As ameaças cibernéticas nas organizações

Na visão de Rangel Rodrigues, advisor em Segurança da Informação, vazamento de dados impacta significativamente as organizações. Para ele, o problema não está no ataque, mas em como o CISO enxerga e estabelece os controles necessários, com integração entre visão corporativa e gestão do ambiente

Compartilhar:

Ouvi uma frase de um grande líder que admiro dizendo: “O problema não é a tempestade, mas a potência que seu barco tem, pois o barco não afunda com a água que está fora, mas com a água que está dentro”, logo me fez pensar como poderia fazer essa relação com os vazamentos de dados ocorridos nos últimos meses.

Olhando por outra ótica, o problema não está nos ataques hackers, mas nas vulnerabilidades, na ausência de recursos e de controles capazes de suportar uma tempestade. Não adianta focar somente no objetivo em achar culpados por um erro de vazamento de dados. Isso é importante para o processo de incidente de segurança? Certamente que sim, mas seus olhos e concentração precisam estar nas medidas que podem trazer confiança e sobrevivência neste tempo de desespero.

Recentemente, um hacker sincero invadiu a página do Sistema Único de Saúde (SUS) e prescreveu o seguinte recado “arrumem esse site porco”. O hacker criticou a segurança tecnológica do website mandando o tal recado para os responsáveis e ainda deliberou uma crítica para a ANPD “como vocês deixaram este website ir para o ar??? – Se for começar deste jeito podem parar e devolver o nosso dinheiro”. A outra parte interessante foi a crítica feita aos grupos de hackers que costumam vender dados na deep web e acrescentou “o custo para arrumar isto vai sair do seu bolso”.

De fato, é uma plena verdade tal crítica. Por um lado, a imprudência por não corrigir a falha, por outro, os fraudadores aproveitando do conhecimento para usurpar do quesito financeiro.

Evidente que a LGPD foi criada com objetivo de proteger os dados pessoais dos brasileiros, mas temos que reconhecer que, desde que foi criada, a regulamentação ainda está em processo lento de implementação no que tange auditoria e monitoramento, além de outros fatores importantes. Em minha opinião, é importante que haja mais ação, não somente a formação de especialistas no assunto.

Não estou dizendo que treinamento e capacitação não sejam importantes, mas estou indicando que não adianta ter certificações e treinamentos se a conscientização diante do conselho das organizações não faz parte do processo e do cumprimento da lei e se o monitoramento não é robusto.

Temos como exemplo casos de excelentes trabalhos como o do Banco Central, que monitora instituições financeiras, corretoras e membros que fazem parte do Sistema Brasileiro de Pagamentos (SPB). Vejamos até o caso do PCI-DSS, que tem feito um trabalho excepcional quanto ao mercado de cartão de crédito que foi aberto no Brasil em meados de 2009, garantindo maior competitividade e benefícios para o usuário final.

Em meados do ano 2000, foi muito visível o fortalecimento da estrutura do Internet Banking, que passou por tempestades naquela época, mas se tornou um exemplo de modelo, talvez o mais seguro do mundo. Mas é lógico que os ares são novos também no setor financeiro, como a migração das aplicações e transações para cloud, além do mobile, que tem exigido uma nova postura de governança pelas instituições financeiras.

Novos ares

Mas chegou a hora de despertar para o novo, um próximo nível de maturidade e governança em cibersegurança. Ou seja, para governar precisamos entender o princípio da proteção de dados na “confidencialidade”, “integridade” e “disponibilidade” casado com o conceito de classificação e proteção.

Retornando ao que comentei no início deste artigo, o problema não está sobre a ótica dos ataques hackers, mas nas vulnerabilidades que estão no barco, na ausência de recursos e controles capazes de suportar perante uma tempestade.

As melhores soluções da história sempre foram descobertas mediante um problema árduo e isso revela e denota que a real situação que o Brasil e o mundo está enfrentando é uma grande oportunidade para criar e colocar em prática os recursos que estão à frente. A solução está à porta, bata que ela se abrirá!!!

Vejamos então uma lista de pontos a se pensar:

– Faça o básico da segurança e proteja o dado: classifique os dados, tenha uma norma de classificação, expanda a abordagem da proteção e privacidade com conscientização entre os colaboradores, determine responsabilidades e implemente um processo de gestão de risco;

– Conheça o terreno e as soluções de segurança, esteja antenado, ouça podcasts sobre o tema, participe de roda de discursões, etc;

– Aplique uma rotina de avaliação de segurança no SDLC, com DAST, SAST, DevSecOps, code review, pen testing, e bug bounty program;

– Invista na evangelização de conhecimento no desenvolvimento de segurança em código com os desenvolvedores. Isso é crucial;

– Criptografia é essencial, mas procure estar atento os algoritmos usados se estão de acordo com o NIST, tenha um standard de criptografia atualizado e comunique internamente;

– Execute e aplique patch management e hardening e não negligencia este processo;

– Utilize MFA, fortifique a camada de autenticação com APIs e logins em aplicações e respectiva arquitetura em camada.

– Teme ao third party risk management e gestão de risco em todas as esferas. Eleve ao comitê de risco se for necessário e busque envolvimento dos executivos;

– Tenha uma postura resiliente e firme diante das cobranças e cumprimento dos objetivos;

– Renove sempre que necessário com soluções inovadoras que ajudem com a oversight do ambiente (indicadores, KPIs, EDRs com IA, WAF, SIEM, SASE etc);

– Monitoramento do acesso remoto com recursos para BYOD;

– Usufrua dos frameworks de segurança OWASP, NIST, ISO 2700x, COBIT, CIS, etc;

– Realize uma análise de gaps anualmente e tenha um ponto de vista com olhos externos, mitigue o vício da procrastinação e do “confortável”;

– Aprofunde nos conhecimentos e responsabilidades compartilhadas nos ambientes de SaaS/PaaS/IaaS;

– Não podemos ignorar os planos de BCP e DRP para aplicações críticas para a sua sobrevivência, assim com estratégia no ambiente de cloud;

– Reporte e mantenha os executivos informado sobre os status da segurança com indicadores, KPIs, etc.

Lembre-se que o problema não está na tempestade de um ataque, mas como você a enxerga e estabelece os controles no ambiente. Isso irá determinar o futuro da organização e status de sua reputação. Parece simples, mas literalmente não é fácil e por isso a integração entre a visão da governança corporativa com a gestão da segurança da informação fará muita diferença.

 

Por Rangel Rodrigues:  (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.

Conteúdos Relacionados

Security Report | Podcast

SecurityCast: Cibersegurança ainda é um feudo?

Na nova fase de conteúdos exclusivos, a Security Report destaca o podcast com o bate papo entre Graça Sermoud e...
Security Report | Destaques

Podcast: Banco Santander na era digital

Episódio destaca como a gigante do setor financeiro colocou mais de 50 mil funcionários para trabalhar de casa, superando os...
Security Report | Podcast

O papel das mulheres no setor de segurança cibernética

Estudo revela que a representação das mulheres neste setor é de 25% globalmente. Em 2013, esse índice era de 11%...
Security Report | Podcast

A tecnologia pós-covid: Mais digital, humana e integrada

Podcast com o consultor Sergio Lozinsky e o professor Luis Lobão destaca o papel dos profissionais que atuaram na linha...