22/05/2020

Dicas para corrigir brechas de segurança de TI – TO

Abstract: Pensar na Tecnologia Operacional (TO) como uma extensão da TI fornecerá uma imagem consolidada da sua infraestrutura.

Este artigo divide-se em duas partes:

Na Parte 1, vamos falar sobre as falhas na tentativa de aplicar as melhores práticas confiáveis ​​de segurança cibernética de TI no ambiente de Tecnologia Operacional (TO).

Na parte 2, falaremos sobre como resolver lacunas de segurança da TI-TO, eliminando complexidades para simplificar a governança.

A maioria das empresas da Fortune 500 conta com o apoio de seu conselho de administração e o orçamento para fortalecer a segurança de suas redes de TO. No entanto, quando eles começam a criar um programa de segurança, logo percebem que o alinhamento entre as equipes de TI e TO não existe. A desconexão é refletida de duas maneiras principais:

  • A primeira fonte de desalinhamento deriva da própria lógica de segurança da informação. A famosa tríade de confidencialidade, integridade e disponibilidade (CIA), pois as equipes de TI e TO priorizam esses três princípios de maneira diferente. As equipes que gerenciam a segurança da informação geralmente priorizam a confidencialidade dos dados, em vez da integridade e disponibilidade, enquanto as equipes que executam redes TO priorizam a disponibilidade, deixando em segundo plano a integridade e confidencialidade. Para avançar na redução dessa lacuna de segurança TI-TO, devemos respeitar essas prioridades. O risco de interrupção e tempo de inatividade na implementação de um novo controle de segurança, atualização de patch ou sistema não é obrigatório para as equipes de TO. Sem mencionar que fazer alterações em sistemas multimilionários que executam ambientes de produção, geralmente anula garantias e gera indisponibilidade.
  • A outra desconexão é resultado de equipes e esforços isolados. À medida que as grandes organizações começam a se concentrar em proteger suas redes TO, geralmente vemos muitas equipes diferentes trabalhando no projeto, mas cada uma de uma perspectiva diferente. Por exemplo, pode haver uma equipe de engenharia encarregada de obter informações sobre ativos de redes TO; uma segunda equipe de segurança de rede encarregada de monitorar essas redes; e uma terceira equipe, encarregada do gerenciamento de vulnerabilidades. Devido à urgência, todos estão sempre com muitas atividades e não estão bem orquestrados. Cada um deles está procurando ferramentas para ajudá-los em seus casos de uso específicos e, como não estão coordenando entre si, não estão percebendo que geralmente a mesma tecnologia pode ser aplicada a vários casos de uso. Quando não há coordenação central, de tomada de decisão ou orçamento, ninguém pensa na plataforma de segurança de maneira holística. Isso dilui o benefício e o valor de quaisquer investimentos feitos para fortalecer a segurança da informação.

A boa notícia é que a maioria das organizações está começando com uma lista em branco e pode criar o programa de segurança TO sem se preocupar com a tecnologia de segurança existente. Isso significa que pode-se priorizar casos de uso mais importantes e implementá-los.

Outra boa notícia é que as redes TO são projetadas para se comunicar e compartilhar muito mais informações do que as normalmente disponíveis nos componentes de TI – coisas como a versão do software em execução, firmware, números de série, slots de placa de rede e muito mais. Como o tráfego de rede TO fornece todas as informações de segurança necessárias para monitorar ameaças e vulnerabilidades, pode-se alcançar alcançar os principais casos de uso com a mesma tecnologia – não sendo necessário utilizar ferramentas separadas. Uma solução única, já testada e implementada, sem agente para visibilidade de ativos e monitoramento contínuo de ameaças, atende aos objetivos de várias equipes e pode ser implementada sem interromper a produtividade ou causar indisponibilidade.

Simplificar a governança

Muitas organizações lutam para incorporar novos processos e governança de TO à sua estrutura de TI existente. Algumas organizações criam processos de governança separados da TI porque assumem que precisarão de diferentes conjuntos de habilidades e ferramentas. Essa abordagem não é aconselhável por vários motivos, incluindo:

  • É difícil e dispendioso encontrar e contratar especialistas em segurança de TI.
  • Os agentes maliciosos não veem a TI e TO separadas. Os ataques estão interligados, não importando se a falha ocorrer pelo SOC equipe A ou pelo SOC equipe B.
  • Recriar processos de governança e duplicar os esforços de coordenação desperdiçam tempo e esforço.

