Como convencer os diretores a investir em uma nova estratégia complexa de segurança?
Não existe uma resposta simples para essa pergunta. Apesar de a segurança ter se tornado uma prioridade para a diretoria na maioria das organizações, os diretores geralmente hesitam na hora de apoiar projetos de segurança que exigem recursos significativos e mudanças organizacionais.
Muitos líderes de segurança se encontram nessa situação nada invejável ao planejar a adoção do SASE.
Independentemente de usarem ou não o termo SASE ou Serviço de Acesso Seguro de Borda, muitos líderes de segurança já estão defendendo, dentro de suas organizações, as práticas exigidas por essa plataforma. No entanto, tais práticas — como adotar a segurança Zero Trust, proteger a navegação de funcionários na internet e levar firewalls e a conectividade de WAN para a nuvem — dependem de colaboração e de suporte financeiro em toda a organização. É necessário encontrar e avaliar novos fornecedores, além de redirecionar ou substituir os existentes. Funcionários em toda a organização talvez precisem aprender novos processos de segurança.
Esses requisitos podem se deparar com uma quantidade razoável de ceticismo em diretores que não lidam com a segurança. Alguns talvez acreditem que as medidas de segurança existentes já ofereçam proteção suficiente e, assim, hesitam em apoiar mudanças que envolvem muitos recursos. Outros podem subestimar a urgência do SASE e querer adiar o projeto.
Líderes de segurança eficazes sabem que precisam superar algum nível de resistência para promover a adoção do SASE e proteger melhor a organização. Na hora de conversar com outros diretores sobre o SASE, os líderes de segurança terão sucesso se usarem as seguintes práticas:
Explique os benefícios mais amplos do SASE para os negócios, além de descrever como ele reduz o risco.
Prove o retorno sobre o investimento do SASE, apresentando dados sobre os benefícios financeiros da segurança Zero Trust e da transformação da rede.
Proponha etapas concretas a seguir, incluindo um plano de ação referente às mudanças que deseja fazer primeiro e como elas acontecerão.
Veja essas práticas em ação.
Qualquer discussão sobre o SASE precisa incluir, obviamente, as ameaças à segurança que ele pode ajudar a evitar. Os líderes de segurança devem ajudar outros diretores a entender os riscos que surgem quando o tráfego da rede corporativa passa pela internet pública, explicando como o SASE pode ajudar a proteger a organização deles.
Mas a conversa não deve parar por aí. Por quê? Mesmo se os diretores acreditarem nos problemas que o SASE pode resolver, é possível que não acreditem que ele é a resposta. Quando confrontados com os muitos obstáculos logísticos da adoção do SASE, os diretores podem querer confiar em soluções mais simples e imediatas, mas potencialmente menos eficazes, como expandir o uso de VPN e incorporar soluções de segurança pontuais em nuvem.
Para reforçar seus argumentos, os líderes de segurança também devem explicar como a adoção do SASE pode impulsionar os objetivos de negócios mais amplos. Considere argumentos como estes:
Eficiência dos trabalhadores remotos: muitos executivos estão curiosos sobre como o trabalho remoto afeta a eficiência geral da organização. Os líderes de segurança devem ajudá-los a entender como as ferramentas tradicionais de segurança do trabalho remoto deixam de ser confiáveis durante o uso amplo e contínuo e como o SASE pode ajudar. Descreva, por exemplo, como abandonar as VPNs reduz a latência e as interrupções de conectividade. Ou como a unificação de serviços de segurança de rede em uma única plataforma em nuvem elimina atrasos como “trombones” de tráfego entre diferentes soluções de segurança pontuais.
Integração mais fácil de contratados: muitas vezes, contratados e provedores de serviços são procurados para projetos urgentes e de alta prioridade. Os líderes de segurança sabem que a integração desses profissionais pode ser complicada pela perspectiva da TI. (Isso também se aplica a empresas recém-adquiridas.) Ajude os diretores a entender como o SASE facilita a integração rápida do suporte terceirizado tão necessário, permitindo que os profissionais usem seus próprios dispositivos. Além disso, forneça às equipes de TI e segurança uma plataforma única para gerenciar e monitorar o acesso à rede.
