Nem sempre o caminho mais fácil é o melhor: facilitar a segurança pode ter o efeito contrário e prejudicar também o desempenho.
Desde o início da TI, parece que tem existido uma batalha entre o desejo de desempenho (medido como velocidade) e um requisito de segurança (representado por atrasos). Os processos de segurança historicamente causaram decisões de roteamento de rede questionáveis e abaixo do ideal e introduziram latência para impactar negativamente a experiência do usuário.
Neste cenário, é importante fazer com que os decisores e os profissionais de segurança entendam o risco da baixa performance e por que as questões de redes são fundamentais. Sem um bom desempenho, o melhor cenário possível é que a segurança na nuvem desacelere os negócios. Na pior das hipóteses, os usuários ignoram completamente os controles de segurança, esquecendo todas as horas de treinamento de conscientização sobre proteção, expondo a empresa e diminuindo o retorno sobre os investimentos em segurança.
Embora as equipes de segurança normalmente se concentrem na profundidade e na amplitude dos recursos para proteger dados, identificar ameaças, compreender instâncias de aplicações ou coletar contexto para aumentar a eficácia da segurança, as redes se destacam na rapidez com que o tráfego pode chegar à nuvem, no processamento de segurança necessário e em levar o usuário ao conteúdo, aos dados ou à aplicação que ele está tentando acessar.
Para os profissionais de redes, a performance tem tudo a ver com a entrega de uma experiência de alta qualidade e é também por isso que é essencial levar em conta as ferramentas para corrigir problemas rapidamente ao escolher a sua tecnologia de segurança em nuvem.
De acordo com uma pesquisa da Dimensional Research, que avaliou a opinião de mais de 500 profissionais de segurança empresarial e de TI, 46% dos entrevistados admitiram ter relaxado ou contornado a segurança para melhorar a experiência do usuário.
Ou seja, quase metade admite seguir o caminho mais fácil, menos seguro e mais conveniente em prol de uma experiência melhor. Não é preciso ser um especialista em segurança para reconhecer os riscos associados a essa troca.
Felizmente, os resultados da pesquisa deixam claro que a maioria dos clientes (90%) acredita que o monitoramento de ponta a ponta é necessário para determinar se a segurança entre seus usuários finais e a nuvem estão afetando a qualidade da experiência.
Essa avaliação é consistente com a previsão dos analistas do Gartner de que, até 2025, metade das organizações de TI terá estabelecido uma estratégia, uma equipe e uma ferramenta de gerenciamento de experiência digital, em comparação com 5% em 2021.
Também é digno de nota que, na pesquisa da Dimensional Research, mais de 90% dos entrevistados acreditam que a visibilidade da experiência do usuário final será fundamental para as empresas que buscam o sucesso com a arquitetura Secure Access Service Edge (SASE).
Um exemplo frequente de compensações arriscadas entre segurança e experiência — muitas vezes ilustradas por usuários que não fazem o que é “mais seguro”, mas o que é mais “conveniente” — é o que vimos ao longo dos anos com os cintos de segurança.
As pessoas só tomaram uma atitude depois de campanhas na mídia para educar sobre os riscos, avanços tecnológicos (como cintos automáticos ou alarmes sonoros) e, claro, quando as leis foram implementadas. Sim, foi uma combinação de educação, mas também de coisas que tornaram mais fácil (ou mais sofrido do que não usar o cinto), que levou ao comportamento correto e, nesse caso, à melhor postura dos motoristas em relação à segurança.
Mesmo trabalhando com algumas das empresas mais preocupadas do mundo com segurança e conformidade, incluindo bancos, provedores de serviços de saúde e até mesmo agências governamentais, tive uma experiência com um potencial cliente que estava realizando uma prova de conceito (POC) em que os funcionários estavam intencionalmente ignorando suas VPNs para ir direto para as redes, sem qualquer proteção (endpoint ou outra).
É bastante claro o risco dessa abordagem. A pergunta que fiz foi “por que eles escolheram esse caminho?”. Seria para evitar o uso da VPN ou por dificuldades com autenticação multifatorial? A resposta curta foi: porque era mais rápido e mais conveniente.
Está na hora de, como setor, reconhecermos plenamente o elo mais fraco do “fator humano” e trabalharmos coletivamente para acabar com o cabo de guerra entre segurança e desempenho. Os clientes podem ter ambos — a segurança necessária e a experiência digital que seus usuários esperam.
Assim, é também por isso que os clientes, tanto os líderes de segurança quanto os líderes de redes, precisam prestar atenção à infraestrutura de segurança em nuvem que alimenta o SSE e a arquitetura SASE para garantir que não seja necessário escolher entre dois recursos fundamentais para o sucesso dos negócios.
Claudio Bannwart, editado por Bruno Capozzi 17/03/2024