A melhor prática mais comum é centralizar a responsabilidade e a prestação de contas para proteger o ambiente do AT com o CISO. Pensando na sua rede OT como uma extensão da sua rede de TI e analisando a governança e os processos de forma holística, você obtém uma imagem consolidada da sua infraestrutura de tecnologia.

A solução de segurança TO eleita, deve também ser passível de uma abordagem holística, o que significa que ela deve se integrar igualmente bem ao seu ecossistema de sistemas e fluxos de trabalho e TO e de TI. Ela deve também traduzir seus conhecimentos das redes TO para analistas do SOC de TI, para que o conjunto de informações e de habilidades sejam múltiplos, não sendo necessário contratar um analista SOC TO.

Com o CISO (Chief Information Security Officer) como ponto focal, um único SOC e uma única solução em gestão para as equipes de TI e TO, você otimiza recursos, talentos, orçamento e tempo. Você também ganha continuidade frente a incidentes e ataques, para poder governar com os mesmos processos e métricas.

Eliminar a complexidade através do alinhamento das equipes de TI e TO e simplificar a governança são recomendações que a meu ver, ajudam a corrigir lacunas de segurança de TI-TO. Essas recomendações são focadas na gestão, através de remoção de barreiras, para que as organizações possam avançar rapidamente, protegendo seus ativos, patrimônios e negócios, contra ataques que evoluem a cada dia, em suas abordagens e contra as redes TO.

Então, comece logo!

às Nenhum comentário:
Marcadores: ,

11/05/2020

O mundo frente a um período de desordem digital


“A concorrência geopolítica e as regulamentações governamentais estão prontas para refazer a economia digital”.

Esta é a observação da consultoria global A.T Kearney em Competing in an Age of Digital Disorder (Competindo em uma era de desordem digital) – um relatório de pesquisa.

“O cenário tecnológico global está sendo reconstruído atualmente, sujeitando a transferência de dados, uma vez livre e sem restrições, através das fronteiras, para novas e maiores paredes digitais. Termos como a ‘splininternet‘ e a ‘guerra fria digital‘ estão se tornando onipresentes, forçando as empresas de todos os lugares a mudar estratégias em tudo, desde compras até o envolvimento do cliente.” Ou, em poucas palavras, o mundo está em um período de desordem digital.

Segundo o relatório, o primeiro estágio da transformação digital do mundo começou no início dos anos 90, com o advento da Internet comercial e da World Wide Web. Nos próximos 25 anos, os avanços nas tecnologias digitais, big data e uma ampla variedade de aplicativos levaram a transições econômicas e sociais. Mais de 50% da população mundial, quase 4 bilhões de pessoas, tinha acesso à Internet até 2018, um aumento quase quatro vezes maior desde 2001.

Esse período inicial de crescimento explosivo e regulamentação leve dos governos é o que o relatório chama de ordem digital esteve em vigor até 2016 e ficou conhecido como o grande período de desordem digital. Agora, os governos estão intensificando suas atividades regulatórias na tentativa de maximizar as vantagens da economia digital e mitigar suas desvantagens. Ao mesmo tempo, os governos estão adotando políticas e aumentando a concorrência global para liderar as tecnologias digitais emergentes, particularmente as redes sem fio, IA e 5G.

“Como resultado, uma batalha global pela supremacia tecnológica na economia digital do século XXI está aumentando e consequentemente, o risco de competição tecnológica e criando o potencial para um ambiente digital ‘insularizado’. No total, essas ações estão criando um distúrbio digital que está se tornando mais difícil para as empresas navegarem.”

As empresas estão enfrentando reações contra a crescente digitalização da economia e da sociedade. No passado, a indústria de tecnologia era amplamente vista como uma força social positiva, permitindo que bilhões de pessoas em todo o mundo saíssem da pobreza e levassem vidas mais produtivas. Hoje, por outro lado, a Big Tech está sendo desafiada por uma série de questões, incluindo a disseminação de informações falsas e prejudiciais, a crescente desigualdade entre os que têm e os que não têm, e o crescente número de ataques cibernéticos, roubo de dados, identidades e fraudes.

“Somente nos Estados Unidos, a fraude de identidade aumentou 8% em 2017, vitimando 16,7 milhões de pessoas e resultando em roubo aos consumidores de US $ 16,8 bilhões”.

