria acredita ser a chave para a resiliência digital. “Os ataques podem vir de qualquer lugar e atingir a todos. São múltiplos elementos fundamentais e todos são interdependentes, por isso pensamos de forma diversa e integramos mais de 50 categorias de ameaças em nosso portfólio. Precisamos estar preparados para tudo”, conta Jakkal, em entrevista ao Canaltech.
A ideia esperançosa soa fora da caixa e foi apresentada durante o evento Febraban Tech, que aconteceu na última semana em São Paulo (SP), e acompanha uma visão compreensiva que pode soar intangível, principalmente quando falamos de pequenas e médias empresas ou sobre o usuário final. Na medida em que todos estão sujeitos às ameaças, a executiva recusa a ideia de que estamos correndo atrás do prejuízo para apresentar outra, que vai além de pilares técnicos ou elementos aplicáveis.
É uma fala quase filosófica, que não costuma ser comum em um ambiente normalmente baseado em dados, proteções e muros cada vez mais altos que os cibercriminosos parecem seguir capazes de pular. As palavras de ordem, que Jakkal também aponta como pilares da atuação da Microsoft, são três:
Empoderamento
Do usuário final ao CEO, todos estão envolvidos na cadeia da segurança da informação e, também, vulneráveis a ciberataques. Enquanto, em um passado não tão distante, os grandes golpes eram voltados a setores governamentais ou corporações gigantescas, hoje os criminosos focam nos pequenos e médios negócios, particularmente vulneráveis pela falta de investimentos e expertise necessários para lidar com esse ambiente de ameaças. Todo mundo pode ser atacado, e lidar com isso, também, é tarefa global.
“Quando desenhamos soluções [de proteção], o objetivo é que sejam aplicáveis dos pequenos negócios às grandes organizações. Acima disso, quando olhamos para a segurança, queremos fazer com que as coisas sejam fáceis”, explica Jakkal. Para a executiva, defesa e usabilidade caminham lado a lado, de forma que a fricção gerada aos usuários não se torne um obstáculo para a adoção de sistemas mais robustos.
Segundo ela, apenas 20% das organizações ao redor do mundo possuem sistemas consolidados de autenticação em dois fatores, justamente pela ideia de que os códigos, aplicativos e verificações adicionais geram maior dificuldade no acesso. E enquanto este aspecto básico de higiene cibernética é deixado de lado, a Microsoft detecta cerca de 920 ataques envolvendo senhas por segundo, com os criminosos de olho, justamente, em quem não está interessado em uma maior proteção.
“Temos que mudar a forma como [as pessoas] enxergam a segurança. A identidade está no centro do campo de batalha e quem acredita que proteção gera fricção se verá em um ‘mundo de dor’”, diz Jakkal. Para ela, sistemas que não utilizam senhas ou códigos, com biometria e verificações tomando esse lugar, ajudam a manter um alto nível de resiliência ao mesmo tempo em que simplifica a experiência do usuário.
Em um ecossistema sem senhas, o conceito de zero trust tem importância fundamental e a Microsoft desponta como uma das maiores corporações a trazer essas duas ideias bem próximas ao coração. Trata-se, também, de um ideal que dialoga diretamente com a mudança do trabalho durante a pandemia, da aparente segurança dos escritórios e servidores fechados para a casa dos trabalhadores e, agora, para uma nova concepção, que mistura as duas anteriores nos chamados regimes híbridos.
A verificação de identidade segue sendo o parâmetro, mas isso não significa que tudo deve funcionar como antes. Para Jakkal, enquanto o mundo ainda está começando a aprender o que, exatamente, significa ser híbrido, as lições de resiliência e proteção aprendidas ao longo dos últimos dois anos devem ser valiosas no novo formato, principalmente na medida em que as organizações aprendem a quem devem dar determinados acessos, como e, principalmente, a observar sinais de estranheza.
Novamente, entra em jogo aqui uma sinergia de sistemas que identifica não apenas quem está acessando o que, mas também os diferentes parâmetros envolvidos nesse processo. Elementos como localização geográfica, dispositivos — que serão, sim, compartilhados com familiares e crianças caso estejam em casa —, dados importantes, criptografia e, principalmente, a possibilidade de erro humano devem ser levados em conta na montagem de uma estratégia de segurança.
