Ouvi uma frase de um grande líder que admiro dizendo: “O problema não é a tempestade, mas a potência que seu barco tem, pois o barco não afunda com a água que está fora, mas com a água que está dentro”, logo me fez pensar como poderia fazer essa relação com os vazamentos de dados ocorridos nos últimos meses.
Olhando por outra ótica, o problema não está nos ataques hackers, mas nas vulnerabilidades, na ausência de recursos e de controles capazes de suportar uma tempestade. Não adianta focar somente no objetivo em achar culpados por um erro de vazamento de dados. Isso é importante para o processo de incidente de segurança? Certamente que sim, mas seus olhos e concentração precisam estar nas medidas que podem trazer confiança e sobrevivência neste tempo de desespero.
Recentemente, um hacker sincero invadiu a página do Sistema Único de Saúde (SUS) e prescreveu o seguinte recado “arrumem esse site porco”. O hacker criticou a segurança tecnológica do website mandando o tal recado para os responsáveis e ainda deliberou uma crítica para a ANPD “como vocês deixaram este website ir para o ar??? – Se for começar deste jeito podem parar e devolver o nosso dinheiro”. A outra parte interessante foi a crítica feita aos grupos de hackers que costumam vender dados na deep web e acrescentou “o custo para arrumar isto vai sair do seu bolso”.
De fato, é uma plena verdade tal crítica. Por um lado, a imprudência por não corrigir a falha, por outro, os fraudadores aproveitando do conhecimento para usurpar do quesito financeiro.
Evidente que a LGPD foi criada com objetivo de proteger os dados pessoais dos brasileiros, mas temos que reconhecer que, desde que foi criada, a regulamentação ainda está em processo lento de implementação no que tange auditoria e monitoramento, além de outros fatores importantes. Em minha opinião, é importante que haja mais ação, não somente a formação de especialistas no assunto.
Não estou dizendo que treinamento e capacitação não sejam importantes, mas estou indicando que não adianta ter certificações e treinamentos se a conscientização diante do conselho das organizações não faz parte do processo e do cumprimento da lei e se o monitoramento não é robusto.
Temos como exemplo casos de excelentes trabalhos como o do Banco Central, que monitora instituições financeiras, corretoras e membros que fazem parte do Sistema Brasileiro de Pagamentos (SPB). Vejamos até o caso do PCI-DSS, que tem feito um trabalho excepcional quanto ao mercado de cartão de crédito que foi aberto no Brasil em meados de 2009, garantindo maior competitividade e benefícios para o usuário final.
Em meados do ano 2000, foi muito visível o fortalecimento da estrutura do Internet Banking, que passou por tempestades naquela época, mas se tornou um exemplo de modelo, talvez o mais seguro do mundo. Mas é lógico que os ares são novos também no setor financeiro, como a migração das aplicações e transações para cloud, além do mobile, que tem exigido uma nova postura de governança pelas instituições financeiras.
Novos ares
Mas chegou a hora de despertar para o novo, um próximo nível de maturidade e governança em cibersegurança. Ou seja, para governar precisamos entender o princípio da proteção de dados na “confidencialidade”, “integridade” e “disponibilidade” casado com o conceito de classificação e proteção.
Retornando ao que comentei no início deste artigo, o problema não está sobre a ótica dos ataques hackers, mas nas vulnerabilidades que estão no barco, na ausência de recursos e controles capazes de suportar perante uma tempestade.
As melhores soluções da história sempre foram descobertas mediante um problema árduo e isso revela e denota que a real situação que o Brasil e o mundo está enfrentando é uma grande oportunidade para criar e colocar em prática os recursos que estão à frente. A solução está à porta, bata que ela se abrirá!!!
Vejamos então uma lista de pontos a se pensar:
– Faça o básico da segurança e proteja o dado: classifique os dados, tenha uma norma de classificação, expanda a abordagem da proteção e privacidade com conscientização entre os colaboradores, determine responsabilidades e implemente um processo de gestão de risco;
– Conheça o terreno e as soluções de segurança, esteja antenado, ouça podcasts sobre o tema, participe de roda de discursões, etc;
– Aplique uma rotina de avaliação de segurança no SDLC, com DAST, SAST, DevSecOps, code review, pen testing, e bug bounty program;
– Invista na evangelização de conhecimento no desenvolvimento de segurança em código com os desenvolvedores. Isso é crucial;
– Criptografia é essencial, mas procure estar atento os algoritmos usados se estão de acordo com o NIST, tenha um standard de criptografia atualizado e comunique internamente;
– Execute e aplique patch management e hardening e não negligencia este processo;
– Utilize MFA, fortifique a camada de autenticação com APIs e logins em aplicações e respectiva arquitetura em camada.
– Teme ao third party risk management e gestão de risco em todas as esferas. Eleve ao comitê de risco se for necessário e busque envolvimento dos executivos;
– Tenha uma postura resiliente e firme diante das cobranças e cumprimento dos objetivos;
– Renove sempre que necessário com soluções inovadoras que ajudem com a oversight do ambiente (indicadores, KPIs, EDRs com IA, WAF, SIEM, SASE etc);
– Monitoramento do acesso remoto com recursos para BYOD;
– Usufrua dos frameworks de segurança OWASP, NIST, ISO 2700x, COBIT, CIS, etc;
– Realize uma análise de gaps anualmente e tenha um ponto de vista com olhos externos, mitigue o vício da procrastinação e do “confortável”;
– Aprofunde nos conhecimentos e responsabilidades compartilhadas nos ambientes de SaaS/PaaS/IaaS;
– Não podemos ignorar os planos de BCP e DRP para aplicações críticas para a sua sobrevivência, assim com estratégia no ambiente de cloud;
– Reporte e mantenha os executivos informado sobre os status da segurança com indicadores, KPIs, etc.
Lembre-se que o problema não está na tempestade de um ataque, mas como você a enxerga e estabelece os controles no ambiente. Isso irá determinar o futuro da organização e status de sua reputação. Parece simples, mas literalmente não é fácil e por isso a integração entre a visão da governança corporativa com a gestão da segurança da informação fará muita diferença.
Por Rangel Rodrigues: (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.