Na visão de líderes de Segurança, falar de resiliência e resposta a incidente significa colocar na mesa de discussão alguns aspectos importantes: maturidade em cyber, seguro cibernético como planos de resposta, envolvimento de parceiros, abordagens de risco e as novas modalidades de table top.
Esse último aspecto, inclusive, se tornou um teste quente dentro da Crefisa. De acordo com o CISO João Back, a organização sofreu um ataque ransomware há algumas semanas, mas felizmente sem impactos para a operação devido aos altos índices de controles. “A gente sempre fala sobre a importância dos planos de resposta a incidente, estuda vários aspectos nas apresentações com a equipe, entretanto, é preciso viver essa resposta na prática. Após um incidente, é preciso analisar quais controles foram bem conduzidos e identificar os pontos de melhoria”, disse o executivo durante painel de debates no Security Leaders Nacional.
Ele reforça que a Segurança da Informação é trabalhada dentro da Crefisa como uma aliada ao negócio, sempre presente desde a concepção dos projetos. Esse posicionamento interno se reflete em resiliência e maturidade em cyber, inclusive quando é trabalhado com recursos internos e externos, sempre com objetivo de validar os controles, entender se estão sendo bem aplicados e sempre aprendendo com os erros. “Conseguimos sair ilesos a um ataque”, acrescenta.
Valor das parcerias
Os executivos também debateram como preservar a segurança de suas informações, especialmente quando os parceiros são envolvidos. Para o Chief Security Officer da Comgás, Robson Santos, o desenvolvimento de maturidade de Segurança contou com o apoio importante de parceiros.
“Entendo que não devemos ser muito reticentes nesse ponto. Começamos a fazer testes de caráter interno com equipes dedicadas, sem a utilização de parceiros. E era nítido como os controles furavam e como a maturidade era baixa. Tivemos a confiança como ponto de partida ao trazer parceiros adequados”, reforça Santos.
Ele acrescenta que para cada empresa do Grupo, são realizados de 2 a 3 testes anualmente, até mesmo com as novas modalidades de table top com testagem quente. Com isso, o resultado apresentou grande avanço na maturidade e na resiliência, especialmente no nível de comunicação, como mudança de mindset entre outros pontos.
Além disso, os debatedores concordaram que é impossível lidar apenas com os sistemas operacionais de defesa, quando a arquitetura do ambiente digital da empresa não é adequada para a recepção dessas proteções extras. No entanto, houve divergência quanto aos riscos ligados à não segregação dos sistemas de core business das empresas, especialmente no caso da indústria, e dos sistemas de Tecnologia da Informação, onde se incluía também a SI.
Seguro em dia
Durante o painel de debates, os líderes de Segurança questionaram a real importância da contratação de uma apólice de seguros para os dados da companhia, considerando o quanto, de fato, aquele valor pode ajudar no momento de um incidente. Para os profissionais, o ambiente de insegurança diante da frequência de ataques fez os valores das seguradoras subir além daquilo que seria proporcional a uma empresa pagar.
“Se levarmos em conta os últimos dois anos, os índices de sinistralidade cresceram exponencialmente. Isso fez o valor do prêmio também subir. Então, se há três anos você fazia, por exemplo, um seguro de prêmio de um milhão ao ano, hoje você faz com 15 milhões. É um preço absurdamente elevado”, pontuou João Back. De acordo com o executivo, altos volumes de ataques e prejuízos causados por eles são os responsáveis por esse avanço nos preços.
Para Douglas Rocha, Gerente Executivo de SI no Banco Inter, por mais importante que seja, um seguro cibernético não é crucial para a proteção de todo o sistema da companhia, pois o valor não tratará de outros problemas acarretados pelo ataque. Ele também chama atenção para mais um parceiro agregado ao ecossistema da Segurança, o que exige atenção redobrada nos riscos.
“Podemos analisar o seguinte: para ter um seguro, ele precisa ser viável. Mas isso não significa que você tenha que renunciar à sua proteção. Então, melhor que se esteja protegido, com um time de resposta a incidentes, consultorias e parceiros já contratados para investigação como parte do seu plano e contar com o seguro apenas como um complemento. Isso sim é resiliência”, concluiu Rocha.
João Back, da Crefisa, participou também de uma entrevista para a TVSecurity e destacou a importância do compartilhamento no processo de resiliência cibernética. Para ele, essa troca é importante para análises de melhores práticas.
“Cada vez mais precisamos compartilhar, não apenas aquilo que há de bom, mas também os casos de incidentes. Acredito que a partir do momento em que efetivamente trocamos informações sobre o que está havendo dentro das companhias, em eventos como o Security Leaders, conseguimos transformar o ecossistema de Segurança do país mais forte”, disse Back.
Os desafios impostos à indústria quando se trata de cybersegurança também foram abordados na palestra “Resiliência Cibernética para sistemas de controle industrial”, do Executivo Global de Segurança da Informação e DPO da Gerdau, Vitor Sena. Ali foi apresentado todo um exemplo de metodologias e soluções mais adequadas para a aplicação dentro de um ambiente de dados de companhias industriais, fortalecendo a arquitetura de cybersegurança.
“No ambiente industrial, sempre nos esbarramos em três principais GAPs de segurança. O primeiro deles é um perímetro fraco. Muitas vezes, empresas sem maturidade adequada de SI permanecem com os setores de TI e de produção misturados, aglutinando também os riscos para ambos os setores. Segundo é a falta de um inventário, para que os funcionários saibam o que existe dentro dessa rede de dados. E por fim a baixa visibilidade, sem um sistema que monitore todas as pendências e carências do sistema de segurança digital”, completa Vitor Sena.
E como o tema resiliência também traz à tona o papel do CISO dentro das organizações, o aspecto liderança está em pauta. Em entrevista à TVSecurity, Ianno Santos, CISO da AeC, destaca sobre a nova geração de CISOs e a jornada necessária para estruturar a área de Segurança como uma agregadora de valor, trazendo maturidade em todos os processos e garantindo assim maior resiliência.
Para ele, os novos CISOs não nascem prontos, precisam de experiência. “A comunicação deve ser bem-feita, porque o nosso recado precisa ser levado da forma correta. Evidentemente que a formação técnica é importante, mas sempre aconselho a fazer um MBA de negócios. As pessoas precisam entender que há uma diferença entre ser técnico e ter conhecimento técnico”, conclui.