Eficiência da equipe de TI: até 62% das equipes de TI dizem que estão com falta de pessoal, o que pode evitar que a organização lide com uma variedade de projetos estratégicos. Os líderes de segurança podem ajudar os executivos a entender como o SASE liberará a capacidade de TI assim que for implementado. Por exemplo, com o SASE, a TI não precisará mais: fornecer licenças de VPN, corrigir e solucionar problemas de hardware de segurança de rede ou responder a tickets de suporte quando ferramentas de segurança remotas interrompem a experiência de um site.
Ao ter essas conversas, os líderes de segurança devem buscar a simplicidade e manter uma regra de “sem nomes de fornecedores, sem acrônimos”. É fácil não perceber quanto jargão se infiltra nas discussões sobre a estratégia de segurança. Cada termo e nome de fornecedor desnecessário é como uma barreira, distraindo o público da verdadeira substância de um argumento. (“SASE” talvez seja a exceção a esta regra, mas você ainda deve definir o termo e usá-lo com moderação.)
As conversas com diretores sobre o SASE inevitavelmente abordarão os custos financeiros da adoção dessa plataforma. Tais custos podem parecer onerosos no curto prazo, pois o SASE exige novas parcerias com fornecedores e pode exigir novos conjuntos de habilidades de TI.
Para amenizar a ansiedade dos diretores em relação a esses custos, os líderes de segurança devem estar prontos para provar que o SASE também pode economizar dinheiro para a organização.
Algumas dessas economias podem vir na forma de prevenção e mitigação de ataques. Por exemplo, as práticas de SASE podem tornar os ataques menos caros para o alvo. De acordo com o relatório Cost of a Data Breach da IBM, as organizações com níveis maduros de adoção de Zero Trust pagam menos para se recuperar de violações de dados. As organizações com níveis maduros de Zero Trust pagam uma média de US$ 3,28 milhões por violação em comparação com US$ 5,04 milhões para organizações sem uma estratégia de Zero Trust.
Além disso, os líderes de segurança podem reforçar os amplos benefícios para os negócios descritos na seção anterior calculando as economias específicas da simplificação de processos complexos de TI. Considere exemplos de ROI como:
Reduzir os tíquetes de suporte de TI. O SASE elimina a necessidade de ferramentas únicas de acesso remoto, como VPNs, que tendem a não ser confiáveis e ter muita latência. Quando os usuários não precisam lidar com um cliente de VPN em seu dispositivo, as organizações começam a perceber uma grande redução do tempo gasto para solucionar tíquetes relacionados ao acesso. Algumas organizações relatam uma redução de até 80% no tempo gasto para resolver os problemas dos usuários.
Diminuir o tempo de integração de funcionários. Um exemplo disso é a substituição de abordagens de acesso remoto herdadas, como VPN e controles baseados em IP. Organizações como o eTeacher Grouprelatam que gastam menos tempo para integrar novos usuários, reduzindo o tempo necessário para conceder acesso a um novo usuário em até 60%.
Eliminar custos extras de hardware. O hardware de segurança, como firewalls de rede e caixas de mitigação de DDoS, sempre incorre em custos além do preço da etiqueta. Instalação, garantias, reparos e gerenciamento de correções impõem despesas adicionais e exigem recursos de TI para serem gerenciados. Elimine esses custos movendo a segurança da rede para a nuvem e gere economias adicionais.
Por fim, o SASE pode criar condições financeiras mais favoráveis no longo prazo, reduzindo as onerosas despesas de capital em hardware de rede. Como os serviços de SASE são prestados inteiramente a partir da nuvem, usam um modelo de assinatura de nuvem padrão. Esse modelo libera fluxo de caixa que pode ser usado para financiar outros investimentos de alta prioridade.
Auxiliar os diretores a entender os benefícios para os negócios e o impacto financeiro do SASE ajudará bastante a convencê-los a aderir. Mas eles também desejarão entender como é a adoção do SASE na prática.
Os líderes de segurança precisam estar preparados para responder a essa pergunta em detalhes. Isso significa preparar um plano hipotético de adoção do SASE que inclua etapas e cronogramas específicos, requisitos de recursos e custos estimados. Algumas dessas especificidades variam muito entre as organizações. Considere as “primeiras etapas” a seguir, como ponto de partida:
Remover a VPN para acesso de terceiros: transferir consultores e funcionários contratados para um serviço de autenticação moderno e permitir que eles acessem aplicativos com contas existentes ou senhas de uso único. Além de simplificar os processos de integração, isso faz com que terceiros não possam abusar do acesso irrestrito à rede que as VPNs fornecem.
Adotar uma postura de segurança Zero Trust para o trabalho remoto: usar um serviço de gerenciamento de autenticação e acesso que siga a abordagem "nunca confie, sempre verifique" — verificando as identidades dos trabalhadores remotos sempre que eles acessam um aplicativo e rastreando todas as solicitações deles. Assim, você terá mais controle sobre um grupo de funcionários de alto risco.
Descontinuar a VPN para acesso remoto: como na etapa 1, transferir os trabalhadores remotos para um serviço de autenticação moderno, como SSO. Os invasores terão mais dificuldade para se moverem lateralmente usando dispositivos comprometidos ou credenciais de VPN.
Consolidar as ferramentas de segurança Zero Trust conforme os contratos são renovados: raramente é possível substituir os gateways seguros da web existentes, as ferramentas de isolamento do navegador e os agentes de segurança de acesso à nuvem de uma só vez. À medida que os contratos expiram, adicione esses serviços a uma única plataforma SASE e aproveite a eficiência de gerenciá-los em um só lugar.
Adotar uma postura de segurança Zero Trust para os escritórios: exigir que os funcionários se autentiquem por meio da plataforma Zero Trust, mesmo quando estiverem em um perímetro de rede tradicional. Isso ajuda a interromper a perda de dados, protege os funcionários de ameaças na internet pública e evita o movimento lateral de invasores.
A segurança não é um trabalho apenas para a equipe de segurança. Quanto mais os executivos de nível superior investem em projetos de segurança, mais segura toda a organização se torna.
O SASE e as amplas mudanças sociais que o tornam necessário são uma excelente oportunidade para os líderes de segurança promoverem esse investimento. Vincular o SASE a benefícios mais amplos para os negócios, provar o ROI dele e estabelecer um plano de ação concreto não é fácil — e precisa mais do que algumas conversas isoladas. No entanto, se os líderes de segurança aplicarem essas melhores práticas de forma consistente e confiante, promoverão uma ampla conscientização de segurança que também beneficiará a eles e suas equipes no futuro.
Além disso, explorar a plataforma Cloudflare One para descobrir como a Cloudflare oferece SASE e Zero Trust. Ele coloca controles de segurança baseados em identidade, firewall, WAN como serviço e outros recursos de SASE em uma rede unificada próxima aos usuários em qualquer lugar do planeta, ajudando-os a se conectar de forma rápida e segura a qualquer recurso corporativo. Tudo isso é criado do zero para trabalhar em conjunto, ajudando as equipes de segurança a simplificar a adoção do SASE.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Após ler este artigo, você entenderá:
Por que oferecer o SASE para executivos de alto escalão requer uma abordagem específica
Estratégias para descrever os benefícios do SASE para públicos não técnicos
Primeiras etapas ideais na adoção do SASE
Saiba mais sobre o SASE e comece a construir seu roteiro de adoção com o artigo técnico Introdução ao SASE: um guia para proteger e otimizar sua infraestrutura de rede.