A batalha contra os cibercriminosos continua

Diversas empresas ainda se veem enfrentando falsas sensações de Segurança, motivadas por uma infinidade de soluções de ponta adquiridas pelos times de Cyber e controles mitigatórios ainda pouco disseminados entre os departamentos. Segundo o BISO, Rangel Rodrigues, mudar essa percepção errônea requer formação dedicada de uma cultura Cibernética entre os funcionários e lideranças

Compartilhar:

Por Rangel Rodrigues*

Há mais de duas décadas temos visto a importância da Segurança da Informação no contexto corporativo, embora ainda seja comum algumas organizações negligenciarem este tema. Achar que está seguro pode ser algo temporário, portanto, é necessário atitude para se manter seguro. Às vezes, a organização só terá uma chance para assegurar a proteção dos seus ativos e negligenciá-la pode ser o suficiente para sofrer um ciberataque.

 

O fato de se ter ferramentas avançadas, com um toque e Artificial Intelligence (AI), não é garantia que o ataque cibernético nunca ocorrerá. Da mesma forma, a existência de controles mitigatórios também não garante proteção total. A meu ver, as empresas procuram profissionais resilientes, o que enseja algumas perguntas a serem respondidas: O quanto estamos preparados para agir diante um ataque cibernético de ransomware? Para ser resiliente, é preciso já ter vivenciado um incidente de segurança? Qual a nossa capacidade de lidar com a frustração? Qual seria o principal mindset para ganhar a batalha contra os cibercriminosos?

 

Eu diria que as respostas envolvem um conjunto de ações e atividades de segurança conectados e alinhados com os executivos e a cultura da organização. Infelizmente, algumas empresas só entendem a importância do setor depois do incidente cibernético, e, por hora, creio que algumas não irão mudar.

 

De nada adianta ter no ambiente boas ferramentas com recursos avançados, mas o básico de Segurança não está sendo feito. Em princípio, é necessário entender o valor dos ativos e da informação, e priorizar o mais importante e crítico. Contudo, considerando que todo ativo tem algum valor para a empresa, mesmo o que não é tão relevante não pode ser negligenciado.

 

Threat intelligence, monitoramento e melhoria contínua são fatores igualmente ricos para sobrevivência da organização, e devem ser focados na perspectiva de Cibersegurança como forma de determinar o resultado futuro dos ativos protegidos.

 

Nestes 20 anos atuando em cyber risk, tenho notado que muitas organizações forçam a aquisição de produtos e implementação de soluções robustas, sem ter o conhecimento preciso sobre o que realmente precisa proteger.  Antes de elencar alguns fatores essenciais de riscos, os profissionais de Cyber devem cultivar a mente de um hacker, entendendo os mesmos pensamentos.

 

Ressalto que esta é uma opinião minha: sempre quando executei uma análise de risco para uma situação específica durante o levantamento e entendimento do cenário, a minha mente já imaginava uma situação de ciberataque, avaliando como poderia acontecer, onde poderia ser explorado e o resultado do impacto. É uma forma que utilizo para analisar os possíveis cenários.

 

Entretanto, elenco também alguns dos fatores que requerem atenção. Talvez esta seja a chave para construir um melhor cenário dentro da sua organização, elevando a maturidade de Segurança da Informação:

 

  • Formar de profissionais de Cyber com um mindset crítico sobre os cenários de ameaças, sendo articulados e resilientes;

 

  • Vencer a pecha de roadblock da SI e permitir agilidade e assegurando a proteção dos produtos e serviços da organização;

 

  • Transformar a função de Cyber risk como um risco do Negócio e da organização, não apenas um problema de Segurança;

 

  • Trabalhar fortemente na cultura da organização, trazendo uma visão holística sobre a importância da área para o business, independentemente da estrutura;

 

  • Expor o CISO como um facilitador do Cyber Risk Management, muito além do mero papel de prevenir brechas de Segurança;

 

  • Evitar a antecipação na compra de soluções de Segurança. Antes, garanta o básico, mapeando, priorizando e visualizando a arquitetura do ambiente, as aplicações críticas, os requerimentos regulatórios e findings abertos;

 

  • Desenvolver uma arquitetura do ambiente, exigindo um desenho de arquitetura para toda a aplicação, aplicando threat modeling, classificando a informação e as aplicações ao nível de criticidade e definindo os requerimentos de segurança;

 

  • Evitar a negligência da Segurança em on-premises e cloud. A cloud traz soluções e respostas para muitos dos problemas em um datacenter tradicional, mas é necessário gestão financeira e capacitação em cloud technology;

 

  • usar cases reais de incidentes para implementar uma cultura madura com a influência e ajuda dos executivos. Caso a sua organização não esteja suportada por regulamentação, como finanças, saúde e cartão de crédito, esta é uma boa estratégia;

 

  • Usar Cyber Risk Management para ajudar significativamente as organizações a mitigarem e resolverem riscos de Segurança, especialmente através destes pontos:
    • Implemente uma cultura de Segurança da Informação;
    • Defina uma estratégia de cyber risk management;
    • Defina uma visão, metas estratégicas, objetivos e métricas;
    • Entenda quem são os principais threat actors e métodos de ataques;
    • Mapeie os ativos críticos de negócios por meio do BIA ou risk assessment;
    • Defina um programa de governança em Cibersegurança;
    • Defina controles e tecnologias que podem proteger os ativos da organização;
    • Segurança deve ser considerada sempre no início de um projeto e/ou desenvolvimento de uma nova aplicação e não depois quando já está em produção;
    • Faça considerações para as questões regulatórias, jurídicas, legais, etc.;
    • Defina e implemente um incident response plan ativo para gerir ocorrências e lições aprendidas na organização.

 

Embora pareça fácil seguir à risca os pontos acima, sabemos que isso não corresponde à prática. Ainda assim, é possível atingir resultados similares com muita dedicação. Vejo que uma estratégia de Cyber Risk Management Plan é um fator-chave para sucesso na gestão da Cibersegurança. Lembre-se que existem diversos caminhos, frameworks e standards, mas nosso papel é entender a melhor e mais eficaz estratégia para o nosso caso.

 

Não importa o caminho escolhido, a mudança de mindset é mandatória para vencer a batalha contra os cibercriminosos, pois este é um adversário que nunca irá desistir. Segundo um dos provérbios de Salomão, o cavalo deve ser preparado para a batalha. Para nós em Cyber, não é diferente.

 

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSP, CCSK, CCISO, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, é BISO para a uma empresa financeira nos Estados Unidos.

Conteúdos Relacionados

Security Report | Colunas & Blogs

O efeito borboleta para a segurança cibernética holística

Assim como a teoria de consequências graves podem vir até mesmo das causas mais simples, problemas de Segurança e infraestrutura...
Security Report | Colunas & Blogs

Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?

Dialogar e se comunicar com clareza e precisão têm se tornado demandas crescentes na vida dos CISOs, uma vez que...
Security Report | Colunas & Blogs

O Burnout Silencioso dos CISOs

Cada vez mais pesquisas de instituições relevantes apontam um processo acentuado de exaustão por parte dos Líderes de Segurança em...
Security Report | Colunas & Blogs

O CISO Polímata

É perceptível para todos os profissionais de Cyber que o papel do CISO atual precisa ir muito além do mero...