“O mundo agora está em um ponto de inflexão digital. À medida que os impactos abrangentes dessa transformação são mais bem compreendidos, os governos de todo o mundo estão intensificando seus esforços para governar e regular a atividade digital… Essas ações são motivadas não apenas pelas transformações societais que a era digital trouxe, mas também pelos governos. O Desejo de manter a competitividade internacional na economia digital do século XXI … As apostas não poderiam ser maiores, pois o vencedor dessa crescente competição global terá uma vantagem política, econômica e até militar nos próximos anos… O resultado desses governos emergente e suas ações para gerenciar e promover tecnologias digitais é a criação de um ambiente cada vez mais incerto no qual as empresas devem operar.”

O relatório argumenta que esse período de desordem digital provavelmente durará de 10 a 15 anos, seguido pelo surgimento de um ambiente digital altamente incerto por volta de 2030. Para ajudar a prever esse futuro incerto, o relatório desenvolveu quatro cenários alternativos com base em duas forças principais de mudança:

1. Atividade reguladora

Regulamentos fortes, ambiente globalizado. Governos em todo o mundo vão impor novos regulamentos às empresas de tecnologia e ao uso de tecnologias digitais. Neste cenário, governo e setor de tecnologia chegam a um entendimento em que políticas e regulamentos impõem normas e restrições ao uso de tecnologias digitais. Esse entendimento leva à cooperação global ao estabelecimento de um cenário digital mais unificado e uma governança da transformação digital eficaz, com base nas melhores práticas e padrões.

“O crescimento econômico global é constante, apoiado por inovações, estabilidade geopolítica e altos níveis de confiança do consumidor”.

2. Repressão digital

Regulamentos rígidos e ambiente fragmentado. Esse segundo cenário é caracterizado por altos níveis de nacionalismo e rigoroso controle governamental das plataformas digitais. O capitalismo de Estado e o mercantilismo estão em ascensão. Os governos apoiam tecnologias nacionais por seus serviços e infraestrutura digitais domésticos. A economia global é fraca, assim como o ambiente digital global, dominado por padrões nacionais incompatíveis.

“Governos de todo o mundo exigem que as plataformas digitais compartilhem dados do usuário com o governo, que eles usam para monitorar os cidadãos, além de supervisionar e modelar o conteúdo da plataforma. requisitos de localização”.

3. Notícias falsas

Regulamentos fracos, ambiente fragmentado. Esse é um tipo de cenário digital do Velho Oeste. A Internet está cheia de notícias falsas, levando ao aumento de divisões e à diminuição da confiança nos governos, empresas e praticamente todas as outras instituições. Em todo o mundo, os consumidores desconfiam particularmente de tecnologias e de empresas estrangeiras, forçando as plataformas digitais a se ater principalmente aos seus mercados domésticos e fragmentando o ambiente digital global.

“A economia global está presa em um ambiente de baixo crescimento, à medida que o investimento transfronteiriço diminuem e os níveis crescentes de desigualdade econômica sufocam os gastos dos consumidores”.

4. Capitalismo de vigilância

Regulamentações fracas, ambiente globalizado. Nesse cenário final, gigantes da tecnologia global, principalmente empresas americanas e chinesas, suplantaram os governos como as instituições mais poderosas do mundo. Parcerias estratégicas entre essas empresas levam a um ambiente digital global unificado. Ao influenciar os tomadores de decisão em todo o mundo, os gigantes digitais são capazes de esmagar os esforços regulatórios para reinar em seu poder de mercado.

“A reação popular contra esses gigantes da tecnologia é limitada, no entanto, o crescimento econômico global se fortalece e as famílias se sentem cada vez mais fortes. As plataformas digitais globais também ajudam a inaugurar um ambiente geopolítico geralmente cooperativo e estável, marcado por maiores níveis de fluxos econômicos transfronteiriços.”

A forma dessa futura ordem digital permanece incerta, porque as forças que moldam o ambiente variam consideravelmente entre mercados, indústrias e nações.

Nos quatro cenários, porém, duas coisas são claras sobre o futuro digital:

1. As tecnologias digitais continuarão a proliferar e desempenharão um papel mais central na economia do século XXI.

2. Estamos à beira de mudanças radicais na operação da economia digital.

Empresas de todos os setores devem, portanto, agir agora para gerenciar a volatilidade e a incerteza associadas ao distúrbio digital e, simultaneamente, preparar-se para a ordem digital que surgirá.

às Nenhum comentário:
Marcadores: , , ,

05/05/2020

Como o Design Thinking ajuda a criar melhores produtos

O Design Thinking criou uma revolução na maneira como pensamos sobre o design de produtos, mas, se não nos trouxer resultados mais práticos, se tornará um modismo teórico, sem impacto no mundo real.

