Como identificar brechas em TI?

Mapear a estrutura organizacional da empresa, compreender os riscos e necessidades das áreas de TI e reportar os ciberataques ao board executivo são práticas essenciais que ajudam a tornar o ambiente digital mais seguro

Compartilhar:

Faturar bitcoins, vender dados e até mesmo realizar pagamentos, ou transferências, usando o ERP das empresas são alguns dos métodos habilidosos de invasão promovidas por hackers atualmente. A periculosidade é aumentada se pensar que tais ações contra a organização podem ser feitas por qualquer agente, seja um estranho ou até mesmo um colaborador mal-intencionado.

 

“A situação é preocupante porque as motivações de ciberataques deixaram de ser apenas para ganhos financeiros. São abordagens inovadoras que promovem danos físicos, roubam segredos comerciais, realizam invasões virtuais como forma de protesto e utilizam a infraestrutura comprometida para realizar outras invasões”, explica Marco Ribeiro, líder da prática de Gestão de Risco de TI da Protiviti.
Como forma de alertar as empresas, a empresa aponta seis passos práticos cujo objetivo é avaliar e tratar os riscos de TI na identificação e correção de ataques por meio de uma auditoria baseada na gestão de vulnerabilidade. A estratégia é ressaltada num momento em que o custo médio devido a um vazamento chega a R$ 4.5 milhões, conforme dados do Ponemon Institute reportado no IBM cost of breach 2016. Já em fraudes relacionadas às vulnerabilidades de TI, a Association of Certified Fraud Examiners (ACFE) aponta prejuízos financeiros que chegam a 5% do faturamento anual das empresas.
Trazendo outros números para a realidade do Brasil, que é considerado o País mais atacado da América Latina, temos que os atacantes permanecem em média 242 dias sem serem identificados no ambiente e TI, sendo que outros 99 dias são necessários, em média, para que seja feita a contenção do ataque.

 

Na prática

A primeira medida preventiva é mapear a estrutura organizacional da empresa com atenção total para área de TI. O primordial nesta fase inicial é saber os motivos pelos quais os executivos acionam a área e conhecer todos os colaboradores e fornecedores, que têm passagens livres nos sistemas da companhia.

 

Tendo este mapeamento em mãos, a segunda dica é saber como são executadas as atividades em Segurança da Informação. É pertinente nesse momento averiguar quais ações são inseridas nos processos de negócios da empesa. O terceiro passo é verificar se os riscos são medidos de acordo com o impacto ao negócio. E, principalmente, se há uma área da companhia dedicada à gestão de riscos.

A quarta etapa envolve a questão se os serviços fornecidos pela TI e SI estão definidos e catalogados, assim como, se estão estabelecidos através de processos e procedimentos. Um adendo importante neste estágio é saber se os controles são monitorados e se os eventuais incidentes são reportados aos responsáveis.

Já a quinta atitude é compreender as vulnerabilidades e os riscos que passam no ambiente de TI da empresa. De que forma a infraestrutura, os sistemas e as informações são protegidas? Há rotina de testes técnicos e de seus controles na operação de TI? São as duas indagações chaves a serem feitas.

Por fim, o sexto e último passo mostra como reportar os riscos ao board. A consultoria orienta três ações básicas: consolidar as vulnerabilidades em riscos relacionados a TI; associar quais riscos estão ligados às demandas de negócios e operacionais; e manter um dashboard periódico com riscos e planos de mitigação.

Portanto, a área de de TI das empresas pode servir de recurso para atacantes cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros, sem que tenhamos conhecimento. Ataques como contra a DynDNS que comprometeu sites e serviços como o Twitter e o Spotify, promovido pela botnet Mirai, confirmam esta tendência. “O alerta é similar às instituições com ambientes na nuvem e que enfrentam os mesmos riscos dos ambientes convencionais. No entanto, devido ao grande volume de dados armazenados de várias origens, o cloud se torna um pool atrativo para os cibercriminosos. É preciso enfrentar esta realidade”, finaliza Ribeiro.

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...