Malcolm Harkins é Chief Security & Trust Officer)da Cylance (CSTO) global na Cylance
Há quase 60 anos, Dwight Eisenhower fez seu indelével discurso sobre complexo industrial militar. No discurso, ele falou sobre a necessidade de “encontrar um acordo essencial sobre as grandes questões do momento, a sábia resolução do que moldará melhor o futuro”. Ele também falou sobre como devemos usar nosso “poder no interesse da melhoria e da paz mundiais” e que lutar por menos seria “indigno”. Ele astutamente chamou a atenção para o fato de que “o bom julgamento busca não apenas equilíbrio, mas progresso” e que “a falta dele eventualmente encontra desequilíbrio e frustração”.
Em meio à 17ª conferência da RSA, reflito sobre o discurso de Eisenhower e percebo mais plenamente o que testemunhei por quase 18 anos: a ascensão de um complexo industrial cibernético. Dezessete anos atrás, a conferência da RSA teve a participação de vários milhares de pessoas, teve algumas centenas de palestras e algumas centenas de fornecedores. Este ano, estima-se que a conferência tenha atraído cerca de 45.000 participantes para mais de 550 sessões e 700 vendedores, além de todas as outras atividades não contabilizadas e participantes adjacentes para reuniões auxiliares, conferências paralelas e a multidão de outros fornecedores que vagueiam sem um estande.
Mas, mesmo com o crescimento dos fornecedores de segurança e o consequente aumento nos gastos, nós, como indústria, não entregamos um progresso real, como evidenciado pelo crescimento contínuo e exponencial no ciclo de risco cibernético. Alguns dizem que isso ocorre porque, historicamente, a segurança da informação é insuficiente, mas, embora isso possa ser verdade, é apenas um fator contribuinte e não a história completa.
Cheguei à conclusão, há quase 10 anos, de que a indústria de segurança lucra com a insegurança da computação e, portanto, em um nível macro, não tem nenhum incentivo econômico real para resolver o problema. Escrevi sobre esse assunto muitas vezes, falei sobre isso em muitas conferências e até testemunhei perante o Senado americano sobre a motivação financeira da indústria atual.
Em 2002, em meus primeiros dias na equipe de segurança da Intel, desenhei um esquema chamado “A perfeita tempestade de risco”. Conforme publicado em meu livro Managing Risk and Information Security, o diagrama (figura 1) mostra como as ameaças exploram vulnerabilidades e a confluência de vários outros fatores interdependentes que podem alimentar essa tempestade de risco. Meu papel foi e sempre será entender esses fatores, até o máximo de minha capacidade, e controlar adequadamente os riscos que podem afetar minha organização, meus clientes e meus acionistas.
Figura 1 – Fonte: HARKINS, Malcolm. Managing Risk and Information Security, 2ª edição.
Desde que desenhei esse diagrama em 2002, acredito que todos testemunhamos uma tempestade de riscos com força total em um momento ou outro – e a tempestade de riscos continua a crescer, ano após ano, apesar de milhares de novos fornecedores de segurança e milhares de novos recursos vendidos com o objetivo de controlar esses riscos. Todos nós testemunhamos também uma infinidade de discussões de políticas públicas em torno da segurança cibernética que alertaram para os perigos da segurança nacional que enfrentamos e, em alguns casos, buscaram-se iniciativas ousadas para lidar com tais problemas apenas para ver que não houve progresso real para diminuir o risco.
Por que isso acontece? Por que nós, como indústria, não fizemos progressos substanciais na gestão do ciclo de risco cibernético? Talvez uma razão fundamental para não ter havido progresso sejam os incentivos econômicos da indústria, como mencionado acima. Eisenhower advertiu em 1961 que "devemos nos precaver contra a aquisição de influência injustificada pelo complexo industrial militar" e que "o potencial aumento desastroso do poder deslocado existe e persistirá". Ele advertiu que "a política pública poderia se tornar refém”. Acredito que isso esteja se manifestando hoje como a falta de progresso resultante do complexo industrial cibernético, sem o devido incentivo econômico para resolver o problema.
Revisitando meu modelo de “The Perfect Storm of Risk”, noto que devo atualizar esse diagrama atemporal com a influência oculta da própria indústria que contribuiu para esse ciclo – primeiro por não ser responsabilizada pelos controles que fracassaram, depois por seguir uma agenda de política pública destinada a influenciar a legislação em favor da indústria. Isso não apenas protege o setor, mas promove regimes de conformidade que fazem pouco para diminuir os riscos reais que enfrentamos como cidadãos individuais e como sociedade. A indústria adotou o conceito de defesa em profundidade para gerenciar riscos e transformou-o em um ciclo de despesas em profundidade, que gera desperdício econômico e foca a reação ao risco, adicionando camadas para aliviar os controles fracassados, em vez de ter um viés de controle para evitar ou interromper o ciclo de risco o mais cedo possível.
No dia 5 de março, na conferência da RSA, eu dei uma palestra sobre Despesas em Profundidade. Descrevi como nossas atuais abordagens de segurança da informação são economicamente ineficientes; expliquei o custo total dos controles e a oferta de um novo paradigma em relação ao gerenciamento de riscos, usando uma lente econômica para nos tirar do atual modelo do complexo industrial cibernético, e trouxe exemplos do mundo real que demonstram como a mudança de paradigma na maneira como abordamos os controles pode não apenas reduzir o risco, mas também diminuir os custos econômicos reais de longo prazo para as nossas organizações.
Eisenhower advertiu que devemos "não deixar de compreender as graves implicações do caminho em que estamos como nação (...) devemos evitar o impulso de viver apenas por hoje, saqueando (...) os preciosos recursos de amanhã". Ele advertiu que não podemos "hipotecar os aspectos materiais de nossos netos”, caso contrário corremos o risco de nos tornarmos “o fantasma insolvente de amanhã”.
O tema da conferência da RSA neste ano foi Better (Melhor). Para melhorarmos, os CISOs, CSOs e CPOs precisam assumir o controle do setor, em vez de serem controlados por uma indústria que, em geral, falhou conosco e com as organizações que atendemos. Precisamos assumir o controle das discussões sobre políticas públicas e implementar mudanças para anular a influência do complexo industrial cibernético que surgiu nas últimas décadas.
Como comunidade, precisamos forçar a responsabilização dos controles que falharam para que possamos aprender com nossos erros. Precisamos defender a transparência para ver quais abordagens e tecnologias funcionam, quais controles criam uma falsa sensação de segurança e, ao mesmo tempo, permitem que o ciclo de riscos e gastos continue. Se fizermos isso corretamente, podemos criar um incentivo para o setor que acelerará a implantação de controles que reduzem o risco cibernético e os custos de longo prazo para nossas organizações. Isso corrigirá o desequilíbrio que temos hoje com os fornecedores, controlando nosso destino e reduzindo a frustração que todos sentimos com a falta de progresso real que fizemos.
Esforçar-se por algo menos que isso seria indigno.