Consolidar para não fragmentar

A fragmentação do ecossistema de cibersegurança tem-se revelado um desafio. O debate centrado na consolidação de plataforma vs. best-of-breed coloca, frente a frente, a consolidação como resposta à necessidade de simplificação, visibilidade e eficiência operacional e uma abordagem mais especializada em determinados contextos onde a adaptação a requisitos específicos é crítica.

Uma visão predominantemente consolidada

	Ricardo Evangelista, Information Security Manager da Ageas Portugal

Ricardo Evangelista, Information Security Manager da Ageas Portugal, começa por partilhar o exemplo da organização, que optou por um “modelo híbrido”, orientado, no entanto, para a consolidação de plataformas. “Esta orientação resulta de vários fatores: a necessidade de controlar custos de forma sustentável, reduzir o esforço operacional das equipas e acelerar a capacidade de resposta perante ameaças cada vez mais sofisticadas”.

A decisão sobre a escolha da arquitetura foi “predominantemente técnica”, ainda que “integrada num contexto natural de racionalização de custos”. Em “domínios muito específicos”, o especialista de cibersegurança afirma que a empresa recorre a soluções best-of-breed sobretudo devido à especialização de determinados fornecedores que continuam a “acrescentar valor que as plataformas consolidadas ainda não abrangem”.

A complexidade do atual panorama tecnológico, aliada à necessidade de dar resposta às ameaças emergentes, tem contribuído, no entanto, para intensificar a discussão sobre qual o melhor rumo a seguir.

Miguel Gonçalves, CISO da CUF

No espetro oposto, e com base na sua experiência e opinião pessoal, Miguel Gonçalves, CISO da CUF, acredita que a decisão se coloca sobretudo ao nível “operacional e estratégico”. “A escassez de recursos humanos especializados, a necessidade de redução da complexidade operacional e a pressão sobre tempos de resposta”, defende, “tornam a consolidação uma escolha natural”; já o modelo best-of-breed apresenta mérito para “casos específicos”. No fim, “a simplificação operacional” é, para o especialista, o “fator mais relevante”.

Não há abordagens perfeitas

Na visão dos fabricantes, o debate entre consolidação e best-of-breed tornou-se “particularmente relevante” num contexto em que as superfícies de ataque são também elas cada vez mais distribuídas.

Para Manu Santamaría Delgado, Director of Product Management da WatchGuard Iberia, não existem soluções perfeitas, uma vez que as duas abordagens apresentam falhas: no caso do best-of- -breed, as soluções podem falhar quando a organização “não tem capacidade operacional para integrar e gerir múltiplas ferramentas especializadas”, o que leva à criação de silos e, consequentemente, aumenta a “dificuldade em correlacionar dados”, o que, por si só, representa um risco. Por outro lado, no caso da consolidação de segurança em plataformas, as falhas também podem ocorrer quando a abordagem “é entendida apenas como simplificação tecnológica e não como uma arquitetura integrada”. Manu Santamaría Delgado considera que, neste contexto, existe o “risco de substituir a fragmentação por dependência excessiva de um único fornecedor”. Ainda assim, e com base na experiência da WatchGuard, esta é a abordagem com maior tração ao permitir “reduzir a complexidade operacional sem limitar a capacidade de evolução tecnológica”.

	Thom Langford, CTO da EMEA da Rapid7

No entanto, há outros fatores a ter em conta nos dois cenários. Na opinião de Thom Langford, CTO da EMEA da Rapid7, “se as pessoas e processos não estiverem apreendidos, estabelecidos e compreendidos, a tecnologia irá apenas amplificar ainda mais as lacunas”.

Os líderes de cibersegurança necessitam de explicar as vantagens de determinada abordagem, em detrimento da outra, a fim de capacitarem as equipas com melhores ferramentas e uma visão mais clara sobre a escolha certa para a sua realidade operacional. “A compreensão da política organizacional e dos processos de aquisição”, explica, contribui para “manter o envolvimento e a resolver obstáculos antes que impeçam o progresso”. É este alinhamento entre liderança, operação e tecnologia que irá determinar, segundo Thom Langford, “se as iniciativas têm sucesso ou falham”.

Qualquer que seja a escolha, o especialista da Rapid7 acredita que a integração de ferramentas, processos e pessoas é tão importante quanto a consolidação, cabendo aos CISO a avaliação sobre a abordagem a adotar consoante os resultados pretendidos e a flexibilidade de adaptação a necessidades futuras.

