O ano começou e muita gente de férias, mas o vazamento de dados vem se tornando um fenônimo na cibersegurança. Empresas como Certisign e Tivit já iniciarem o ano apavoradas com os ataques sofridos de vazamentos de dados procurando esclarecer os fatos independente da root cause é hora de sentar e colocar em prática um belo plano de ação. Na realidade este plano já deveria ter sido pensado no final do ano passado, mas como a vida em cibersegurança é uma caixinha de surpresas o negócio é ficar atento.
Pensando sobre como foi o ano de 2018 com inúmeros casos de vazamentos de dados, logo está mais que claro que a era dos dados está chegando e definitivamente o dado é o maior ativo de valor de uma organização, e isto precisa ser bem medido e absorvido por todos, pois é o alvo dos criminosos, se existe a possibilidade de obter dinheiro então, este é um alvo quente. Sendo assim pensei em um erro que todo ser humano costuma cometer a cada ano, e isto se estende para a vida de um profissional de cibersegurança que deveria ser pensado e exterminado definitivamente, pois então abrindo o meu mindset, eis que veio a “procrastinação”.
Elimine a procrastinação da sua rotina -> Empurrar com a barriga, enrolar ou prorrogar algo talvez seja o maior vilão dos seus problemas. Não faça amanhã o que você pode ser feito hoje, é assim como o sábio pensa e ressalta: “remir o tempo, porque os dias são maus”. Não fazê-lo é segundo o sábio um sinal de que há algo presente e algo ausente. “Há vou deixar para depois do carnaval, agora é época de férias e desejo ficar um pouco mais tranquilo”, “Poxa vou deixar esta louça para depois”, “ou irei estudar para a certificação no segundo semestre”, porventura este seja o ponto vulnerável a se avaliar. Assim sendo pegue uma caneta, seu laptop ou iPad e escreva uma lista de ações para 2019 e estabeleça um road map para a cibersegurança e esboce algumas atividades, como por exemplo:
(i) Revisar a política de segurança.
(ii) Adaptar e implementar um framework de Cybersecurity como o NIST ou similar.
(iii) Revisar os ativos que processam, transmitem e armazenam dados sensíveis e/ou PII, seja para atender a LGPD, PCI-DSS ou orgãos regulatórios locais.
(iv) Experimente criar uma comitê de cybersecurity para reunir os principais sponsors e áreas envolvidas para fortificar a evangelização sobre o assunto.
(v) Não ignore a lista de third parties (fornecedores e provedores de cloud) e revise os críticos para garantir que os dados estão realmente protegidos.
(vi) Aplique uma campanha de segurança da informação e traga para perto seus parceiros e colaboradores.
(vii) Faça um pente fino nas soluções de segurança (DLP, antivirus, anti-malware, endpoint, WAF, IAM, etc) implementadas no ambiente e reveja se estão aderentes e prontos para a nova era da proteção de dados.
Como podem ver acima há 7 ações significativas a considerar em seu plano executivo de segurança da informação, mas não adianta ter Cloudflare, diversas soluções de segurança na cloud, estar na Azure, Google ou AWS se a política de complexidade de senha para acesso dos usuários ao portal é fraca. Em vista disso, fortaleça as extremidades com CASB e/ou dois fatores de autenticação e quanto mais robusto mais fechado estará o cerco.
Mencionei acima que a procrastinação é o grande vilão para colocar em ordem seu projeto de cibersegurança. Então sugiro que procure trabalhar contra o tempo, pois os criminosos então a todo vapor em busca de brechas com intuito de pescar a próxima vítima. Quem será o próximo alvo de vazamento de dados? Você! Creio que isto não faça parte de seus planos em 2019. Portanto, go ahead e inicie 2019 como todo o vapor.
A única certeza que temos é que o futuro é incerto, sei que esta é uma época que muitos descarregam suas baterias para não chegar ao bournout, claro que isto é necessário e você deve considerar um tempo para descansar e refletir, afinal não somos anjos e sim seres humanos sujeitos a falhas, mas existem boas medidas preventivas que podem nos levar a cultivar e ativar nosso cérebro a trabalhar acima da média. Experimente uma vida de emoções e surpresas diárias, afinal a profissão de segurança sempre será uma incógnita, mas a paixão pela segurança e a visão clara do projeto amenizam a sobrecarga.
* Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP