Um bom analista de ameaças cibernéticas sabe quando usar o BLUF
As equipes de cibersegurança e os líderes de negócios muitas vezes discutem as prioridades de gerenciamento e mitigação de ameaças. Preencher a lacuna de comunicação pode ajudar.
No mundo da cibersegurança, aforma como dizemos algo é tão importante quanto (talvez até mais do que) o que dizemos.
Um experimento de pensamento para ilustrar esse ponto:
Você é CEO de um dos maiores pipelines de combustível do país. Você foi chamado para um briefing de inteligência de ameaças porque seus analistas encontraram algumas ameaças cibernéticas significativas que podem afetar sua organização.
A qual dessas duas ameaças você prioriza a resposta?
Ameaça 1: “uma quadrilha de ransomware tem como alvo outras empresas de energia, bloqueando dados críticos até que a empresa pague um resgate. Se esse ransomware comprometesse nossa rede, estimamos que ele poderia criptografar até 100 GB de nossos dados."
Ameaça 2: "um malware altamente disruptivo atingiu vários sistemas de infraestrutura crítica nos últimos meses, colocando os serviços principais offline. Se penetrar em nossa rede, estimamos que esse malware interromperia todo o pipeline por uma semana."
É uma pergunta capciosa. Ambas as ameaças descrevem o mesmo ataque: o ataque de ransomware Colonial Pipeline de 2021, o maior ataque cibernético à infraestrutura de petróleo na história dos EUA. Hackers maliciosos fecharam o oleoduto que transporta 45% do combustível da costa leste e pressionaram as vítimas a pagar um resgate de US$ 4,4 milhões. (O Departamento de Justiça dos EUA eventualmente recuperou parte desse resgate.)
Observe que, apesar de descreverem o mesmo ataque, esses relatórios de ameaças não parecem igualmente urgentes. A ameaça 1 parece ruim, mas a ameaça 2 exige uma resposta completa imediatamente.
A ameaça 2 parece muito mais urgente porque enfatiza o impacto do ataque nos negócios, em vez dos detalhes técnicos. Infelizmente, os analistas de ameaças muitas vezes entendem isso ao contrário, o que contribui para uma profunda lacuna de comunicação entre a cibersegurança e os negócios.
Essa lacuna é mais do que um mero inconveniente. Ela pode deixar a organização exposta a todos os tipos de ataques.
Boletim informativo Think
Sua equipe apanharia o próximo dia zero a tempo?
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
Todos.
Por um lado, nós, profissionais de cibersegurança, nem sempre expressamos nossos insights em termos de negócios. Frequentemente adotamos uma abordagem mais técnica, enfatizando o que há de mais interno em tudo: os nomes dos agentes das ameaças e cepas de malware, IOCs e CVEs e pontuações CVSS, toda uma parede impenetrável de acrônimos especializados.
Essas coisas significam muito para nós, como profissionais, mas significam muito menos para os líderes de negócios que queremos educar.
Por outro lado, esses mesmos líderes de negócios podem ter algumas ideias imprecisas sobre o papel da cibersegurança e a verdadeira extensão de seu valor. A cibersegurança é frequentemente tratada como um exercício de marcação de itens em uma lista, uma questão de cumprir alguma regra para evitar uma multa ou ganhar uma certificação.
Essa mentalidade torna a segurança pouco mais do que um item de linha adicional no orçamento, um centro de custos em vez de uma economia de custos ou até mesmo uma vantagem competitiva.
Como resultado, quando nos sentamos à mesa de conferência, acabamos "falando línguas diferentes" uns com os outros. Há consequências significativas aqui. Se a segurança não puder transmitir ameaças em uma linguagem que a empresa entenda, ela poderá subestimar os riscos ou negar determinados investimentos em segurança porque eles "não parecem valer a pena".
Até que um desastre aconteça.
Mas ninguém gosta de ouvir “Eu avisei”. Isso certamente não rende nenhum amigo na diretoria executiva.
