News
14/4/2025

A 'linha de pobreza da segurança' e seu impacto no risco cibernético de terceiros

Wendy Nather criou o termo "linha de pobreza de segurança" (Security Poverty Line — SPL) em uma apresentação de 2013 na RSA Conference, trazendo o conhecido conceito econômico da "linha de pobreza" para a cibersegurança. Essa linha de pobreza de segurança (que também é às vezes chamada de "linha de pobreza da cibersegurança") descreve uma situação na qual uma empresa não consegue alcançar um nível de segurança tido como aceitável (ou baseline).

Embora organizações de qualquer porte possam ficar abaixo da linha de pobreza, pequenas e médias empresas (PMEs) tendem a ser as mais atingidas pelas condições que impedem a superação da linha de pobreza.

Empresas maiores ainda podem ser penalizadas pela linha de pobreza de duas formas:

  1. Se elas por algum motivo carecem de recursos (incluindo pessoas e tecnologia) para alcançar um nível de segurança que as colocaria acima da linha;
  2. Se elas possuem PMEs em sua cadeia de fornecedores que estão impossibilitadas de atingir um nível de segurança adequado, o que as expõe a riscos que podem provocar um efeito dominó no negócio.

Nesta publicação, vamos focar nesse segundo desafio. Como as empresas maiores geralmente têm mais recursos e pessoal capacitado, elas podem elevar seus fornecedores e parceiros para além da linha de pobreza. Primeiro, contudo, é necessário compreender a natureza desse problema.

A linha de pobreza da segurança

Quando uma empresa está abaixo da linha de pobreza de segurança, softwares geralmente são deixados em sua configuração padrão, problemas diários são resolvidos com soluções temporárias (que em geral se tornam permanentes), e os recursos disponíveis não são suficientes para viabilizar a aquisição de uma suíte completa de ferramentas de segurança e a contratação dos especialistas necessários para operá-las. A capacidade para gerir a infraestrutura de TI e planejar a longo prazo também tende a ser reduzida.

Por mais que não seja preciso dizer que pequenas empresas normalmente não têm estruturas de gestão comparáveis às das organizações maiores, a cibersegurança impõe desafios únicos que podem acabar minando as tentativas de promover melhorias significativas ou mitigar riscos.

Muitos dos desafios que empurram as empresas para baixo da linha de pobreza da segurança são mencionados nessa conversa interessante entre Wendy Nather, Joe Levy da Sophos e Michael Daniel da Cyber Threat Alliance. Algumas das principais questões são:

Não há um grande consenso sobre o que funciona: Até CISOs experientes podem ter opiniões divergentes sobre quais produtos de segurança são "essenciais". Empresas pequenas têm orçamentos limitados, obrigando-as a adquirir somente as soluções mais importantes. No entanto, poucas pessoas na comunidade de cibersegurança conseguem dizer o que é ou não é uma prioridade. Como as empresas menores carecem especialistas internos, elas vão ter ainda mais dificuldade para fazer essas escolhas por conta própria.

Preços 'secretos' dificultam a elaboração do orçamento: Muitos produtos de segurança, incluindo aqueles que poderiam ser úteis para as PMEs, não revelam seus preços publicamente. A Wendy Nather menciona que a previsão orçamentária pode acabar equivocada em uma margem de até 400%, o que é problemático para gestores que trabalham com orçamentos que são limitados e que podem facilmente sofrer mudanças ao longo do tempo.

As prioridades não se alinham com a segurança: É normal que empresas menores precisem alocar todo o seu foco na competitividade e nas operações diárias. Nas organizações sem fins lucrativos, esse desalinhamento também pode se manifestar como uma dificuldade para justificar gastos com segurança para os doadores.

MSPs estão sob pressão: Esse ponto é discutido mais a fundo em outra conversa com Tarah Wheeler. Provedores de serviços gerenciados (MSPs) já gastam um tempo considerável em tarefas de governança, risco e conformidade (GRC) para seus clientes, o que encarece os serviços. Se uma PME não pode pagar por sua própria segurança e MSPs oferecem uma solução igualmente custosa, muitas empresas podem acabar sem qualquer segurança.

O ato de comprar segurança é diferente para empresas menores

Quando empresas maiores adquirem software — especialmente soluções SaaS, software como serviço —, elas frequentemente precisam de todos os recursos oferecidos na versão ou plano mais caro oferecido pelo fornecedor. Com isso, elas também adquirem todos os recursos de segurança disponíveis.

