Você já deve ter ouvido falar do livro “O Jogo Infinito¹”, que é baseado na filosofia que propõe uma nova forma de pensar a vida, o trabalho e a liderança. Seu autor Simon Sinek acredita que a maioria das pessoas e organizações tratam a vida como um jogo finito com regras claras, adversários claros e um resultado certo, e esta mentalidade leva os indivíduos a adotarem comportamentos competitivos, destrutivos e insustentáveis, que prejudicam o bem-estar coletivo e a inovação. Em contrapartida, o seu livro traz um olhar diferente, pois o autor acredita que a vida é um jogo infinito, sem limites, sem vencedores ou perdedores, apenas jogadores que entram e saem do jogo.
A mentalidade do jogo infinito nos faz entender que o objetivo não é vencer, mas sim continuar jogando. Isso vale para nossa vida pessoal e profissional. Mas onde a mentalidade de jogos infinitos se encaixa, dentro do mercado de tecnologia?
Bom, primeiro vamos entender o que é um jogo infinito. Um jogo infinito é um jogo sem final claro, sem regras fixas e sem critérios claros para vitória ou derrota, os jogadores em jogos infinitos não procuram vencer, mas sim continuar a jogar, adaptando-se às mudanças e desafios que surgem.
No mercado de tecnologia, esta mentalidade tem relação direta ao contexto de Resiliência de Dados versus as atuais ameaças de cibersegurança. O dia a dia de empresas que tem os dados como seu principal ativo e com impacto direto na operação do seu negócio (ou seja, 100% delas), tornou-se um jogo infinito. No jogo infinito da cibersegurança, no caso do seu adversário, você não sabe quais são as regras, os recursos aplicados, o tempo dedicado e nem quem são os jogadores. Neste cenário, a filosofia de jogo infinito reflete sobre o antifrágil e como isso nos ajuda a criar sistemas de dados mais poderosos e adaptáveis ao cenário das ameaças atuais, sejam de ordem natural ou cibernéticas. As empresas devem aprender a se beneficiar do caos, da incerteza e do estresse, para tornarem seus sistemas resistentes e resilientes a todos os tipos de ameaças ou ocasiões.
A principal preocupação dos times de infraestrutura, era de que seus sistemas precisavam ser recuperáveis para ameaças de ordem natural, é o conceito de recuperação de desastres. Atualmente, além da recuperação para desastres os sistemas também precisam estar prontos para a recuperação de ataques cibernéticos e serem resilientes.
Há uma grande diferença, no que se refere a recuperação de desastres e recuperação de ataques cibernéticos. Em uma recuperação de desastres, você tem os famosos RPO/RTO conhecidos e definidos pelo negócio, seu ponto de recuperação é conhecido, a natureza da ameaça é conhecida (inundação, energia ou clima). Seu impacto é regional, você se recupera através da restauração de seus dados dentro da topologia dos seus datacenters. A restauração impacta todo o seu volume de dados, ou uma grande quantidade, mas a probabilidade de isto ocorrer com frequência é baixa.
No caso de recuperação de um ataque cibernético, você não conhece o seu ponto no tempo, antes de executar um RPO/RTO você precisa verificá-lo e testá-lo primeiro, a natureza do ataque pode ser financeira ou política. O Impacto é global e você tem que avaliar sua recuperação com base na situação em que se encontra, se recupera toda a empresa (que pode levar dias/semanas) ou se torna a empresa minimamente viável para operar (levando horas ou dias). Como o ataque é isolado e visa dados importantes e vitais, você não sabe quais podem ser recuperados, sua topologia de infraestrutura é irrelevante neste caso, e a probabilidade de eles ocorrerem é alta.
Bem-vindo aos jogos infinitos! Você somente terá um ambiente de dados resiliente, se estiver preparado para as duas situações. Com o agravante de que a superfície para ataques cibernéticos sempre será maior, considerando que 03 elementos sempre precisarão trabalhar juntos, que são as Pessoas, os Processos e a Tecnologia. O mercado de cibersegurança nos apresenta inúmeras soluções, com apoio de IA/ML, mas o atacante tem acesso as mesmas ferramentas que nós e está bem familiarizado com a filosofia dos jogos infinitos, ele tem todo o tempo do mundo.
Como aplicar esses conceitos à resiliência de dados?
A resiliência de dados é a capacidade de um sistema de dados manter sua funcionalidade, integridade e disponibilidade diante de falhas, ataques ou desastres. Um sistema de dados resiliente é aquele que pode se recuperar rapidamente de qualquer interrupção, e que pode se adaptar às mudanças nas demandas, nas tecnologias e nos ambientes. Para criar sistemas de dados mais resilientes, podemos nos inspirar nos princípios dos jogos infinitos, buscando as seguintes características:
- Diversidade: usar diferentes fontes, formatos, plataformas e ferramentas de dados, para evitar a dependência de um único recurso ou fornecedor.
- Redundância: ter várias cópias de segurança para diferentes tipos de recuperação, com planos de contingência e rotas alternativas de dados para diferentes tipos de aplicações, para evitar a perda ou a corrupção de informações. Imprescindível que sejam imutáveis e “indeletáveis”.
- Modularidade: dividir o sistema de dados em componentes independentes e intercambiáveis, que possam ser facilmente substituídos ou atualizados.
- Automação: usar algoritmos, inteligência artificial e machine learning para monitorar, analisar e otimizar o desempenho, a segurança e a qualidade dos dados.
- Inovação: explorar novas formas de coletar, processar, armazenar, compartilhar e visualizar os dados, para gerar mais valor e conhecimento.
Não existe uma bala de prata que tornará o seu ambiente resiliente, você deve se apoiar em inúmeras soluções que estejam em sintonia com o framework do NIST, que consiste em padrões, diretrizes e práticas recomendadas para ajudar as organizações a melhorar seu gerenciamento de riscos de segurança e recuperação em caso de ataque cibernético ou de desastres, proporcionando maior resiliência de dados. Você deve ter como objetivo tornar seu ambiente aderente ao conceito do “Minimum Viable Company (MVC)”, que se trata de uma estratégia de negócio que tem como objetivo, fazer com que uma empresa tenha o mínimo de recursos necessários para atender às necessidades do mercado e dos clientes, dentro do menor tempo possível. E isto é algo que as ferramentas mais modernas de proteção e recuperação de dados, já estão preparadas para apoiá-lo.
Seus times de infraestrutura precisam estar preparados para os jogos infinitos, e alinhados com uma estratégia MVC, somente desta forma sua empresa estará alinhada com estes novos desafios do mercado. O Grupo Lume, junto com parceiros líderes em tecnologias de proteção e recuperação de dados, está pronto para apoiá-lo em construir soluções que atendem os principais elementos desta estratégia.
O Jogo Infinito já está acontecendo, vamos entrar em campo juntos?
¹SINEK, Simon. O Jogo Infinito. Ed. Sextante, 1ª edição, 27 de fevereiro de 2020.