O custo da confiança: prevenindo violações que geram prejuízos milionários

No setor de serviços financeiros, a confiança é fundamental. Na cibersegurança, a confiança implícita pode ter um preço alto, acarretando prejuízos de milhões de dólares. 

Para fundamentar essa afirmação, gostaria que você considerasse um valor específico: US$ 6,08 milhões, para ser exato. Esse é o valor real que as empresas de serviços financeiros estão pagando por confiarem nas pessoas, nos processos e nas tecnologias erradas; é o custo médio de uma violação de dados no setor, de acordo com os dados mais recentes da IBM. 

Os valores astronômicos em jogo justificam uma abordagem zero trust e mostram que os modelos de segurança tradicionais, apesar de sua presença duradoura no mercado, já não são suficientes.

O impacto financeiro das violações

As organizações do setor financeiro sempre estiveram no radar dos cibercriminosos. Nas últimas duas décadas, quase um quinto de todos os incidentes cibernéticos globais tiveram como alvo (como você já deve imaginar) uma instituição financeira, de acordo com o últimorelatório do FMI.

É um número significativo e inclui muitas violações de dados de alto perfil. Por exemplo, em 2019, uma manchete da CNN afirmava: Um hacker obteve acesso a 100 milhões de solicitações e contas de cartão de crédito da Capital One. Essa foi uma das maiores violações de segurança da história recente, com consideráveis consequências financeiras para a instituição de crédito americana. As multas regulatórias chegaram a valores na ordem de US$ 80 milhões, porque o OCC constatou que a Capital One não implementou práticas de gerenciamento de riscos antes da migração para a nuvem. Houve também um substancial acordo coletivo de US$ 190 milhões para resolver processos judiciais de clientes afetados.

Quando pensamos nas consequências financeiras de incidentes cibernéticos, o primeiro ponto que nos vem à mente é o custo tangível necessário para recuperar e proteger as operações. Em seguida, vêm os custos potenciais com multas regulatórias. Mas um impacto que é mais prejudicial e duradouro é o que afeta a reputação da marca. Os clientes estão cada vez mais receosos em confiar seus dados a organizações que sofreram uma violação de segurança. Sua preocupação é válida: a pesquisa mais recente da ThreatLabz revelou que a exfiltração de dados aumentou 92,7% em relação ao ano passado. Isso mostra que o roubo de dados está alimentando campanhas de extorsão, então faz sentido que 47% das empresas (em todos os setores) afirmem ter dificuldades para atrair novos clientes após ataques cibernéticos divulgados, de acordo com o relatório de preparação cibernética da Hiscox.

Conquistar a confiança é uma vantagem competitiva, mas também uma vantagem que se perde facilmente. Especialmente em um sistema digital “protegido” por sistemas de segurança legados.

Onde os modelos tradicionais falham

As ferramentas de segurança legadas ficam aquém das exigências atuais em muitos aspectos. Elas se concentram em proteger o perímetro, mas não oferecem visibilidade suficiente e, portanto, não priorizam a resiliência.

Ferramentas legadas como VPNs, firewalls e controles de acesso estáticos foram projetadas para uma época em que usuários e dados permaneciam dentro do perímetro da rede. Os ambientes híbridos atuais, com foco na nuvem, tornam essas ferramentas insuficientes. Quando os atacantes ultrapassam o perímetro (limite impreciso de um perímetro imaginário), eles geralmente encontram pouca resistência. E a movimentação lateral poderia significar acesso irrestrito a grandes quantidades de dados sigilosos.

E quanto à visibilidade? Existem vários motivos pelos quais os arquitetos de segurança que gerenciam configurações tradicionais não estão obtendo a visibilidade necessária para aplicar o princípio de privilégio mínimo ou responder rapidamente a anomalias. Uma delas é uma arquitetura de rede plana, onde ferramentas como firewalls têm dificuldade em diferenciar entre tráfego normal e suspeito, porque tudo parece igual. Sem segmentação de tráfego, é difícil aplicar um monitoramento contextual que ofereça a visibilidade necessária. Outro problema é o amplo acesso à rede, onde a atividade dos usuários conectados não é monitorada, o que significa que comportamentos suspeitos podem passar despercebidos. Resumindo? A segurança deve proporcionar visibilidade permanente e em tempo real das atividades dos usuários e dos dispositivos.

Por fim, abordamos o tema da resiliência.. Na Zscaler, isso se tornou quase um mantra, e por um bom motivo. Quando analisamos tecnologias e processos, a resiliência não se resume apenas à segurança, mas também à capacidade de resposta: quão rápido você consegue conter uma violação e restabelecer a operação dos negócios? Vivemos uma era em que os ataques cibernéticos não são uma questão de se, mas de quando; e é por isso que depender apenas da detecção de ameaças é uma visão limitada. Infelizmente, a realidade é que os modelos de segurança tradicionais têm dificuldade em conter um ataque, o que é desastroso para a continuidade dos negócios. 

Zero trust como estratégia de redução de custos

Considerando as ramificações financeiras de uma violação de segurança, acredito que o zero trust pode ser visto como um investimento que gera economia de custos. Devemos abandonar a noção de que o zero trust é "apenas" uma melhoria de segurança; adotar essa abordagem moderna tem mais a ver com a implementação de uma estratégia sólida de resiliência empresarial.

O retorno sobre o investimento se manifesta de diversas maneiras. Primeiramente, o zero trust impede que invasores migrem de um sistema comprometido para outros. A abordagem zero trust também visa implementar o escalonamento de privilégios. Em caso de uma violação, o acesso não autorizado a sistemas de nível superior é bloqueado porque cada solicitação de acesso é verificada. Outra característica da arquitetura zero trust é que ela permite a microssegmentação para, da mesma forma, reduzir a superfície de ataque, além de implementar a aplicação de políticas de acesso em tempo real sem interromper outros fluxos de trabalho.

Quando uma arquitetura zero trust é impulsionada por IA, o retorno sobre o investimento se traduz em economia de tempo para arquitetos de segurança, que muitas vezes estão sobrecarregados. Eles serão capazes de detectar anomalias assim que ocorrerem e poderão reduzir a triagem manual, pois as medidas de contenção poderão ser automatizadas. O resultado é uma resposta a incidentes e tempos de recuperação mais rápidos, o que ajuda a reduzir os custos de remediação. A relação custo-benefício é especialmente importante em ambientes regulamentados, como o de serviços financeiros, onde as multas por descumprimento das normas de proteção de dados podem ser elevadas.

A cibersegurança deixou de ser apenas uma questão técnica. Como este post demonstra, o custo de errar não se limita a um valor monetário. Ele está ligado à reputação da sua marca e afeta sua capacidade de entregar aos clientes aquilo pelo que eles estão pagando. Para os tomadores de decisão que levam a sério a proteção do valor de sua marca e a continuidade dos negócios, a abordagem zero trust é um próximo passo lógico no que, até o momento, tem sido uma jornada baseada em legado. Chegou a hora de deixar esse legado para trás. 

Pronto para implementar a arquitetura zero trust? Se você está apenas começando sua jornada, considere a lista de recursos da Zscaler antes de investir em arquitetura zero trust. Ela fornecerá uma visão geral do que você precisa para incorporar o controle e a resiliência necessários para navegar em nosso mundo complexo. Mais detalhes em nosso e-Book de serviços financeiros  e nossa página de serviços financeiros.