No âmbito da celebração do “Appian World 2023”, Andrew Cunje, CISO da empresa, explica os pontos estratégicos que compõem o roteiro de cibersegurança da organização.
Por Irene Iglesias Álvarez (San Diego, Estados Unidos)
Hoje em dia, a cibersegurança é um ativo transversal que atravessa qualquer um dos pilares fundamentais que compõem uma organização. No caso da Appian, uma empresa originalmente forjada em torno do low-code e do desenvolvimento de software, o mesmo acontece. De facto, a empresa sediada na Virgínia, EUA, utilizou a celebração do Appian World 2023 como pano de fundo para destacar o seu papel na arena empresarial. Entrevistámos Andrew Cunje, Chief Information Security Officer (CISO) da empresa, durante o evento. Um encontro que toma o pulso ao setor global da cibersegurança, decifra a estratégia da Appian neste domínio e sublinha a necessidade de construir uma comunidade global com a firme intenção de “envolver as pessoas” nesta tarefa. No fim de contas, “garantir que os ativos que nos interessam estão seguros é uma responsabilidade de todos”. O Comissário falou à CSO Espanha.
O cenário atual da segurança é marcado por um aumento exponencial das ciberameaças, por uma maior sofisticação dos ataques e por novas técnicas e ferramentas contínuas. Tendo em conta a sua experiência e formação, como o vê atualmente?
O panorama das ciberameaças tem crescido exponencialmente. De facto, lemos constantemente nas notícias que estão a ocorrer cada vez mais violações de segurança. No entanto, face a esta situação, tem havido uma resposta regulamentar significativa, bem como uma resposta em conformidade por parte de várias entidades. Por exemplo, tem havido um impulso para uma nova Estratégia Nacional de Cibersegurança nos Estados Unidos e o RAP está a alterar algumas das suas disposições.
Assistimos agora a um aumento da privacidade, para além do próprio titular dos dados. Outras questões que estão a ser focadas para além desta são os controlos, as orientações e a resiliência e resistência das plataformas de segurança. Isto significa que questões como a confiança zero estão agora a fazer manchetes e a ser notícia para todos os fornecedores de segurança.
Tendo em conta o seu papel como CISO da Appian, quais são os desafios que enfrenta atualmente?
Voltando ao ponto de origem, o contexto das ciberameaças não parou de se tornar mais sofisticado, pelo que uma das coisas que temos de fazer é mantermo-nos muito ligados à indústria e certificarmo-nos de que sabemos quais são as mais recentes técnicas, táticas e protocolos que estão a ser utilizados por agentes maliciosos. Manter-se à frente da curva também significa estar na ofensiva. Na Estratégia Nacional de Cibersegurança, há uma parte que trata deste aspeto. Trata-se de compreender quais as técnicas que estão a ser utilizadas e, em seguida, ser capaz de rearmar a luta contra elas. Por outro lado, temos de olhar para a estratégia de confiança zero que se centra no menor privilégio e, a partir daí, aplicar o hiper-mínimo possível. É necessário saber a todo o momento quem está a aceder, qual é a base recorrente, que sistema ou utilizador tem acesso às contas ou divisões certas e quais não têm. Na conceção da aplicação Appian, verá como [o sistema] para em todas as fases para se certificar de que o acesso e a política associada a um objeto são aplicados de forma consistente em toda a cadeia.
Qual é a estratégia de cibersegurança da Appian e pode comentar os seus pontos principais?
Eu diria que está muito relacionada com os valores da empresa. Uma das coisas de que Matt Calkins fala é fazer menos coisas melhor. Por isso, quando olhamos para um cenário de segurança em que o número de ferramentas, sensores e sistemas está a aumentar, uma das coisas que temos de fazer é pensar como podemos consolidar todas essas informações num único local onde podemos fazer inferências. No que diz respeito aos dados, publicámos uma publicação no blogue sobre a plataforma Appian Soar baseada na segurança, orquestração, automação e resposta. Uma das coisas que aproveitamos nesse tipo de plataforma em que monitorizamos a segurança da Appian é o tecido de dados. Esta é, sem dúvida, a chave para o ponto de articulação central: obtemos informações de vários sensores e, em seguida, conseguimos elevar a resposta e fornecer algo útil.
Em que tecnologias se baseia para desenvolver este roteiro?
A análise de dados, mas há muito mais para além da tecnologia em si. Por exemplo, como já referi, contamos com a comunidade de segurança, com a equipa global azul. Existe uma espécie de camada de alta confiança em que nós, os nossos parceiros ou clientes, os regulamentos que têm, as normas de segurança que têm, são semelhantes em todos os ecossistemas. Por isso, quando olhamos para essa estratégia, queremos ter a certeza de que elevamos a fasquia da segurança ao mesmo nível para todos os nossos clientes, em todo o lado. Há um ótimo exemplo na Austrália. Trabalhamos com um dos nossos clientes, a Westpac, em alguns termos e necessidades de segurança específicos nas estruturas do Iraque. Parte da nossa estratégia inclui o isolamento regional. Como sabe, com as regras de privacidade, os dados têm de permanecer no país, tal como acontece nos nossos ambientes FedRAMP para o Departamento de Defesa e clientes dos EUA. Por isso, o isolamento é outro ativo muito importante.
Em que áreas relacionadas com a cibersegurança é que a Appian concentra o seu orçamento?
Essa é uma boa pergunta [risos]. Penso que, na verdade, temos de olhar para toda a estratégia cibernética, onde temos, digamos, implementações técnicas. No entanto, penso que é dada uma ênfase especial à conformidade da confiança, ao trabalho de governação e ao programa de campeões de segurança da empresa, porque o organigrama interno da empresa é constituído por pessoas. Este é um dos aspetos mais importantes, porque queremos permitir que todos façam parte desse conceito de equipa azul global. No entanto, também temos de ter em conta a capacidade da organização para se mover rapidamente para o cliente, permitindo que os engenheiros desenvolvam muito rapidamente, de forma produtiva, mas de uma forma segura, utilizando algumas das mais recentes estratégias de segurança em DevOps.
Atualmente, muitos CISO falam de uma mudança de mentalidade da gestão de topo em relação à cibersegurança, afirmando que os executivos estão mais dispostos a investir nela. Já reparou nisso?
Sim, penso que se olharmos para as tendências, é exponencial. De facto, o aumento da regulamentação e da resposta regulamentar é parte da motivação para a mudança. Estamos a assistir a um aumento em todos os sectores. Um dos aspetos interessantes da Appian é que, quando foi criada, destinava-se a um dos casos de utilização mais sensíveis, o sector militar. Por isso, penso que a Appian tem estado muito à frente da curva em termos de investimentos em segurança.
O low-code representa algum risco para a segurança das empresas e organizações?
Eu não diria que há necessariamente problemas em termos de desenvolvimento low-code, mas sim que low-code é uma forma de criar coerência na política de segurança que é incorporada numa aplicação. Quero com isto dizer que, com a Appian, quando se desenvolvem políticas de segurança para objetos em diferentes conjuntos de dados, essas políticas são reutilizáveis pelos programadores da Appian na sua organização, pelo que se obtém o melhor tipo de segurança integrada.
Porque é que acha que algumas pessoas estão a alertar para esta questão?
Penso que as pessoas estão preocupadas com isto em parte devido à conformidade. Se olharmos para a segurança da cadeia de fornecimento, há agora um foco na bomba S e no código de confiança que se está a tornar um determinante crucial da confiança. Por isso, sempre que um cliente está pronto para comprar a Appian, fornecemos-lhe uma cópia dessa bomba S, que mostra efetivamente uma lista das vulnerabilidades da Appian. Temos muito orgulho em poder oferecê-la diretamente aos nossos clientes, porque se trata de uma excelente medida de segurança no âmbito do desenvolvimento do nosso código.
Também alertou para o facto de as crescentes tensões geopolíticas estarem a alimentar o atual cenário de ameaças.
É um facto, também o vimos com a guerra na Ucrânia. A estratégia de cibersegurança dos EUA é um exemplo de como todos estão a desempenhar um papel na equipa azul global neste momento. Neste cenário, há também um aumento dos ciberativistas.
O tema do momento para o setor é o surgimento do ChatGPT e a ascensão da inteligência artificial. O que significou para a indústria?
Vai ajudar a aumentar todas as unidades de negócio, a capacitar as organizações, não vai substituir os trabalhadores, mas vai tornar as pessoas mais eficientes. A sua utilização dependerá, em última análise, do facto de se pertencer à equipa azul ou vermelha. É preciso tirar partido das ferramentas que temos atualmente à nossa disposição. Por outro lado, penso que a IA privada é o caminho a seguir. Assegurar que qualquer caso de utilização de IA em que uma organização se empenhe garante que os seus dados permanecem privados, que os titulares dos dados dos seus casos de utilização permanecem privados e que qualquer propriedade intelectual que criem com esses serviços permanece dentro da organização.
Está atualmente a implementar a IA na sua divisão?
Sim, nos últimos dois anos investimos em inteligência artificial na pilha de segurança, com uma aplicação na nossa proteção de endpoints, na nossa função de análise de ameaças e nos sensores de rede que entram no nosso ambiente.
Falando de temas quentes, que tendências de cibersegurança vão dominar em 2023?
Um dos tópicos mais falados é a privacidade e a conformidade. A segunda tendência que temos é o impulso da cadeia de fornecimento digital. Depois, a consolidação de que já falámos. O número de ferramentas é exponencial, pelo que temos de nos certificar de que estamos a obter um bom valor para os investimentos que estamos a fazer e para a segurança. Por outro lado, o desenvolvimento de uma plataforma resiliente: confiança zero, identidade forte, autenticação contínua, hiper privilégio mínimo, encriptação em todo o lado… A quinta tendência é a sensibilização e as decisões distribuídas. Trata-se da comunidade. Em primeiro lugar, certificar-se de que a comunidade compreende a forma como os agentes de ameaças a podem perseguir. Por outro lado, mostrar decisões de transição em que falamos de campeões da segurança, em que temos de ser ágeis na segurança para acompanhar o ritmo do ator da ameaça. Volto a referir-me a essa comunidade. O mais importante é envolver as pessoas nas equipas de segurança de várias organizações em todo o mundo.