*Por Felipe Nascimento
Além de dados e dinheiro roubados, talvez o maior impacto de ataques grandes como SolarWinds, Colonial Pipeline e a atual vulnerabilidade Log4j, é que as pessoas estão começando a perceber que ataques cibernéticos e danos cibernéticos são inevitáveis. Mas, embora os fraudadores sempre tenham sido tão onipresentes quanto a morte e os impostos, podemos reduzir a frequência e o sucesso de eventos disruptivos e controlar o grau em que eles causam um impacto negativo.
Apesar do que os fornecedores e especialistas mais competitivos lhe dirão, a resposta não é simplesmente “compre mais ferramentas”. Embora a tecnologia tenha um papel valioso na proteção de uma organização, não falamos o suficiente sobre as táticas “não tecnológicas” que as empresas podem adotar para melhorar sua postura de segurança. Com base na minha experiência, quero oferecer conselhos sobre práticas que acho que as equipes de TI e Segurança devem considerar para recuperar o controle e adotar uma abordagem mais proativa para a segurança cibernética.
Melhores práticas a considerar na defesa cibernética
1.Construa uma equipe diversificada
A indústria de segurança é em grande parte homogeneizada. Por exemplo, as mulheres só compõem 20% da força de trabalho de Segurança da Informação. Mulheres e grupos minoritários são descontroladamente sub-representados no campo e isso precisa mudar não apenas para ajudar a aliviar a escassez de habilidades, mas para criar equipes de melhor desempenho. Você não quer um grupo de pessoas com origens semelhantes que pensam da mesma maneira. Ao trazer um grupo mais diversificado de pessoas, você terá mais perspectivas – pessoas que desafiarão suas suposições e introduzirão novas maneiras de pensar. Em um campo dinâmico e em constante mudança, como a segurança cibernética, é exatamente disso que você precisa.
Este trabalho começa no processo de contratação – visa promover um pipeline de talentos diversificado em gênero, idade, experiência, educação, geografia, raça e orientação. E se você ainda tem medo de que priorizar a diversidade possa levar a “perder” candidatos mais qualificados, é hora de desistir. Existem muitos candidatos incrivelmente qualificados e diversificados – você só precisa se esforçar para encontrá-los.
Por fim, considere se você precisa contratar profissionais de segurança (aqueles com experiência existente ou aqueles com diplomas relevantes), ou se você pode contratar pensadores críticos adaptáveis e fornecer o treinamento “cibernético” necessário. Expandir sua abertura para o que é considerado um candidato “qualificado”, especialmente para papéis mais juniores, renderá uma força de trabalho muito mais diversificada.
2.Não tenha medo de terceirizar
A lacuna de habilidades em segurança cibernética tem sido discutida há anos, mas, infelizmente, ela só está se tornando mais aguda. A Cybersecurity Ventures previu que haveria 3,5 milhões de empregos não preenchidos em segurança cibernética até o final de 2021; para 2022, o número tende a aumentar. Eu sei que aqueles no campo infosec são notoriamente paranoicos e desconfiados – essas características são muitas vezes benéficas em nossa linha de trabalho! — e desejam manter o máximo de trabalho interno possível.
Mas meu conselho, especialmente para organizações menores, é considerar fortemente trazer um provedor de serviços gerenciado para ajudar a reforçar sua equipe. As organizações não podem se permitir ter falta de pessoal em funções de TI e segurança, e os MSPs oferecem um complemento de qualidade para sua equipe existente. A chave é garantir que você esteja fazendo uma avaliação excelente, obtendo referências de colegas, garantindo que seu MSP tenha uma prática de segurança comprovada e ainda mantendo talento interno com conhecimento suficiente para exercer a supervisão de seus serviços terceirizados.
3.Treine como você luta
As ferramentas são importantes, mas nada é mais importante do que o seu time. Com base na minha experiência técnica e de liderança, você precisa treinar como luta e lutar como treina. As habilidades mais críticas para as quais você deve treinar são a resposta a incidentes e gerenciamento de crises. Equipe vermelha/equipe azul, capture a bandeira (CTF) e exercícios de mesa são excelentes simulações para ajudá-lo a fazer isso.
Além de testar a força dos recursos de segurança de sua organização, esses exercícios podem dizer muito sobre sua equipe. Quem é bom sob pressão? Quem surge como líder? Como sua equipe se adapta e se comunica diante de obstáculos? Talvez o mais importante, onde você tem lacunas em seus planos existentes? A partir daí, você pode organizar sua equipe de uma forma que o deixe melhor preparado se e quando um ataque real ocorrer.
Suposições para (re)considerar
Os três pontos acima são práticas que podem ajudar as organizações a melhorar sua postura de segurança cibernética. Além disso, acredito que é necessário evoluir algumas de nossas suposições ultrapassadas de cibersegurança, incluindo esses três tropos cansados que precisamos para nos aposentar este ano.
“Conscientização sobre segurança cibernética” — A segurança cibernética se tornou muito mais popular a partir de 2020. Com o número de ataques de ransomware em grandes empresas, ataques de estado-nação de alto perfil e a ênfase que o governo Biden colocou na segurança cibernética, as pessoas estão cientes. E esse não é mais o problema. A questão é que as pessoas estão cansadas do fluxo interminável de notícias de violação que instilam uma sensação de desesperança.
“Segurança é trabalho de todos” — Isso é verdade em muitos aspectos. Cada funcionário deve estar atento e desempenhar um papel ativo para garantir uma empresa mais segura, mas fazemos muito pouco para ajudar as pessoas a contextualizar seu papel na segurança. A maioria das pessoas não se vê como alvo porque não são “importantes o suficiente” quando, na realidade, podem ser apenas um caminho conveniente para atacar a vítima final. Também precisamos de mais pessoas cujo único trabalho seja a segurança cibernética. A escassez de habilidades é uma ameaça existencial e deve ser uma prioridade do CEO e do conselho contratar, recrutar e reter o maior número possível de profissionais de segurança cibernética ainda neste ano.
“As pessoas são o elo mais fraco” — As pessoas são pontos de entrada de ataques e cometem erros (como clicar em e-mails de phishing, o que infelizmente ainda é muito comum), mas esse argumento ignora e não enfatiza as muitas fraquezas e vulnerabilidades em hardware e software. Quantas atualizações de segurança o Zoom ou a Microsoft emitiram no último mês, por exemplo? Resposta: Muitas. Os funcionários ainda são nossos maiores protetores em muitos casos, portanto, não os desempodere ou envergonhe. Vamos fornecer treinamento de educação cibernética aos funcionários com compaixão e não fechar os olhos para outros elos fracos da cadeia.
A indústria de segurança cibernética hipercompetitiva geralmente se transforma em promessas “bala de prata” de que a solução X ou Y sozinha pode “salvar sua organização”. A tecnologia é imprescindível para a segurança cibernética e há uma inovação incrível sendo feita por fornecedores que ajudarão as empresas a proteger sua infraestrutura, ativos, funcionários e clientes. Mas lembre-se que a tecnologia por si só é insuficiente. Construir um manual de segurança cibernético proativo e eficaz sempre se resume a pessoas e práticas.
*Felipe Nascimento é diretor de Engenharia de Soluções da Tanium na América Latina