“Não há confiança sem ‘zero trust’”, afirma a executiva, que aponta esse conceito como a melhor mistura entre experiência do usuário e segurança diante do cenário atual de ameaças. “As organizações estão dando um passo atrás para lidar com a fragmentação dos próprios sistemas e, também, entendendo que os ataques estão se tornando superinteligentes. Não há como prever o imprevisível, mas é possível mudar a postura de reativa para proativa”, aponta.
Inovação
Jakkal indica o uso de soluções customizadas e, ao mesmo tempo, abrangentes como o caminho para unir todos estes elementos sob um único guarda-chuva. Tais sistemas, também, servem para dar corpo e tornar palpável elementos que, de tão gigantescos e espalhados, podem soar até mesmo abstratos. Mas não são, e como a executiva aponta, a tecnologia é uma aliada nessa unificação.
A executiva afirma que as parcerias estão no coração da estratégia de segurança da Microsoft e as aponta como outro benefício essencial trazido pelo período pandêmico. Ela própria se vê no centro de um furacão em que 43 trilhões de sinais de ameaça são detectadas todos os dias. Os sistemas da Microsoft, na realidade, mostram estes totais se multiplicando a cada período — eram 8 trilhões em 2020, e 24 trilhões no ano passado. Um volume humanamente impossível de se analisar, mas que com a tecnologia certa, pode se tornar um dos principais escudos de defesa para as corporações.
“Enquanto as ameaças são vistas como cada vez maiores, a colaboração também cresce como nunca. O que é visto em uma parte do mundo pode ser tendência do outro lado ou uma empresa pode assumir determinada postura antes de outras, com o compartilhamento de informações trazendo novas lições que podem ser aprendidas por todos”, afirma Jakkal. “Quando a inteligência artificial e a automação podem fazer o trabalho duro, isso libera os especialistas para serem criativos.”
Surgem daí iniciativas como a Defender for Business, lançada no final do ano passado e que traz ferramentas completas de segurança para pequenas e médias empresas, ou o Security Experts, lançamento deste ano que coloca o time de especialistas humanos da Microsoft à serviço dos clientes. Tudo em prol de um aumento na escala e abrangência não somente da proteção digital em si, mas também dos próprios dados.
Criatividade
Trata-se, também, de uma forma de lidar com os problemas maiores do próprio mercado. De acordo com dados da Microsoft, um em cada três postos de trabalho relacionados à segurança digital estão vazios nos EUA. No Brasil, esse número é de 300 mil a 400 mil vagas, de acordo com números publicados pela IBM. A ideia, então, é inovar para fazer mais com menos.
Tal aspecto se torna principalmente relevante nas pequenas e médias organizações, onde os times dedicados à segurança dificilmente são encontrados. Mais uma vez, Jakkal cita a importância das soluções integradas de segurança, que podem ser implementadas por equipes de tecnologia da informação, enquanto o trabalho de inteligência de ameaças e análise é feito pelos especialistas externos e tecnologias de automação.
Mais do que isso, a executiva aponta uma questão cultural que remete à ideia de otimismo que permeia toda a sua fala. “Segurança é um trabalho em equipe, todos são responsáveis por ela. Sei que parece que estamos perdendo o jogo, pois os atacantes são tão avançados, mas ao mesmo tempo, apenas [a Microsoft] preveniu 70 bilhões de ataques no ano passado. Isso é maravilhoso e me dá esperança.”
Para Jakkal, a conscientização e o treinamento seguem como primordiais na linha de defesa, tanto na área corporativa quanto para o usuário final. Mais do que apenas educar as pessoas sobre os riscos e o que deve ser feito, é preciso tornar esse conhecimento interessante, de forma a gerar mudança de cultura. Isso, inclusive, altera também outro aspecto fundamental já citado aqui, a ideia equivocada de que maior proteção gera fricção e dificulta o cotidiano.
Assim, ela fala a todos, não apenas sobre a Microsoft ou seus clientes. “Estamos em uma missão para tornar a segurança bela e elegante, pois isso muda a ideia de que ela pode ser um impedimento à experiência do usuário. Ao tornar a educação mais interessante e inclusiva, com grandes histórias, mudamos o mundo. E assim, acredito que estaremos à frente nessa batalha incrivelmente assimétrica que é a segurança.”