Novamente, os profissionais de cibersegurança não são totalmente culpados pela lacuna. Mas estamos posicionados de forma única para preenchê-la.
Se nos comunicarmos em termos importantes com os líderes de negócios, poderemos alinhar melhor toda a organização quanto às prioridades do gerenciamento de ameaças e dos controles de segurança.
Esse alinhamento, por sua vez, torna mais fácil para a equipe de segurança ganhar apoio para suas recomendações. Com o tempo, à medida que esses investimentos em segurança valem a pena, a empresa começa a ver a segurança como uma verdadeira criadora de valor.
Aqui estão quatro mudanças na comunicação que as equipes de cibersegurança podem promover para começar a reduzir as diferenças:
1. Concentre-se no real, não no possível
É fácil se concentrar no que pode acontecer: ataques que podem se materializar, sistemas que podem ser vulneráveis, agentes das ameaças que podem surgir.
Os líderes de negócios tendem a estar mais interessados no que aconteceu: ataques que evitamos e vulnerabilidades que corrigimos.
Isso é, de certa forma, um ponto positivo. Por um lado, é um sinal de confiança na equipe de segurança. Os líderes de negócios não precisam saber sobre todas as possibilidades porque confiam em nós para evitar a maioria (se não todas) delas.
Isso também nos permite divulgar mais nossas vitórias — provar nosso valor relatando como protegemos com sucesso a organização do perigo.
Dito isso, temos outra coisa a fazer. Embora queiramos enfatizar o real, não podemos abandonar totalmente o possível. Afinal, parte da nossa missão é identificar novas ameaças cibernéticas e implementar as medidas de segurança certas para impedi-las.
Veja aqui uma abordagem que você pode adotar para equilibrar esses fatores:
Quando uma nova ameaça cibernética aparecer por aí, identifique sua probabilidade e seu possível impacto. Em seguida, identifique quaisquer medidas que você possa usar para lidar com a ameaça sem precisar de permissão ou novos recursos e, em seguida, implemente-as. Avalie como essas medidas reduzem a probabilidade e o impacto da ameaça e, em seguida, determine o nível de risco geral da ameaça.
Ameaças de alto risco provavelmente exigem mais recursos e devem ser levados ao conhecimento dos líderes de negócios. Ameaças de baixo risco podem ser compiladas em uma lista complementar ou mencionadas de passagem, mas não precisam ocupar o valioso tempo de reunião.
2. Concentre-se nos impactos concretos
Falando em impactos de ameaças: é melhor fundamentar os relatórios de impacto e estimativas em números reais e consequências de negócios concretas.
Nós, profissionais de segurança, às vezes pressupomos que as vulnerabilidades são evidentemente ruins. Se há alguma falha em um sistema, você quer corrigi-la porque é uma falha.
Porém, fora da segurança, a simples existência de uma vulnerabilidade pode não ser motivação suficiente.
Em parte, isso ocorre porque muitas vezes discutimos vulnerabilidades em termos abstratos: “Nosso sistema é vulnerável a novas cepas de ransomware que ignoram muitos dos nossos controles existentes. Propomos implementar novas proteções contra ransomware a um custo de US$ 200 mil.”
Uma recomendação razoável, mas US$ 200 mil é um preço alto. Os tomadores de decisão podem hesitar em tal investimento, especialmente se a única justificativa for algo tão inespecífico como “interromper o ransomware”.
Em vez disso, considere esta formulação: “Nosso sistema está vulnerável a novas cepas de ransomware. Analisamos incidentes em organizações semelhantes, e esses ataques de ransomware custam em média US$ 2 milhões por dia devido a uma combinação de perda de negócios e o preço da remediação. Propomos implementar novas proteções contra ransomware a um custo de US$ 200 mil.”
Agora, estamos falando de gastar US$ 200 mil não para "interromper o ransomware", mas para evitar que a organização perca US$ 2 milhões por dia. Parece um bom negócio.