Gostaria de tentar tratar duas questões neste artigo:

  1. Os processos de design thinking podem ser úteis para os processos fabris?
  2. O que está faltando nas práticas atuais de design thinking?

O Design Thinking pode ser prático?

Por definição, o design thinking refere-se às estratégias de pensamento criativo que os designers utilizam durante seu processo de criação. No entanto, o design thinking é agora usado por uma gama mais ampla de pessoas do que apenas designers e tornou-se uma abordagem usada para resolver problemas de maneira mais ampla do que apenas o ambiente de design. Consultorias de design são contratadas para aplicar o design thinking a uma ampla gama de questões sociais e de negócios.

A preocupação principal é com que o design thinking não se torne um chavão, como tantos outros se tornaram, associado à teoria e não à prática. Muitas pessoas especializadas, em design, como os aclamados Don Norman e Jared Spool, já escreveram sobre como o valor do pensamento do design foi modificado recentemente e sugerem que os atuais processos de pensamento dêem espaço a processos de execução, que põe as coisas em uma esfera mais prática.

Onde estão as pessoas?

Para obter resultados práticos do pensamento de design, é necessário que as pessoas apareçam, pensem e façam.

As origens do Design Thinking

Em essência, o design thinking é uma extensão do Método Científico. É um processo comprovado pelo qual você faz observações, cria uma hipótese e depois testa sua validade.

Esse processo de fazer observações, testar teorias e depois generalizá-las para refletir a realidade tem sido a base de quase todas as descobertas científicas. É relevante dizer, então, que esse processo funcionaria bem para a solução de problemas orientados ao design. Esse processo é essencial para descobrir soluções, mas seu objetivo é validar uma hipótese; e esse processo não transforma essas validações em soluções práticas.

O Design Thinking se apoia nesse rigor científico e nos fornece uma maneira confiável de passar de um conceito não comprovado a uma solução validada. Esse é um ótimo processo para produzir um resultado útil. O que isso não faz é fornecer uma maneira de agregar valor ao cliente. Precisamos de outra coisa para nos ajudar a produzir resultados valiosos.

Uma parte do valor

Usando o método científico como ponto de partida, os designers do IDEO descrevem um método para validar ideias e se aproximar de soluções. Isso já é feito há algum tempo por outras empresas e é visto como uma maneira essencial para revolucionar a maneira como melhoramos o design de produtos. Mas esses processos de design thinking são apenas parte do que precisa ser feito.

As equipes que se baseiam exclusivamente em exercícios de design thinking estão perdendo as melhores oportunidades, porque estão fornecendo apenas a primeira parte do valor a ser entregue. No geral, as estruturas de design thinking só podem ser eficazes se usarem os resultados obtidos para produzir outros resultados em seus produtos. É por isso que o Design Sprints vem ganhando muito espaço. Eles não apenas entregam um produto em si (saídas), mas também fornecem respostas (resultados).

Para a maioria, o design thinking é como escrever uma receita. É um guia para o que precisa ser feito, mas não é o resultado final. A menos que alguém leia a receita, junte os ingredientes e ponha a mão na massa, cozinhe ou asse, a refeição não ficará pronta. Depois ainda é preciso provar o produto final, servir aos clientes e saber se eles gostaram ou não; por isso o design thinking não entrega realmente o valor final. As receitas são ótimas porque fornecem as instruções para um resultado garantido e permite repetir os mesmos resultados inúmeras vezes. Se você for a um restaurante e pedir um prato e eles lhe entregarem a receita, você ficaria desapontado. E, no entanto, é exatamente isso que estamos fazendo quando esperamos que o pensamento de design thinking ofereça o resultado final do produto.

A maioria das equipes de produto projeta o pensamento, concentrando toda a atenção nele (pensamento). Que faz sentido, certo? São exercícios de design thinking, então por que você não deveria se concentrar completamente nisso? Infelizmente, a parte do pensamento não leva naturalmente à parte do fazer. O design thinking é apenas o começo do trabalho. O problema é que muitas pessoas o estão usando, com a expectativa de que suas soluções cheguem ao mercado, e isso não acontecerá.

A solução para conectar os princípios do design thinking aos resultados práticos é surpreendentemente simples. Mas isso envolve conversar com as pessoas e a maioria das pessoas de produtos acha isso difícil.

O restante do valor

Nada supera o impacto e a velocidade de estruturas bem pensadas de design. Eles fazem com que as ideias criativas fluam. O design thinking é, seguramente, um dos melhores métodos de se pensar na criação de produtos. É uma combinação de trabalho significativo e diversão criativa. Pensa-se bastante nos problemas, nos esboços das idéias, são realizados exercícios para incentivar o pensamento criativo e depois escolher algumas soluções consideradas e parte-se então para a criação de um protótipo.

