Tenho pensado sobre como eu poderia descrever o pensamento de um Security Officer. Logo imaginei em algo como Frameworks, Governança, Operações de Segurança, Educação, Threat Inteligence, Gerenciamento de Risco, Arquitetura, etc. Para quem conhece a história do Simba, personagem do filme Rei Leão, mostra que a sua maior ameaça foi sempre o seu tio Scar, que acabou armando uma cilada e matando o seu pai, Mufasa, e o expulsou da sua terra para um local bem longe, mas foi ali, naquela terra distante, em um momento oportuno, que ele reconheceu o seu propósito e que ele foi feito para governar.
Em outras palavras, como diz o sábio: o seu maior potencial de governo está estampado dentro de você e quando você entende e resgata a sua identidade passa a governar. Todo líder foi feito para governar e na realidade corporativa se você recebeu uma atribuição para gerir um projeto ou uma área de segurança, não importa qual seja o tamanho da ameaça, mas é a sua capacidade de agir contra situações críticas que conta e onde é preciso o senso de urgência e resiliência.
Para muitos líderes de segurança, alguns temas têm aterrorizado as suas noites sem sono, seja um ataque de ransomware, phishing, vazamento de dados interno ou em cloud. O advento da transformação digital com as novas tecnologias, como IoT no campo da saúde, têm sido algo muito discutido, como aconteceu em uma recente conferência de segurança que participei, quando dois pesquisadores americanos apresentaram um ataque de replay em uma bomba de insulina no qual eles interceptavam os pacotes de dados e detinham acesso e controle total do dispositivo, um risco para as crianças que usam este tipo de dispositivo.
Porém, a meu ver, existem outros fatores que também são relevantes e não são bem visualizados por alguns CSOs. Por isso, gostaria de esmiuçar abaixo algumas ameaças obscuras e às vezes negligenciadas:
Seja um bom vendedor -> Se não tiver um patrocinador no C-level enxergando a segurança como um investimento, seu plano poderá ser engavetado e falido com o tempo. Você pode até iniciar o projeto de cibersegurança, mas não conseguirá elevar a cultura de segurança se não houver o suporte top down.
Torne o CIO, CRO e/ou CTO seus parceiros e não inimigos -> Dependendo do formato da sua empresa, a parceria com estes executivos é primordial para o sucesso do projeto. Por isso, volto a ressaltar que ser articulado e ter uma boa comunicação para ser capaz de estabelecer relacionamentos como um conselheiro confiável, com diferentes linhas de negócio traduzindo a segurança técnica com os objetivos de negócios e alavancando a importância da gestão de risco em segurança da informação, deve ser promovida por todos.
Ausência de um comitê de segurança -> Há alguns anos atrás eu tive uma experiência como Security Officer em uma empresa de BPO, depois de elaborar o plano de gestão de segurança da informação e buscar o apoio do CIO, VPs das linhas negócio e do CEO. Contudo, a criação de um comitê de segurança envolvendo representantes das principais áreas foi um fator para impulsionar o crescimento da cultura de segurança, uma vez que em pouco mais de seis meses os líderes de outras áreas me procuravam para compartilhar as suas preocupações com a proteção dos dados. Em suma, a ausência de um comitê pode ser outra ameaça que poderá não contribuir para o desenvolvimento do seu projeto de cibersegurança.
Parcerias com Recursos Humanos, Segurança Patrimonial ou Facilities, Jurídico e Compras -> Proteção de dados é valioso para as organizações, incluindo a privacidade da informação, quando se pensa em parceiros de negócios e provedores de serviços – inclusive a “nuvem”-, é primordial para manter um processo de gestão de segurança em provedores de serviços. Isso significa que é preciso mapear este processo envolvendo o RH, Segurança Patrimonial, Jurídico e principalmente o departamento de Compras, estabelecer um fluxograma que envolva a de área segurança da informação para mapear estes gatinhos que aparecem em reuniões com as áreas de negócios para que você possa proteger a reputação da sua empresa. Mas, infelizmente, ainda é comum encontrar empresas que não executam um processo semelhante.