Infelizmente, até recursos de segurança básicos são frequentemente exclusivos destas ofertas das quais as PMEs não necessitam, criando o que Kymberlee Price chamou de um imposto de segurança em uma palestra na LABSCon24. Ou seja, as PMEs que quiserem adquirir segurança precisam pagar esse "imposto", ainda que não precisem de outros recursos. Como exemplo, ela cita um site dedicado ao "imposto" do recurso de Single Sign-On (SSO). O SSO é estratégico para facilitar a implementação e melhorar a usabilidade da autenticação multifator (MFA), o que significa que empresas de qualquer tamanho podem aproveitá-lo.

Um fato interessante é que muitos fornecedores não revelam o preço para o suporte a SSO, exigindo que clientes entrem em contato para solicitá-lo — e isso se conecta à dificuldade das PMEs de montar orçamentos. No caso do SSO, o preço varia muito de um fornecedor para outro, e alguns até exigem um número mínimo de licenças para habilitar o recurso.

O modelo de precificação das plataformas de SaaS também pode incentivar práticas inseguras, como compartilhar senhas para evitar a aquisição de mais licenças do que o necessário.

A capacidade de criar e armazenar registros de atividades (logs) também é normalmente exclusiva ou aprimorada nas ofertas destinadas às corporações de grande porte. A agência de cibersegurança dos Estados Unidos (CISA) pressionou a Microsoft para que a empresa expandisse os logs de clientes que antes tinham apenas o recurso "padrão". A pressão funcionou porque agências do governo que estavam em planos melhores descobriram que hackers usaram uma chave roubada da própria Microsoft para acessar mensagens de e-mail do governo. Apesar de positiva, essa mudança foi possível apenas graças a um contexto muito específico e não representa uma mudança no setor como um todo.

O custo total para as pequenas e médias empresas pode ser ainda mais elevado pela impossibilidade de pagar pelos descontos disponíveis em planos anuais. Empresas maiores têm um fluxo de caixa maior e planejamento para pagar anualmente (ou até negociar preços menores pelo volume de licenças), o que deixa a cibersegurança proporcionalmente mais cara para organizações menores.

O que as grandes empresas devem fazer?

Como as PMEs desempenham o papel de fornecedores para empresas maiores e são fundamentais em suas comunidades, elas não são as únicas impactadas pelo risco de permanecer abaixo da linha de pobreza da segurança. Uma violação de segurança quase sempre prejudicará seus clientes de alguma forma, seja qual for o tamanho desse cliente.

Como parte de um programa de gestão de risco cibernético de terceiros (TPCRM), grandes corporações podem se manter conscientes a respeito dos desafios enfrentados por seus fornecedores de menor porte e oferecer uma garantia de que eles não se tornarão menos competitivos por investirem em segurança.

Em outras palavras, convém aplicar os princípios de Secure by Demand e encorajar os terceiros a serem transparentes a respeito do custo da segurança dos produtos e serviços que oferecem, orientando-os até que alcancem um nível mínimo de segurança.

Isso vai além das atribuições da equipe de segurança. É preciso, no mínimo, um alinhamento estreito com os times responsáveis pelo negócio e pela contratação de e escolha de fornecedores. Do contrário, os indícios referentes ao risco agregado por um fornecedor menos seguro ficarão de escanteio à medida em que privilegia-se as funcionalidades oferecidas e o baixo custo.

O programa de TPCRM pode ainda construir um clima cooperativo para que haja uma troca de conhecimento e ferramentas, especialmente quando estas últimas são mais baratas para organizações maiores. O Zanshin é capaz de checar os controles de segurança que estão em uso e de encontrar vários problemas comuns que muitas vezes passam despercebidos pelas empresas abaixo da "linha de pobreza" — além de muitos outros.

Isso garante que os fornecedores estão ativamente cuidando de sua rede e de seus ativos de TI e que eles não foram escolhidos apenas por terem deixado de lado a segurança para conseguir oferecer um preço menor.

Share
Latest Posts
Digital Nomads: Uma oportunidade única para o crescimento do profissional na Tenchi Security
Read more
A crescente exposição do setor de telecom ao risco cibernético de terceiros: o que é preciso saber
Read more
Principais tendências de 2025 na gestão de risco cibernético de terceiros
Read more