3. Alinhe a tolerância ao risco
Nós, profissionais de cibersegurança, tendemos a exagerar na cautela. Porém, para muitas empresas, a quantidade ideal de risco não é zero.
Pense na tríade clássica da segurança da informação da CIA. Ela diz que um sistema de informação seguro requer confidencialidade, integridade e disponibilidade.
Em outras palavras: os dados e sistemas confidenciais devem ser protegidos, mas também devem estar disponíveis para os funcionários usarem. Esse equilíbrio é complicado de atingir. Proteções rigorosas podem manter os sistemas seguros, mas o impacto na produtividade nem sempre vale a pena.
Por exemplo, um de nós trabalhou em uma empresa de mídia que preferia restrições bastante flexíveis sobre os tipos de funcionários de tecnologia utilizados. Essa política abria oportunidades para TI invisível não gerenciada e navegação arriscada, mas também permitia que os funcionários pesquisassem armazenamentos em desenvolvimento de forma rápida e dinâmica. Essa atividade era fundamental para o modelo de negócios da empresa; então, a organização estava disposta a aceitar os riscos que a acompanhavam.
Com uma compreensão compartilhada do que significa risco, as equipes de cibersegurança podem adotar táticas e ferramentas que atendam às necessidades de segurança sem interromper as operaçōes.
É importante observar que alinhar a tolerância ao risco não significa que a cibersegurança sempre se submete aos negócios. As equipes de cibersegurança podem e devem usar sua experiência para influenciar a compreensão dos riscos na empresa.
Um de nós se recorda de um briefing específico sobre inteligência de ameaças. A sessão de briefing identificou um ataque específico como de baixo risco, mas um executivo discordou. Ele achava que o nível de risco deveria ser mais alto porque a organização havia sofrido esse tipo de violação no passado.
A equipe de inteligência de ameaças destacou que o cenário havia mudado desde então. A organização havia instalado proteções que reduziram a probabilidade e a gravidade desse ataque. Além disso, a ameaça não tinha como alvo recentemente organizações como essa empresa.
O executivo ouviu o caso e concordou com a avaliação de baixo risco. Se não tivéssemos dedicado tempo para nos alinharmos em relação aos riscos, teríamos acabado gastando tempo e recursos em uma ameaça que representava pouco dano.
4. BLUF
Este último ponto é o mais simples, mas talvez o mais impactante. Não requer mudanças de mentalidade nem redirecionamentos estratégicos. Trata-se, em vez disso, de uma pequena mudança estrutural na forma como escrevemos relatórios.
Estamos falando de usar o BLUF, ou colocar o "resultado na frente (Bottom Line Up Front)".
Especialmente nos círculos de inteligência de ameaças, temos o hábito de produzir relatórios longos e detalhados que se estendem por 20, talvez 30 páginas, abrangendo análises profundas de todas as novas informações que temos para compartilhar.
Podemos achar tudo isso interessante, mas muitos executivos olham e pensam: "LDNL — longo demais, não li!"
Quando você usa o BLUF, começa com o resultado final desde o início: aqui está o que aconteceu. Aqui está com o que você precisa se preocupar. Essa é nossa avaliação da situação e o que acreditamos que devemos fazer a respeito.
O restante do relatório ainda pode ser um aprofundamento para os leitores que desejarem. Mas um resumo compreensível (baseado em detalhes pertinentes e concretos) muitas vezes é suficiente para que os líderes de negócios tomem uma decisão informada.
Para preencher a lacuna de comunicação de cibersegurança, o que precisamos fazer é traduzir os termos técnicos de nossa arte para uma linguagem de urgência e impacto que ressoe com os líderes de negócios.
Ao alterar nossa abordagem à comunicação, também podemos alterar a percepção de segurança da empresa: de outro item de linha a um investimento crítico que ajuda a organização a operar, inovar e prosperar.