Treinar e tornar parceiros os colaboradores -> Acima de tudo lidamos com pessoas. Por isso, técnicas de psicologia devem ser aplicadas no sentido de evangelizar os conceitos de cibersegurança em preocupações como phishing, ransomware, engenharia social e proteção da privacidade. A mente humana é como fosse a memória RAM, todos os eventos são gravados em espaços na memória e nada pode ser apagado. No entanto, esses processos podem ser editados. Dessa forma, um hábito de um colaborador propício a clicar em um e-mail phishing pode ser evitado por meio de palestras de conscientização destes conceitos com os colaboradores. Além de criar um representante de segurança em cada área, essa ação é uma estratégia fundamental para expandir a importância deste material para todos da organização, mostrando que são responsáveis e fazem parte do processo. Podemos ter todos os recursos em mãos, mas se não aplicarmos uma conscientização, o funcionário pode se transformar num vilão contra a cultura, na qual você deve implantar.
Ausência de recursos tecnológicos -> Embora já saibamos que a necessidade de recursos tecnológicos é essencial para o projeto do Security Officer, sem essas ferramentas não será possível alcançar o pico do Everest. Todo alpinista que deseja escalar e chegar ao topo da montanha precisa se preparar, treinar, ter oxigênio suficiente, equipamentos de segurança, alimento e água, material adequado, etc. Caso contrário, pode estar caminhando para o vale da morte. Portanto, possuir soluções como EDR, NGAV, WAF, SIEM, MFA, APT, User Behavior Analylics, criptografia para dados sensíveis, CASB, soluções de virtual patching com Deep Security, quando se trata de cloud, é uma questão de sobrevivência. Estou abordando aqui soluções específicas para a segurança cibernética, inúmeras no mercado. O ponto é escolher qual é a mais adequada para seu ambiente.
Neste contexto e com base em avaliações realizadas, vivência neste campo e analisando diversos relatórios de ameaças dos principais players de segurança cibernética e trocando experiências com outros profissionais, concluo que a lista abaixo seja talvez os maiores desafios para os líderes e profissionais de segurança e todos devem ter em mente e precisam encarar:
- Alinhamento estratégico da segurança com a visão do negócio;
- Assegurar um processo de gerenciamento de risco eficaz integrado com a política de segurança;
- Ter recursos tecnológicos capazes de proteger sua empresa contra ataques cibernéticos;
- Evitar a perda e vazamentos de dados e assegurar a proteção da privacidade, garantindo a conformidade com regulamentações;
- Redução de custo na cloud pode parecer um fantasma, pois a nuvem exige a implementação de soluções que usam machine learning e inteligência artificial para proteger a tal complexidade do ambiente.
Evidente que ao longo das últimas semanas foi explicito na mídia o vazamento de dados em instituições financeiras e empresas como British Airways, multada em 183 milhões de libras esterlinas devido a vazamento de dados à GDPR. Embora tudo indique que a adequação às regulamentações – como a LGPD no Brasil – e o vazamento de dados em nuvem têm sido um pesadelo para os CISOs, as empresas ainda pecam em imaturidade, pois falham em processos básicos como a atualização de patchs e configurações seguras, uma vez que algumas empresas não entenderam a responsabilidade compartilhada entre o cliente e o provedor de cloud. Mesmo que seja um ambiente on premise, a luta contra o tempo das empresas em manterem-se atualizadas versus as ameaças como Zero Day têm sido os maiores vilões, posto que o uso de machine learning e inteligência artificial apontam ser a chave para se proteger contra os bad guys. Então, fica a pergunta: estamos preparados para um ecossistema nesta era da transformação digital mantendo a orquestração da segurança com kubernetes em containers e o landscape de IoT?”.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP