A cultura infosec já está em cena há mais 20 anos. É fato que nunca podemos subestimar o inimigo e o caminho é sempre agir no preventivo. Prova disso é que em 1994, o Citigroup depois de sofrer uma série de ciberataques do hacker russo Vladimir Levin – responsável por desviar milhões de dólares para várias contas em alguns países – impulsionou o surgimento das primeiras posições formais de cibersegurança no eixo executivo. Steve Katz foi o primeiro executivo do Citi e talvez foi aqui o início da mudança.
Ao longo da história da cibersegurança podemos ver diversos tipos ataques. A evolução das ferramentas de segurança, o impacto da transformação digital com a cloud computing e tecnologias como IoT e mobile têm influenciado e convencido o ser humano a ser cada vez mais dependente da tecnologia. Com isso, traz os riscos nestas tecnologias e os invasores estão cada vez mais criativos sendo que a maior motivação da invasão é o fator financeiro.
Para mitigar e driblar os invasores digitais, o mercado e organizações governamentais têm introduzido e definido regras e regulamentações na perspectiva de segurança da informação e cibersegurança e, principalmente, na esfera de privacidade. O ano já começou a todo vapor e a função DPO em alta no Brasil – diante da LGPD e nos EUA regulamentações como a CCPA, da Califórnia – já está tirando o sono de muitos executivos de segurança.
Certamente, não podemos subestimar o nosso inimigo e o foco é pegar todas as armas que temos ao nosso alcance e aplicá-las para nossa defesa. Não basta ouvir um especialista no assunto em um curso de MBA ou conferência, mas aplicar o conhecimento.
Evidentemente que os ataques sofridos estão sempre relacionados à falha em alguma parte do processo ou na tecnologia utilizada e, portanto, devemos fazer uma autoavaliação do ambiente, seja por um checklist ou gap analysis, para ter uma foto clara da real situação de risco em nossa empresa.
Para concluir, gostaria de esmiuçar alguns pontos de atenção:
– Erros de configuração e ausências e correções segurança -> Talvez seja o gap mais crítico e responsável por muitas invasões. Aplicar hardening usando checklists da Center for Security, um processo eficaz de gestão de vulnerabilidades e patch management irão mitigar estes gaps.
– Falha em código de aplicações web e mobile -> Executar revisão de código, aplicar OWASP TOP 10 para desenvolvimento de web seguro, teste de invasão SAST e DAST, MITRE ATT&CK, scan de vulnerabilidades com ferramentas sofisticadas e considerar também soluções.
– Falsa sensação de segurança em cloud -> O ambiente de nuvem é mais que complexo e, portanto, considerar novas soluções como CASB, guia prático para segurança em cloud da CSA, soluções de EDR, ClowdStrike, CarbonBlack, CyberReason, LimaCharlie, CloudPassage, etc.
– Fragilidade na interface de autenticação e arquitetura -> A fim de reduzir custos em alguns momentos a maioria busca uma medida compensatória, mas que não resolve o problema como todo. Fortalecer a política de senha da aplicação, aplicar dois fatores de autenticação, uso de protocolos seguros, algoritmos de criptografia fortes, soluções de WAF que analisam tráfego criptografado e definição de uma arquitetura segregada, assim como segregar toda a rede do PCI-DSS da rede corporativa pode elevar os custos, mas tornará o ambiente mais seguro. Em outras palavras: seja um amigo e aliado do arquiteto.
– Ausência de processos -> Como resolver um problema se não sabe qual é a causa raiz e por onde começar? Aplique um gaps analysis usando um standard como a ISO 27001, um COBIT 5 para elevar a maturidade de governança, um NIST para complemento de risk managment e cybersecurity. É importante visualizar se o processo de third party é eficaz, a gestão de acesso, change management, gestão de configuração, business continuity, disaster recovery e awareness security program estão sendo executado perfeitamente. Como o sábio diz: pois os nossos conhecimentos podem ser imperfeitos, mas quando vier o que é perfeito, então o que imperfeito desaparecerá!
Enfim, é mais que um processo contínuo de melhoria, é um estilo de vida dentro do ecossistema de cibersegurança respirando todos os dias, identificando, protegendo, detectando, respondendo e recuperando. Dessa maneira, seremos capazes de avançar e lutar contra o nosso inimigo com resiliência, tanto que os standards de cibersegurança do NIST e NCSC seguem este modus operandi. Portanto, não subestime o seu inimigo, mas confronte os seus problemas.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, MBA em Gestão de TI pela FIA-USP e professor de cibersegurança na FIA.