Fazendo a leitura do atual cenário em que vivemos é passível constatar o grande desafio das empresas quanto à mudança do modelo tradicional on-premises para cloud e ao mesmo tempo se fala muito de proteção da privacidade de dados e como então atestar a aderência com a forma de abordagem que as leis neste campo irão exigir. Fato que as coisas estão um pouco imaturas, em alguns casos um embrião ainda em formação, pois muito se fala de cursos e livros a respeito. Embora, compreendo que trata-se de oportunidades positivas para o mercado, mas devemos ser mais cautelosos nos investimentos nestas demandas enumerando o código chave para ter uma boa governança sobre seu ambiente.
Assim lancei um pensamento de como podemos definir um conceito de reino e governo em cibersegurança. Possuo uma visão clara na perspectiva sobre qual a melhor definição de reino neste campo? Contudo, pensei um pouco sobre o assunto e discerni os seguintes insights: i) crawl, ii) walk. ii) run e iv) fly. Sendo assim, como podemos aplicar na prática em nossa organização, seja uma adequação de segurança em uma cloud ou mesmo a aderência em cibersegurança as regras do banco central ou LGPD.
Na fase crawl -> O bebê começa a gatinhar. Mas para isso, ele aprende os movimentos das pernas, mãos, braços e cabeça com a ajuda do cérebro. No mundo corporativo precisamos entender se estamos prontos para encarar a era da transformação digital, pois a guerra sempre será com quem governa seu ambiente, se são os atacantes ou o você “CISO”. Desta forma, precisamos ter uma visão clara sobre quais são as ameaças no ambiente. É hora de entender os pontos mais complexos da sua rede, cloud, necessidades de negócios, inventários de ativos, mapeamentos dos processos críticos como o BIA, etc.
Na fase walk -> A criança começa a andar e descobrir novos horizontes, mas precisa de mais um toque de equilíbrio com a ajuda do cérebro para não cair e perder o controle evitando pequenos acidentes. Nesta fase, você aprende como líder, além de entender mais precisamente que as ameaças de segurança começa sua jornada em desvendar a chave para manter o comando em suas mãos, fato que o comando não pode sair do controle, pois o desconhecimento e a negligência na era dos dados e da transformação digital não serão aceitos pelo C-level. Ou você governa ou os bad guys farão uma festa. Dada a complexidade, duplicação e configurações ineficientes na cloud, em processos de patch management, change management, configuration management, entre outros, acarreta o ambiente da sua organização passível para ataques de bots nets, zero days exploits, phishing, malwares, ransomware, etc.
Na fase run -> A criança já possui controle sobre seu corpo e começa a enfrentrar os grandes desafios. É hora de escalar uma árvore, subir uma escada, correr, cair e levantar. É por meio dos erros que a criança aprende a ter total controle sobre seu corpo, mas ainda não tem um discernimento profundo sobre determinados perigos. Trazendo para a realidade no mundo corporativo, é hora que devemos fazer as boas escolhas com soluções robustas e eficazes. Aqui precisamos ser um bom porteiro evitando que as ameaças não entrem em nosso ambiente elevando medidas preventivas e detectivas que são fundamentais.
Desta maneira, devemos ter plena visão sobre quais são os capabilities que nos ajudam a proteger e controlar o nosso ambiente, ou seja, o seu software de segurança precisa ser um bom oráculo para abrir o acesso devido e não venha impactar os princípios de confidencialidade, integridade e disponibilidade.
Visto que o aumento de workloads tem crescido em plataforma IaaS e PaaS em provedores de cloud conhecidos, torna-se fundamental ter uma abordagem consistente para identificar, monitorar e remediar erros de configurações de serviços, acesso inadequado e privilégios de acesso, etc. Uma pesquisa feita pela Symantec relata que quase dois terços dos incidentes de segurança e investigações nos últimos doze meses ocorreram no ambiente de cloud, ou seja, o futuro alerta que todas as empresas estarão em cloud. Com isso, este iceberg pode estar trazendo futuros e novos riscos desconhecidos e a falta de visibilidade do devido controle dos dados ainda é um paradigma.
Como já mencionado acima a complexidade de configurações em cloud, duplicação e múltiplas instâncias em servidores têm permitido eventuais riscos nestes ambientes. Vimos um vasto número de empresas mudando para multi-cloud com o objetivo de ter maior controle sobre o ambiente, mas especialmente descobrem e encaram uma dificuldade quando um controle é configurado em cada plataforma sem um monitoramento consistente. Um servidor físico com múltiplos servidores virtuais é de tamanha complexidade, o fato de uma das máquinas virtuais estar desligada, não significa que esteja totalmente segura. Se um devido controle de acesso não estiver em place, o acesso a imagem, hypervisor em níveis (Type 1 e Type 2) podem estar em risco.
Na fase fly -> Esta é uma fase da vida de uma criança onde ela começa a voar novos ares e o céu não é limite. Assim como os tubarões já nascem nadando, a criança inicia aqui um novo salto, elas têm plena convicção que podem ir além do que imaginam, é o momento de sonhar com o futuro e começar a colocar em prática, mas ainda ela precisa de um pai que governa, um oráculo que dita algumas regras para ela ser uma pessoa bem sucedida. No mundo corporativo é aquele momento que já temos talentos, recursos e processos em execução, mas precisamos de uma governança bem estruturada que tenha uma visão geral sobre os aspectos de pessoas, processos e tecnologia protegendo a tríade CIA (confidencialidade, integridade e disponibilidade) e seja capaz de monitorar o cumprimento das políticas corporativas.
