Já alguns meses escrevendo artigos sobre a área de Cyber Security e especialmente sobre a figura do CSO, tenho sido desafiado por alguns amigos e leitores a explorar a lacuna de quais conhecimentos nós, profissionais de segurança, precisamos ter e novas atribuições e responsabilidades, além do jargão técnico de Cyber Security.
Ao mesmo tempo vejo a necessidade do mercado perante a postura destes profissionais no ambiente corporativo, enjaulados em ambientes complexos com diversos tipos de sistemas e aplicações, totalmente diversificado com tecnologia distintas e necessidades de negócios cada vez mais desafiantes. A cada quarter novas metas estabelecidas e prazos extremamente apertados. Diante disso, tenho visto alguns profissionais com dificuldades em suas emoções sofrendo por preocupações e ansiedades. Observe que a minha intenção não é ser um profeta para falar do futuro, mas é tentar conectar a realidade versus com o que podemos fazer de melhor e atingir o nosso objetivo na área de Cyber Security.
Assim como outras áreas, em Cyber Security não deixa de ser a mesma. O perigo do “ego” e “altivez” dos seres humanos pode levar ao desastre, mas tive que aprender a lidar com estes entraves, mas a minha meta sempre foi fazer o melhor naquilo que fui introduzido. Portanto, sempre tive em mente que não importa os obstáculos e dificuldades que terei que enfrentar, mas aonde irei chegar, mantendo sempre uma visão de águia e um propósito na minha carreira.
Por ventura, gostaria de elucidar dois pontos importantes para um profissional de Cybersecurity: i) Como se apresentar ao board, e ii) O que fazer para combater ciberataques. No entanto, se você discernir o contexto saberá que ser articulado para com C-Level é fundamental para sobrevivência, além de saber como se proteger, e para este segundo item, eu gostaria de sugerir o uso do guia fornecido pelo National Cyber Security Centre (NCSC) que irei abordar mais adiante.
Suponha que você tenha apenas cinco minutos para explicar o que é importante e relevante para o negócio e definir a postura de risco da sua organização. Seja objetivo e convincente. Quais técnicas e estratégias usar nesta hora para conquistar o apoio do board? Logo agora que Cyber Security se tornou um tema mais importante para as organizações no que tange o nível de maturidade do processo. Fato que agora é que os executivos estão cada vez mais interessados e abertos para ouvir os CSOs, mas esperam destes profissionais um diferente nível de comunicação na hora de fazer uma apresentação. A chave é ser claro, objetivo e evitar não pecar. Sendo assim esteja pronto para encarar o C-Level e aproveito para ramificar nos pontos abaixo, e se aplicadas podem ajudar na hora certa:
– Sempre tenha como meta: “O negócio é mais relevante” -> O board não quer saber de detalhes técnicos de cibersegurança, mas da real situação da postura de risco, compliance e quanto isso pode impactar na organização.
– Mantenha uma linguagem simples -> Outra vez o board não tem interesse de ouvir uma linguagem técnica, você precisa ser capaz de apresentar uma linguagem objetiva e clara. Ex: “Nossos firewalls bloqueiam todos os ataques de hackers ao nosso Internet Banking”, mas assim; “Nossos controles de segurança garantem um nível elevado de compliance e gerenciamento dos riscos com eficiência em nossos serviços”.
– Métricas claras -> O senior management entende de números e o CSO precisa focar em métricas chaves e fatos relevantes ao negócio, além de informações ricas com gráficos, será mas fácil de entender.
– Esteja preparado para as perguntas -> Os executivos podem não ser técnicos, mas são inteligentes para realizar perguntas difíceis de responder e você precisa estar preparado. Ex: “Quanto estou perdendo em $?” “Quantos clientes estou colocando em risco?”. Tenha em mãos o risco calculado, ou seja, uma análise de risco precisa (quantitativa e qualitativa) é um elemento vital.
– Aprenda a ouvir -> O rei Salomão alerta: “Quanto mais você fala, mais perto está de pecar, se você é sábio, controle a sua língua”. Discernir as informações que o board está interessado em ouvir no próximo highlight é uma oportunidade para entender as iniciativas que pode afetar seus projetos, cuidados com projetos que envolvem altos cultos de segurança e sobre o ROI, redução do staff e problemas com budgets, por exemplo.
Evidente que as dicas acima são atributos esperados e irão apoiar no seu desafio como um profissional de cibersegurança, mas é lógico que a ausência do conhecimento técnico e a aplicabilidade no mundo real, não adianta em nada. A moeda de valor neste mundo é a experiência e sempre se manter atualizado.
Considerando que você recebe a missão dos executivos para implantar um projeto para se proteger contra Cyber Threats na organização, já existem alguns frameworks que podem lhe auxiliar, como o Cyber Security do NIST, a nova Resolução 4.658 do Banco Central, entre outros. Por hora, depois de estudar alguns frameworks gostei muito da abordagem do National Cyber Security Centre (NCSC), no qual gostaria de ilustrar a metodologia para combater ciberataques dividida em 4 fases: i) Survey, ii) Delivery, iii) Breach e iv) Affect.
Survey
Educar os usuários -> Treinar todos os colaboradores que publicam ou disponibilizam documentos na Internet, cloud, etc. Estes usuários deveriam estar ciente dos riscos e tópicos e trabalhos relativos discutidos no ambiente de trabalho, além do uso de redes sociais sendo um potencial alvo para ataques de phishing.
