Quando se fala de segurança na área de TI, historicamente há um descompasso entre a segurança que achamos ter e a real eficácia das medidas implementadas. Por isso, muitas empresas investem somas consideráveis buscando alcançar o estado da arte em segurança da informação. Esses investimentos são (quase) sempre elogiáveis, mas o problema é que muitos executivos de TI têm dificuldade em comprovar se esses gastos realmente se traduzem em maior segurança para a empresa.
No Brasil, os gastos com segurança chegaram a R$1,3 bilhão em 2023, segundo o relatório IDC Predictions 2023. A tendência é que esse valor continue crescendo nos próximos anos. Porém, o que observamos nas empresas é que o medo de ataques e as perdas causadas por falhas de resiliência interna continuam a gerar prejuízos significativos, representando um grande desafio para os executivos de segurança.
Na literatura acadêmica, discutimos a questão temporal do aprendizado sobre incidentes de TI (falhas que podem ocorrer de forma intencional ou não). Podemos aprender com falhas que já aconteceram (aprendizado do passado para o futuro), usando ferramentas como a análise de causa-raiz. Também é possível aprender a lidar com incidentes em tempo real (aprendizado do presente para o presente), utilizando processos de resposta a incidentes. O terceiro tipo de aprendizado, que quero destacar hoje, é a criação de cenários de falhas e ataques que ainda não ocorreram (aprendizado do futuro para o futuro). Embora os dois primeiros tipos de aprendizado sejam considerados boas práticas em empresas com maturidade em segurança da informação, o terceiro ainda parece distante da realidade para a maioria.
Um dos grandes avanços recentes em tecnologia é a capacidade de processar grandes volumes de dados de forma rápida e eficaz. Isso possibilita o uso de ferramentas como a engenharia do caos, que simula (em ambiente de produção!) diversos tipos de problemas que podem ocorrer, sejam ataques ou falhas. Com isso, aprendemos como nossos sistemas reagem a esses problemas antes que eles aconteçam inesperadamente, especialmente quando não estamos preparados.
A engenharia do caos surge, então, como uma excelente ferramenta de prevenção. Ela testa a capacidade da organização de lidar com problemas antes que eles se concretizem, criando a resiliência necessária para que as empresas possam operar com a segurança de que o patrimônio delas e de seus clientes está devidamente protegido.
Empresas como a Gremlin atuam como consultoras nessa área, auxiliando outras companhias a iniciar seus projetos de caos. Líderes de mercado, como Netflix e Amazon, já possuem suas próprias iniciativas internas. Acredito que a prática de caos não deve ser restrita apenas às grandes empresas, e que um número muito maior de organizações poderia se beneficiar dessas técnicas. Fomentar uma cultura de incentivo a novas ideias e experimentação, além de valorizar a segurança de TI por toda a empresa, é um excelente ponto de partida.
