Ações de Segurança da Informação são fragilizadas por lacunas na governança de TI

Não faltam alternativas técnicas para mitigar a maioria dos incidentes, mas falhas banais continuam a ser exploradas pela ineficácia dos processos de monitoramento, tomada de decisão e falta de execução das estratégias de compliance e segurança

Compartilhar:

As razões da recente epidemia do ransonware WannaCry e do Petya, um tipo de DoS (ataque de negação de serviço), não surpreenderam usuários e gestores razoavelmente informados.

 

É fato que a atualização de sistema operacional, recomendação inicial de todas as listas de dicas que saem na mídia, como apego aplicações que atendem à atividade-fim. Ainda assim, há outras soluções para as vulnerabilidades, como refinar regras de firewall, segmentar a rede, IPSs e IDSs, e outras camadas de segurança. Tal como nesse ataque, outros focos de risco amplamente documentados continuam no radar do cibercrime. Mais do que explorar falhas no Windows ou no SQL, os agressores aproveitam os momentos em que foco se torna distração; ou seja, quando pressões do negócio deixam brechas para riscos de exploração dessas vulnerabilidades.

 

Também é fato que a demanda de projetos hoje sobrecarrega tanto as organizações corporativas quanto os grupos de TI, principalmente das médias empresas. Mesmo que tenham contado com investimentos em ferramental de segurança da informação, é difícil manter a cadência necessária a uma estratégia de gestão de ameaças. No mercado, há provedores competentes para resolver as necessidades de atualização de ferramentas, pessoal especializado, monitoramento e outros serviços gerenciados de segurança. Contudo, à medida que os serviços digitais ganham mais e mais peso nos negócios, as empresas precisam enfrentar os riscos operacionais – entre os quais os ciberataques – com uma visão estratégica da governança de TI.

 

As questões de segurança já são por si só complexas nos ambientes de data center ou de desenvolvimento das empresas. Tudo fica ainda mais complicado com a tendência de descentralização da TI, com departamentos protagonizando a contratação de serviços em nuvem ou de fábricas de software. É claro que as organizações não podem apostar tudo nas “melhores práticas” desses fornecedores, até porque em muitos casos sua responsabilidade é limitada. Nesse contexto, torna-se mais importante um acompanhamento profissional que seja não apenas abrangente, mas que tenha também um viés de auditoria. Ao mesmo tempo em que controla a execução das políticas e SLAs das áreas técnicas, a governança de TI tem o papel de conectar a agenda de segurança da informação à direção da companhia, para que se tenha uma gestão contínua, e com forte suporte interno, de riscos operacionais.

 

Uma visão orientada à governança de TI é também particularmente importante para se ter visibilidade e harmonizar conflitos. Por exemplo, além de cumprir um SLA de validação periódica de patches, cabe expor as razões de negócio que levaram determinado usuário a conservar um software vulnerável, até para se decidir conscientemente como endereçar o risco.

 

A cadência obtida com uma estratégia de governança de TI voltada à segurança tem como efeito uma aproximação das áreas de gestão de infraestrutura e aplicações com o tema da segurança e gestão de riscos. Com uma cultura de auditoria contínua, a governança, ao contrário de engessar, se torna habilitadora de novos serviços.

 

O episódio do WannaCry marcou tanto por implicar perdas extremamente tangíveis quanto por explorar uma falha conhecida desde o início do ano. E o malware hibernou tranquilo em dispositivos à sombra de qualquer gerenciamento. Certamente o susto fará com que alguns reforcem a fechadura, mas, por falta de uma visão contínua, venham a esquecer outras chaves sob o capacho.

 

Carlos Almeida é Head Managed Services da Service IT

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

F5 pretende comprar organização de segurança de IA empresarial 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...
Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...