Em outras palavras, é evidente que o uso de soluções bem estruturadas em conjunto do processo de gestão de segurança com a perna de cibersegurança é imprescindível para alcançar o sucesso. Logo, gostaria de esmiuçar alguns pontos fundamentais de maneira bem resumida:
Pessoas – > Um processo de conscientização de segurança capaz de promover e compartilhar a responsabilidade sobre todos pilares da organização. Desta forma, com a chegada da LGPD, é fundamental a inclusão de uma conscientização sobre os aspectos de privacidade e proteção de dados pessoais, além do comportamento humano e hábitos dos colaboradores que precisam ser reeducados. Para o líder de segurança habilidades de articulação, energia, resiliência e comunicação permitirá que o executivo conquiste uma cadeira no comitê executivo.
Processos – > Ainda a grande causa de invasões e vazamento de dados está relacionada às falhas em processos de atualização do ambiente e fragilidades na autenticação de acesso ao usuário. Portanto, a gestão de vulnerabilidades, gestão de configuração e hardening, code review, SDLC, DevOpsSec, backup, um Business Continuity Plan & Desaster Recover Plan, Third Party Management, gestão de risco e governança, aplicação de NIST, SOC 2, ISO 27001, aplicação de conceitos de least privilege e segregação de funções na gestão de acesso, políticas adequadas no ambiente seja em cloud ou ambientes comuns e apropriados processos de gestão de mudança e revisão de logs darão uma visão de águia sobre o todo.
Tecnologia -> Vejo como um dos pilares mais importantes, não que a tecnologia resolva tudo, os dois primeiros citados são essenciais. Entretanto, dependendo do ambiente, acredito que a grande maioria das empresas já possui ambientes sem e com cloud e vale considerar novas soluções com capacidade de uso de machine learning e inteligência artificial capazes de detectar comportamentos não compatíveis com o padrão no ambiente decorrendo de uma possível ameaça.
Logo o uso de Firewall, IPS, WAF em appliances ou virtuais (Cloudflare, Citrix) que são capazes de abrir pacotes criptografados detectando ataques neste contexto, soluções Next-gen Malware Protection como Clowdstrike, Cylance, Cybereason, Limacharlie.do e Carbon Black permitem métodos superiores de detecção que as soluções tradicionais, soluções de endpoint detection and response (EDR), next-geration antivirus (NGAV), DLP, SIEM, Advanced Threat Hunting e Incident Response, CASB, CARTA, multi factor authentication (MFA), identity and access management, SAST, DAST, scans de vulnerabilidades web, proteções de vulnerabilidades virtuais e user Behavior Analystics ajudam a identificar e classificar potenciais riscos e ameaças de segurança estabelecendo um baseline sobre a identidade do usuário e uma atividade anormal no ambiente de cloud. Diante disso, o uso de machine learning e IA com análise de comportamento colabora na prevenção de incidentes em ambientes complexos.
Ainda que a segurança em DevOps viabiliza os times a centralizar sua porta de controle com a gestão da segurança e a implementação de novos controles incluindo um caminho em busca da velocidade dos processos de desenvolvimento interligado e um pleno monitoramento com políticas aplicáveis para rede e uniforme no ambiente. A chave de um bom reino está no quanto suas ferramentas e capabilities são capazes de controlar seu ambiente e prover visibilidade para posicionar e mostrar os riscos de segurança para o C-level. Evidentemente que precisamos saber definitivamente como perfurmar o ambiente tecnológico com as melhores ferramentas e soluções eficazes, além de absorver o melhor dos profissionais neste campo.
Contudo o treinamento e conscientização vai promover o entendimento sobre a responsabilidade do compartilhamento em cloud. Enquanto que o provedores de cloud têm responsabilidade de proteger sua cloud, os clientes também são responsáveis por conter as vulnerabilidades e falhas de configurações em função de workloads, visto que o arquiteto em cibersegurança de cloud tem sido apontado como uma das posições mais procuradas e bem pagas.
Então para perfumar um ambiente necessitamos do suporte do C-level ou o CISO se tornará impotente, mas para que isso não ocorra é necessário uma postura ousada e articulada com o time que comanda a sua organização que define as prioridades para as necessidades de negócio. Se tivermos uma boa estratégia e bons conselhos saberemos como reinar e governar o ambiente com eficácia. Embora, não importa se os dados estão na cloud, on premises ou data lake, se usa kurbenetes, mas se o nosso reino de governança é efetivo teremos mais facilidade para gerir as ameaças com o advento da cibersegurança.
Obviamente se o aroma do perfume estiver bem difundido no ambiente com segurança, consequentemente oferecerá ao gestor de segurança uma visão clara da autoridade e total comando sobre todo o ecossistema tecnológico, assim como sábio diz; a visão gera recursos, mas recursos não gera visão, talvez você pense que isto seja uma mera especulação, mas vale para meditar e considerar na perspetiva citada neste artigo. Em suma, é notório que todos na organização precisam fazer parte do fluxo de segurança e a adoção das melhores práticas nesta era digital.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP