Ações de Segurança da Informação são fragilizadas por lacunas na governança de TI

Não faltam alternativas técnicas para mitigar a maioria dos incidentes, mas falhas banais continuam a ser exploradas pela ineficácia dos processos de monitoramento, tomada de decisão e falta de execução das estratégias de compliance e segurança

Compartilhar:

As razões da recente epidemia do ransonware WannaCry e do Petya, um tipo de DoS (ataque de negação de serviço), não surpreenderam usuários e gestores razoavelmente informados.

 

É fato que a atualização de sistema operacional, recomendação inicial de todas as listas de dicas que saem na mídia, como apego aplicações que atendem à atividade-fim. Ainda assim, há outras soluções para as vulnerabilidades, como refinar regras de firewall, segmentar a rede, IPSs e IDSs, e outras camadas de segurança. Tal como nesse ataque, outros focos de risco amplamente documentados continuam no radar do cibercrime. Mais do que explorar falhas no Windows ou no SQL, os agressores aproveitam os momentos em que foco se torna distração; ou seja, quando pressões do negócio deixam brechas para riscos de exploração dessas vulnerabilidades.

 

Também é fato que a demanda de projetos hoje sobrecarrega tanto as organizações corporativas quanto os grupos de TI, principalmente das médias empresas. Mesmo que tenham contado com investimentos em ferramental de segurança da informação, é difícil manter a cadência necessária a uma estratégia de gestão de ameaças. No mercado, há provedores competentes para resolver as necessidades de atualização de ferramentas, pessoal especializado, monitoramento e outros serviços gerenciados de segurança. Contudo, à medida que os serviços digitais ganham mais e mais peso nos negócios, as empresas precisam enfrentar os riscos operacionais – entre os quais os ciberataques – com uma visão estratégica da governança de TI.

 

As questões de segurança já são por si só complexas nos ambientes de data center ou de desenvolvimento das empresas. Tudo fica ainda mais complicado com a tendência de descentralização da TI, com departamentos protagonizando a contratação de serviços em nuvem ou de fábricas de software. É claro que as organizações não podem apostar tudo nas “melhores práticas” desses fornecedores, até porque em muitos casos sua responsabilidade é limitada. Nesse contexto, torna-se mais importante um acompanhamento profissional que seja não apenas abrangente, mas que tenha também um viés de auditoria. Ao mesmo tempo em que controla a execução das políticas e SLAs das áreas técnicas, a governança de TI tem o papel de conectar a agenda de segurança da informação à direção da companhia, para que se tenha uma gestão contínua, e com forte suporte interno, de riscos operacionais.

 

Uma visão orientada à governança de TI é também particularmente importante para se ter visibilidade e harmonizar conflitos. Por exemplo, além de cumprir um SLA de validação periódica de patches, cabe expor as razões de negócio que levaram determinado usuário a conservar um software vulnerável, até para se decidir conscientemente como endereçar o risco.

 

A cadência obtida com uma estratégia de governança de TI voltada à segurança tem como efeito uma aproximação das áreas de gestão de infraestrutura e aplicações com o tema da segurança e gestão de riscos. Com uma cultura de auditoria contínua, a governança, ao contrário de engessar, se torna habilitadora de novos serviços.

 

O episódio do WannaCry marcou tanto por implicar perdas extremamente tangíveis quanto por explorar uma falha conhecida desde o início do ano. E o malware hibernou tranquilo em dispositivos à sombra de qualquer gerenciamento. Certamente o susto fará com que alguns reforcem a fechadura, mas, por falta de uma visão contínua, venham a esquecer outras chaves sob o capacho.

 

Carlos Almeida é Head Managed Services da Service IT

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade no Google Cloud pode comprometer milhões de servidores, alerta Laboratório

Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização...
Security Report | Overview

“Como toda tecnologia, deepfake pode ser perigoso”, diz ex-CIO da Casa Branca

Theresa Payton, primeira mulher a assumir o cargo e especialista na defesa contra hackers, apontou como a tecnologia tem sido...
Security Report | Overview

Mascaramento de dados pode ajudar na proteção de dados e conformidade com LGPD?

O mascaramento de dados, que consiste em evitar ataques cibernéticos nas empresas ao substituir informações sensíveis por dados fictícios com...
Security Report | Overview

Agosto registrou mais de R$ 200 milhões em tentativas de fraude no e-commerce

Apesar da redução de 8,4% frente a 2023, o valor do ticket médio dos pedidos fraudulentos teve um aumento de...