Quem procura o quê?

Ricardo Silva, Security Solutions Senior Consultant da Claranet Portugal

Em qualquer uma das arquiteturas, há tempo e recursos dedicados para garantir que cada uma funciona no ambiente devido. Do lado de uma integração best-of-breed, explica Ricardo Silva, Security Solutions Senior Consultant da Claranet Portugal, é necessário um "investimento contínuo e elevado em recursos humanos com competências heterogéneas"; por sua vez, a consolidação de plataformas requer um time-to-value mais curto, com recursos canalizados para otimizar "políticas de segurança, realizar benchmarks de boas práticas e fortalecer a postura de compliance da organização".

A abordagem de cada arquitetura varia também consoante os objetivos de cada organização. Ainda assim, a dimensão da empresa não é necessariamente o fator mais determinante: "o verdadeiro driver é a complexidade dos próprios processos de negócio", admite Jorge Miranda, Executive Manager da CSO.

Se, por um lado, a consolidação está mais presente em empresas que “procuram eficiência operacional, visibilidade centralizada e uma resposta a incidentes mais ágil”, refere Ricardo Silva, por outro, o best-of-breed tem tendência para funcionar melhor “em organizações com equipas de cibersegurança altamente especializadas e com maturidade técnica elevada, que operam em setores com requisitos de nicho, onde a funcionalidade máxima de um componente específico é crítica para o negócio”.

Neste último caso, Jorge Miranda explica que esta tipologia de arquiteturas tende a surgir em grandes organizações de setores como telecomunicações, energia, infraestruturas críticas, que operam em “ambientes tecnológicos complexos e altamente regulados”, com equipas especializadas e recursos canalizados à integração. Aqui, "a prioridade não é simplificar o ecossistema tecnológico, mas garantir o máximo nível de proteção possível em cada camada".

No caso das médias empresas, onde existe maior preocupação em equilibrar investimento, eficiência e desempenho tecnológico, a consolidação de plataformas pode revelar-se vantajosa.

Falta de profundidade vs. dependência como um risco

	Jorge Miranda, Executive Manager da CSO

A consolidação de plataformas estabelece-se como uma escolha comum e consensual entre os especialistas e diretores de cibersegurança. Ainda assim, Jorge Miranda relembra que em contextos de infraestruturas heterogéneas, ambientes híbridos complexos, casos de requisitos regulatórios exigentes e integração com sistemas industriais ou legacy podem estar em causa limitações, uma vez que as plataformas consolidadas nem sempre são capazes de oferecer “a mesma profundidade funcional” que as soluções mais especializadas oferecem nestes cenários.

Em linha com esta ideia, Ricardo Silva, da Claranet Portugal, reitera que uma plataforma consolidada pode até garantir uma cobertura abrangente; porém “pode não atingir o nível de detalhe de uma ferramenta dedicada em cenários muito específicos, como em atividades de segurança ofensiva profunda, análises forenses complexas ou auditorias de conformidade com normativos muito granulares”. Em determinados contextos, alguns vetores de ataque mais particulares podem ser inclusivamente ignorados caso a plataforma se revele “demasiado generalista”.

Manu Santamaría Delgado, Director of Product Management da WatchGuard Iberia

No lado do best-of-breed, Manu Santamaría Delgado admite que “qualquer dependência excessiva de um único fornecedor” representa “um risco estratégico se limitar a capacidade de adaptação da organização às mudanças tecnológicas ou às novas ameaças”. A consolidação revela-se, assim, como um facilitador de eficiência operacional quando a plataforma de segurança é concebida como um ecossistema, com correlação de dados e sinais de segurança entre diferentes domínios, que permite às organizações “evoluir gradualmente e integrar novas capacidades sempre que necessário”.

“A consolidação reduz risco, mas também o transforma”, defende Ricardo Evangelista. Apesar da maior concentração numa única arquitetura, o Information Security Manager não tem dúvidas de que o risco operacional diminui e a concentração é, entretanto, compensada “por maior coerência, melhor capacidade de monitorização e processos mais estruturados de deteção e resposta”.

Frustração operacional e falhas nas implementações

Na escolha de abordagens, um dos problemas elencados pelos especialistas prende-se com o excesso de ferramentas. Ricardo Silva relembra que “a fragmentação obriga equipas a gerir múltiplas consolas” e a conectarem pontos entre “ferramentas dispersas”, o que resulta no comprometimento do tempo de resposta e no aumento da frustração.

Por outro lado, as plataformas demasiado fechadas também podem revelar-se um problema: “quando uma solução limita a integração com outras ferramentas ou cria dependência excessiva de um único fornecedor, a organização perde flexibilidade e capacidade de adaptação”, constata Jorge Miranda, da CSO. No seu ponto de vista, o problema está quando “a arquitetura de segurança deixa de refletir a realidade operacional da organização”. “Quando um projeto de segurança corre mal, a causa raramente é tecnológica. Na maioria das situações, os problemas surgem porque a implementação não teve em conta fatores fundamentais como processos, operação e alinhamento com o negócio”, justifica.

Consolidação: evolução natural ou uma resposta dos tempos?

Existe hoje um paradoxo: as ferramentas concebidas para proteger as organizações são as mesmas que adicionam uma camada de complexidade. “Durante anos, a resposta instintiva às novas ameaças tem sido comprar mais um produto, seja outra dashboard, outro feed ou, agora, outro agente de IA. O resultado tornou-se um mosaico desarticulado de sistemas sobrepostos que prometem visibilidade, mas frequentemente causam fadiga”, analisa Thom Langford, da Rapid7. A multiplicidade de fornecedores de segurança traduz-se, por isso, em “múltiplos fluxos de trabalho, contratos e definições de risco”, um terreno fértil para o aumento das ameaças.

Neste ponto, o CTO garante que as organizações encaram atualmente a consolidação como “uma potencial forma de melhorar a visibilidade, reduzir o atrito operacional e criar uma base para um segurança escalável”.

Manu Santamaría Delgado, da WatchGuard Iberia, reitera a ideia de Thom Langford sobre o panorama de arquiteturas complexas e difíceis de gerir, provocado pelo excesso ferramentas especializadas. Na sua visão, “a consolidação é, simultaneamente, uma consequência da maturidade crescente das estratégias de segurança e uma resposta à fragmentação tecnológica acumulada ao longo da última década”.

O Diretor acredita que existe uma “consciência crescente de que a eficácia da segurança não depende apenas da quantidade de ferramentas disponíveis, mas da capacidade de essas ferramentas trabalharem em conjunto”.

E é aqui que entra a consolidação de plataformas. “Não deve ser vista apenas como uma estratégia de racionalização tecnológica porque representa sobretudo uma evolução na forma como as organizações encaram a segurança, menos centrada em ferramentas isoladas e mais orientada para uma plataforma integrada que permita proteger ambientes cada vez mais distribuídos com maior eficiência e simplicidade operacional”, afirma Manu Santamaría Delgado.

O antes e depois da escolha de cada realidade

No contexto da Ageas Portugal, a escolha da arquitetura privilegiou métricas que refletissem parâmetros como eficiência operacional e redução de risco de segurança. Do ponto de vista operacional, Ricardo Evangelista revela que na decisão sobre a melhor abordagem pesou também – para além dos fatores inicialmente elencados – a avaliação da melhoria do tempo de resposta e as métricas financeiras que sustentam e justificam o business case. “No conjunto, estas métricas demonstraram que a consolidação aumenta eficiência, reduz risco e melhora a previsibilidade a médio prazo”, com ganhos ao nível da coerência, controlo e simplicidade operacional e eficiência de equipas.

As vantagens são notórias: “Ao substituir várias plataformas por uma abordagem mais integrada, beneficiámos de controlos mais modernos e sofisticados, superando algumas limitações de soluções mais antigas que existiam com propósitos muito específicos. Isso permitiu não só consolidar, mas também elevar a maturidade tecnológica em áreas que antes estavam limitadas por soluções mais antigas”, partilha o especialista de segurança.

Na opinião de Miguel Gonçalves, a consolidação traz “ganhos claros ao nível da eficiência operacional, visibilidade e foco das equipas”, ainda que implique “algumas perdas” como a “ausência de funcionalidades muito específicas”. Entre as lições aprendidas neste processo, o especialista de cibersegurança não tem dúvidas de que, no decorrer do processo de consolidação, “não se seleciona apenas uma tecnologia”; o peso da decisão é co-partilhado com a escolha de “um parceiro estratégico”.

Mais do que contar com a melhor tecnologia em cada domínio, Miguel Gonçalves sublinha que o verdadeiro desafio passa por “conseguir operá-la de forma eficaz”, num momento em que “a consolidação deixou de ser apenas uma opção para se tornar uma necessidade”.