Então para-se aí. Num lindo protótipo. Esse protótipo perfeito é uma lembrança muito boa da ideia conceitual inicial. Mas quando você volta ao trabalho, vê toda a dedicação parece ter sido em vão.

Nada prático aconteceu porque muitos exercícios de design thinking não fazem esse trabalho árduo. Eles não levam o protótipo para o mundo e o testam. E, se o fizerem, não usarão esse novo conhecimento para fazer melhorias e depois testar essas melhorias. Eles não dão os próximos passos para transformar protótipos em algo mais funcional.

Por quê? Porque conversar com as pessoas e obter feedback é difícil. Porque fazer produtos reais é difícil.

Você não pode parar de pensar. É aí que as coisas ficam interessantes. O design, com D maiúsculo, procura resolver todo o problema, não apenas a validação inicial. Se tudo o que você tem é um protótipo, você ainda não resolveu o problema. O problema deve estar conectado a uma solução validada pelo cliente. Você não termina o projeto até que exista um vínculo claro entre o problema que está resolvendo e a sua solução – o valor agregado.

Para ser realmente eficaz na criação de soluções de produtos, precisamos de duas coisas: uma estrutura confiável e equipes autônomas. Sem uma dessas coisas, o processo de criação do produto falha e você não pode ter sucesso. Para resolver problemas, você precisa fazer várias coisas difíceis. A maioria dessas coisas difíceis está relacionada à comunicação com outras pessoas.

Antes de falarmos sobre essas coisas, vamos esclarecer como o design thinking é feito atualmente. Em geral, existem duas escolas de pensamento.

A primeira faz uma abordagem de cima para baixo, impulsionada por uma visão para o futuro.

A segunda faz uma abordagem orientada ao cliente, orientada pelas necessidades do público.

Nenhuma dessas abordagens é mutuamente exclusiva da outra. Eles compartilham atributos e existem até alguns cenários em que podem ser usados juntos.

Abordagem top down

Nos casos em que o futuro é algo que seria difícil para as pessoas imaginarem, a primeira abordagem faz sentido. Isso funciona bem para tecnologias inovadoras, como inventar uma nova maneira de se comunicar (iPhone) ou uma nova maneira de se locomover (Uber) ou uma solução de energia inspirada na ficção científica (Tesla). Ao visualizar um estado futuro e validar isso com invenções, uma equipe pode criar algo nunca visto antes.

Abordagem para usuários

Quando as pessoas têm uma necessidade muito clara e conseguem articular essa necessidade, a segunda abordagem funciona muito bem. Iniciando com os problemas do usuário ou cliente e desenvolvendo soluções a partir daí, uma empresa de produtos pode encontrar inovações que se tornam novos produtos ou recursos em produtos existentes. O usuário está basicamente dizendo quais são os problemas deles e você está criando uma solução que atenda às necessidades deles.

O caminho a seguir

Existem várias maneiras de resolver o problema. Realmente não existe um processo de criação de produto perfeito, mas o processo ideal precisa incluir os seguintes atributos:

  • Resolver um problema que valha a pena ser resolvido;
  • Crias soluções potenciais para o problema;
  • Ter um produto básico para testar (por exemplo, MVP);
  • Repetir os resultados dos testes várias vezes;
  • Validação do cliente sobre se o problema está sendo resolvido;
  • Equipes para garantir a colaboração multifuncional;
  • Caminho colaborativo (roteiro ou tema) para mostrar economia escalável;
  • Ciclos contínuos de feedback e testes do cliente.

Os designers só podem ter sucesso no design de produtos se estiverem conversando entre si e com os clientes em potencial.

Falaremos mais sobre isso em outros artigos.

às Nenhum comentário:
Marcadores: , , ,
Assinar: Postagens (Atom)

Além da Guerra de Preços: O Oceano Azul na Conectividade Brasileira

Introdução Lançado em 2005 por W. Chan Kim e Renée Mauborgne, A Estratégia do Oceano Azul revolucionou o pensamento estratégico...

  • Gerenciamento de projetos na era da IA
    “Os projetos substituíram as operações como o motor econômico dos nossos tempos”, escreveu Antonio Nieto-Rodriguez em “ The pro...
  • Rastreando a Evolução da IA
    Está é uma Análise direta e longitudinal da evolução das IAs O Desafio de Medir o Progresso Nos últimos anos, testemunhamos gran...