Por Paulo de Godoy
A melhor forma de saber se sua empresa está preparada para a possibilidade de um ataque ransomware, é perguntar ao CISO e à equipe de segurança sobre os potenciais cenários e saber quais são os planos deles para essa situação.
Na cibersegurança existe uma máxima: Não é “e se”, é “quando”. Isso porque já é fato que cedo ou tarde todos serão alvos de ataques, é só uma questão de tempo.
Então, como é possível garantir que está fazendo tudo o que pode para proteger a sua empresa? Para os líderes, é fundamental entender quais são as proteções existentes e onde pode haver lacunas. Veja abaixo cinco perguntas que podem guiar uma conversa importante com a equipe de segurança.
Como fazemos o gerenciamento de vulnerabilidades e de patches?
A instalação de patches (programas que atualizam e corrigem softwares) e a atualização de sistemas para eliminar as vulnerabilidades são tarefas básicas da equipe de segurança, mas a rotina intensa desses profissionais pode deixar passar algumas versões. O ataque contra a Kaseya, por exemplo, pode ter sido causado justamente por isso. Inclusive, alguns funcionários até reclamaram, em vão, sobre esses descuidos.
Além disso, é preciso compreender os SLAs necessários para estes processos e entender se as práticas estão realmente protegendo a empresa. O patch não tem muitos benefícios se aplicado meses ou anos depois, então o SLA é restrito. As equipes de segurança precisam ficar de olho e rastrear as versões mais atualizadas para instalar em dias ou, no máximo, semanas, se quiserem que esses “remendos” sejam eficazes.
Qual o plano de recuperação de um ataque ransomware? Como os dados serão restaurados?
É essencial existir uma estratégia que defina SLAs, respostas e custos antes que o problema aconteça. A última coisa que alguém quer é pedir ajuda enquanto um ataque está ocorrendo.
Sobre os dados, o backup é bom, sempre. Mas é preciso saber como os dados serão restaurados. Se a previsão é levar muitas horas ou dias, não está ideal. Lembre-se que nessa situação, de um lado seus dados estão sequestrados e de outro estão em restauração, e no meio desse caminho a operação está parada.
É importante discutir com o CISO os benefícios das arquiteturas de segurança em camadas e “bunkers de dados”, que podem ajudar a reter grandes quantidades de dados e disponibilizá-los imediatamente. Entenda como é o processo de restauração, o que será feito manualmente e quanto tempo pode levar.
O planejamento também deve incluir infraestrutura crítica, como Active Directory e DNS. Sem estes serviços, fica inviável que outras aplicações comerciais voltem a operar online ou funcionem corretamente.
Com que frequência testamos o desempenho dos sistemas?
O foco do teste é analisar o tempo que levaria para se recuperar de um ataque e por quantas horas ou dias os sistemas ficariam indisponíveis. Só é possível avaliar isso se houver uma simulação.
É fundamental documentar os testes para comprovar a eficácia das práticas de segurança ao longo do tempo, criando um mapa preciso e atualizado com detalhes sobre quais aplicações são testadas, com que frequência e quais os resultados. Essa prática deve se concentrar na infraestrutura crítica que pode ser restaurada rapidamente após uma interrupção, já que as outras aplicações dependem dela para funcionar.
Como fica a comunicação no caso de um ataque?
As equipes de segurança precisam definir os planos de comunicação para informar as lideranças sobre o início de um ataque cibernético. Se os sistemas e o e-mail caírem, qual é o método escolhido para a informação chegar aos demais? É importante criar e atualizar listas de contatos pessoais, incluindo telefones e e-mails alternativos, para sinalizar as equipes de TI e segurança, líderes seniores e consultores externos de segurança.
E já que estamos falando em informar, é imprescindível que a equipe do CISO esteja alinhada com a área de comunicação da empresa, que vai alinhar os comunicados internos, com parceiros, órgãos reguladores, equipes jurídicas e, caso necessário, com a imprensa.
Como trabalhar em conjunto para avaliar os riscos?
A sinergia entre as equipes de segurança e o restante da empresa é um elemento chave para compartilhar regularmente informações importantes, discutir questões emergenciais e conseguir a atenção necessária dos grupos C-level.
Para fortalecer as relações entre as equipes, os líderes precisam de imersões nos cenários do mundo real para visualizarem como os ataques podem evoluir e onde existem lacunas na empresa que podem ser corrigidas pelas equipes de segurança.
Conclusão
A segurança deve ser a prioridade de todos. Não apenas da equipe de TI, do administrador da rede, e da equipe de segurança da informação. Todos são responsáveis, seja qual for o nível de usuário.
Os impactos das ameaças à segurança podem ser devastadores, afetando tudo, desde receitas e produtividade até a reputação da empresa e até mesmo os negócios dos clientes. Analisando o ataque contra a Kaseya, fica claro que os hackers sabiam exatamente quais sistemas e dados poderiam causar o maior dano. É do maior interesse dos líderes entender sua estratégia de segurança e se tornarem parceiros da própria equipe para garantir que tenham a visibilidade, o orçamento e a adesão que precisam.
*Paulo de Godoy, country manager da Pure