As organizações que buscam por cobertura de seguro cibernético normalmente são obrigadas a fornecer evidências de uma panóplia de controles sobre segurança da informação, recuperação de desastres e riscos relacionados e requisitos de tecnologia e melhores práticas.
Quando os dados organizacionais residiam apenas on-premise, documentar, avaliar e fazer a manutenção desses controles parecia desafiador para alguns, mas para as equipes de TI, segurança e negócios responsáveis por eles era bem simples. Eles precisavam instalar certos tipos de fechaduras nas portas dos data centers, adicionar câmeras para monitorar o tráfego de pedestres e implementar protocolos específicos limitando quem tem acesso à qual informação. Dentro de indústrias altamente regulamentadas, as exigências das seguradoras muitas vezes andavam lado a lado do cumprimento da regulamentação.
No entanto, a COVID-19 se tornou uma pedra no sapato na cobertura de segurança cibernética e no gerenciamento de risco para muitas organizações. Quando uma parte substancial da força de trabalho começou a trabalhar remotamente, a estrutura de controle de segurança apropriada tornou-se obsoleta. O problema foi agravado pelo aumento simultâneo do uso corporativo de soluções de Software as a Service (SaaS).
Hoje, talvez a única coisa mais desafiadora do que construir uma estrutura de controle eficaz seja produzir evidências de que essa estrutura está protegendo efetivamente aplicações, dados e usuários corporativos.
Agora, os gerentes de cibersegurança corporativa precisam se concentrar em entender como seus controles devem ser estruturados na era pós-covid e como devem ser compartilhados com auditores internos e externos, do mesmo jeito que fazem com as seguradoras.
O que mudou exatamente?
A pandemia influenciou a migração da força de trabalho ao redor do mundo. Os funcionários ainda estão fazendo os mesmos trabalhos que costumavam fazer no escritório, mas de casa ou de outros lugares.
Agora é muito mais difícil que os métodos tradicionais de segurança do perímetro sejam eficazes nesse ambiente híbrido. Mesmo que a equipe de segurança tivesse largura de banda para viajar até a residência de cada funcionário, a instalação de câmeras de segurança e de travas nas portas do escritório não faz sentido. Nem tão pouco é viável que uma auditoria terceirizada seja contratada para viajar até cada local e verificar se a segurança do ambiente do funcionário está à altura.
Certamente, desafios similares a esse já surgiram antes da COVID-19 aparecer. Algumas pessoas viajavam à trabalho, enquanto outras ocasionalmente levavam tarefas para casa à noite. Nesses casos, as equipes de segurança exigiam que os trabalhadores remotos se conectassem à rede corporativa via VPN e então a comprovação da segurança dessas conexões era solicitada pelos auditores. Quando isso acontecia, os funcionários remotos eram normalmente a exceção e não a regra.
O trabalho híbrido e a transformação da nuvem inverteram essa equação. Revelou-se a importância e a eficácia dos controles baseados no perímetro e tecnologias de segurança relacionadas. Ter que se conectar à rede corporativa antes de usar um aplicativo SaaS ou navegar na Internet se tornou entediante e passou a comprometer a qualidade da experiência do usuário.
Durante a pandemia, algumas organizações tomaram decisões tecnológicas arriscadas em relação ao acesso remoto, permitindo o bypass de soluções sobrecarregadas e com excesso de assinaturas, o que aumentou suas superfícies de ataque. Somado ao aumento do tempo pessoal gasto em dispositivos, isso fez com que a superfície de ataque também se estendesse a serviços frequentemente confiáveis como Office 365, Google Suite e uma série de outras ferramentas que os funcionários usam tanto em suas vidas profissionais quanto pessoais. Isso deixou lacunas em muitas estratégias tecnológicas de segurança cujos recursos tradicionais não tinham a capacidade de determinar a diferença entre uma instância corporativa do Office 365 e uma instância pessoal usada em casa. Como resultado desta rápida mudança do ambiente operacional de negócios e do cenário híbrido de trabalho, os requisitos de controle dos provedores de seguro cibernético só se intensificaram à medida que a frequência dos ataques e as perdas resultantes de incidentes de segurança continuaram a aumentar.
Quais são as expectativas das seguradoras?
Quando uma organização sai em busca de uma apólice de seguro cibernético, a seguradora naturalmente pede informações sobre o negócio, ambiente operacional, programa de segurança e controles relacionados a ele. Essas informações normalmente são coletadas na primeira etapa, quando ocorre aplicação de cobertura suplementar e metodologia geral de avaliação necessária para entender os riscos. O processo baseado em explicar os controles, fornecendo uma visão geral do programa de cibersegurança/gestão de risco e documentação de apoio, é um jeito comum para começar - mas cada vez mais as seguradoras esperam ver provas.
Frequentemente, a produção dessas provas pode ser baseada nos atestados derivados de auditorias externas, avaliações e testes de intrusão. Entretanto, qualquer auditoria ou resultado de avaliação é uma solução momentânea, pois reflete a eficácia e o estado operacional dos controles durante um período estático e não os fluxos que comprovam como a superfície de ataque de uma organização pode mudar rapidamente. Cada vez mais, as seguradoras estão buscando oportunidades de monitoramento contínuo de seus contratantes para destacar riscos e vulnerabilidades emergentes que poderiam indicar e melhor prever situações que resultariam em um registro de sinistro.
O que isso significa tanto para o segurado quanto para a companhia de seguros?
A realidade é que há oportunidade para que ambos os lados obtenham insights a partir da visibilidade contínua. O desafio é que com o trabalho híbrido e os impactos da transformação digital contínua nos negócios, é crucial olhar além do simples inventário de usuários, identidades, dispositivos, aplicações e dados que pode ser abstraído do ambiente operacional tradicional de data center. Agora é fundamental entender completamente os pontos-chave de dados e o inventário dos serviços em nuvem em uso: os que são implementados pela TI; aqueles que são usados por cada setor (shadow IT) e os serviços mais pessoais que são introduzidos diariamente pelos usuários finais.
Embora o inventário seja um ponto de partida, é tão importante entender quem está acessando esses serviços e como eles são configurados, quanto qual a quantidade de dados que está sendo enviada aos serviços em questão. Esses são elementos-chave que podem mudar rapidamente o perfil de risco de um segurado e muitas vezes passam despercebidos. Por fim, é necessário avaliar os serviços de nuvem acima mencionados a partir de uma perspectiva de risco e ameaça à cadeia de suprimentos e ser capaz de responder perguntas sobre a postura de segurança da organização na nuvem.
Certamente, a indústria já está vendo mais seguradoras integrarem ciência atuarial, avaliação de superfície de ataque e monitoramento de ameaças a seus serviços, bem como basearem seus preços em previsões orientadas por telemetria que revela quais usuários têm mais probabilidade de sofrer uma violação de dados e qual incidente de segurança pode levar a um sinistro. Independentemente de como ou quando isso acontecerá totalmente, as equipes de segurança que estão transformando seus ambientes e modernizando suas arquiteturas têm as capacidades e os dados necessários para compreender seus riscos cibernéticos e, em última instância, fornecer provas de que estão gerenciando efetivamente o risco que desejam transferir.
Este artigo foi originalmente publicado pela Security Magazine