Delivery:
Defesas no Perímetro de Rede -> Sempre bloquear serviços considerados inseguros e desnecessários (ex: Telnet, SMB, SMTP), ou permitir aceitar o acesso a website somente autorizado. Utilize soluções de appliances de Proxy, threat intelligence, etc.
Proteção contra malware -> Sempre bloquear e-mails maliciosos e impedir que e-mails sejam transferidos de websites. Utilize soluções de anti-malware, antivirus, endpoints monitorando o fluxo de email no servidor de correio.
Política de senha -> Orientar os usuários para não escolherem senhas fracas facilmente de ser adivinhadas e bloquear as contas após um número reduzido de tentativas de ataques. Faça o Awarenes Security Program com os usuários.
Configuração segura -> Restrinja o funcionamento do sistema ao mínimo necessário para a operação do negócio, aplicando-se sistematicamente todos os dispositivos que são usados para realizar negócios. Aplique o conceito de need to know e least privilege em sistemas críticos da organização, assim como no ambiente de cloud.
Breach:
Patch Management -> Aplique patches na primeira possibilidade para limitar a exposição a vulnerabilidade de software conhecidas. Diria que este é o básico que precisa ser bem feito, sugiro a leitura do artigo que escrevi sobre este tema “CSO não ignore a gestão de vulnerabilidades”.
Monitoring -> Monitorar e analisar todas as atividades de rede para identificar qualquer atividade maliciosa ou um comportamento fora do padrão. Tenha um SOC com soluções de IPS, SIEM, DLP, CASB, e um Cyber Security Incident team.
Proteção contra malware -> Assegurar uma proteção de malware dentro do gateway de Internet com a capacidade de detectar e bloquear um código malicioso contra um alvo importante interno, seja um usuário ou aplicação.
Configuração segura -> Remova o software desnecessário e as contas de usuário padrão. Verifique se as senhas padrão são alteradas e se os recursos automáticos que podem colaborar com malware e ransomware capazes de explorar falhas em sistemas e serviços por falta de hardening e configurações de segurança. A Microsoft oferece uma séria de checklists gratuitos para proteger o seu ambiente Windows. Linux e Unix também estão disponíveis na Internet.
Acesso ao usuário -> O controle de acesso de usuário bem mantidos podem restringir os aplicativos, privilégios e dados que os usuários podem acessar. Eu diria que este é um dos pontos mais preocupantes no ambiente de cloud, sendo assim sugiro que defina o conceito de Role Basic Access Control (RBAC) estritamente em todos os níveis de acessos. Além de manter um processo de log review e access review contínuo suportado pela arquitetuta de IAM.
Treinamento do usuário -> Treinar o usuário é extremamente valioso na redução da probabilidade de ataques de engenharia social bem sucedida, entre outros tipos de ataques. Explore e realize anualmente uma campanha de segurança da informação abordando vários tópicos sobre Cyber Security.
Controles de dispositivo – > Os dispositivos dentro do gateway interno devem ser usados para impedir o acesso não autorizado a serviços críticos ou serviços inerentemente inseguros que ainda podem ser exigidos internamente. Esteja atendo aos dispositivos móveis, apps, IRPF, BYOD, IoT, etc.
Affect
Controles para um estágio afetado -> Considerando que um invasor tenha alcançado seu objetivo, o acesso total, é muito mais difícil detectar suas ações e eliminar sua presença. Aqui é fundamental ter em mãos ferramentas e uma equipe capaz de resolver o problema. Uma abordagem mais aprofundada e holística para a segurança cibernética pode ajudar.
Contudo, gostaria de destacar um outro tópico para que o Cyber Security contemple um regime completo de gestão de risco cibernético. Reforço a necessidade de possuir um modelo de gestão de risco implementado e particularmente eu prefiro o modelo de framework sugerido pelo NIST 800-30. Ainda seguindo a metodologia de CyberSecurity da @NCSC, estes são os passos para considerar em um processo de Cyber Security um pouco parecido com (ISC)² CBK do CISSP.
1. Segurança de Rede (firewall, IPS, teste de invasão, etc)
2. Concientiação e Educação dos usuários
3. Prevenção contra malware (soluções de anti-malware)
4. Controle de mídias removíveis (DLP)
5. Configuranção segura (Gestão de configuração e patch management)
6. Gestão de privilégio do usuário (least privilege, need to know)
7. Gestão de incidente
8. Monitoramento (log review, SIEM, IPS)
9. Trabalho remoto e mobilidade (mobile baseline, NAC, IoT controls)
Como sugerido pela @NCSC é importante definir e comunicar o senior management através de um processo de Gestão de Risco estruturado e alinhado com a estratégia de Governança de Segurança. Faça do cyber risco uma prioridade para o board criando e buscando suporte deles com uma política de gestão de risco definida e estabeleça de forma clara um risk appetite. Estes insumos irão ajudar a proteger o negócio contra maioria de cyber ataques.
Portanto, é fundamental estar aberto e ser flexível para novos modelos de gestão de Cyber Security, avalie as forças, fraquezas, oportunidade e ameaças (SWOT), se for viável ao negócio, seja ousado e aplique, pois durante a minha passagem em algumas corporações, nunca deixei de tentar e posso assegurar que na grande maioria das vezes tem dado certo.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP