A Cyber and Infrastructure Security Agency (CISA) instou as empresas da indústria de Segurança da Informação a avançarem rapidamente na eliminação da gestão de acessos por meio de senhas padronizadas. A demanda surge em resposta ao incidente cibernético contra a Autoridade Municipal de Águas da cidade de Aliquippa, Pensilvânia, e oferece novos rumos para a gestão de acesso em soluções de segurança.
Nesse contexto, a ampliação dos recursos de proteção de acessos das ferramentas com mais fatores de autenticação permanece uma das prioridades para as empresas que atuam com infraestrutura crítica. De acordo com a Head de Cibersegurança, Cristiane Dias, senhas padronizadas de fornecedores representam um risco significativo ao possibilitar acesso não autorizado a sistemas críticos. Portanto, é imperativo garantir integralmente outros tipos de controle de tráfego de usuários.
“O alerta da CISA destaca ameaças específicas enfrentadas pelo setor de água e esgoto, exigindo a atenção imediata das organizações para fortalecer suas posturas de segurança. Isso implica na revisão das medidas de proteção, implementando as recomendações do órgão para mitigar os riscos e criar um senso de colaboração com empresas do segmento para padronizar as adequações impostas”, explica Cristiane em entrevista à Security Report.
A executiva reforça que, assim como no cenário norte-americano, a vertical de Infraestrutura Crítica no Brasil está sujeita a riscos similares, especialmente devido à natureza interconectada das organizações de serviços essenciais e à evolução das ameaças no ciberespaço. No entanto, a deficiência nacional de órgãos regulatórios efetivos, como a CISA, dificulta a disseminação uniforme de demandas como essa, com empresas globalizadas saindo na frente em relação a essas adaptações mais rígidas.
O contexto de uso de soluções de Segurança da Informação em setores com amplo uso de tecnologias IoT é vital para garantir a resiliência contra ameaças cibernéticas no país. O CISO da Vale, Rui Borges, alerta para a necessidade de atuar mais fortemente na gestão de vulnerabilidades, um desafio que cresceu visivelmente devido aos equipamentos utilizados e ao próprio ambiente digital da Infraestrutura Crítica, ainda muito dependente de equipamentos legados.
“Muitas soluções disponíveis no mercado se propõem a reduzir o trabalho do CISO, mas a simples contratação de um produto não garante isso. Ainda precisamos priorizar, investir, treinar nossos times e seguir em um longo processo de reajuste para a ferramenta atingir todo o potencial. Deixar esses recursos operando no ‘piloto automático’ é um risco para qualquer profissional de Cibersegurança, pois é necessário bastante tempo até se achar a configuração ideal”, afirmou Borges.
O Futuro da Gestão de Acessos
As recomendações oferecidas pela CISA também podem orientar a adoção de métodos mais avançados de autenticação, como biometria, tokenização e gerenciamento de identidade mais robusto. Dessa forma, na visão de Cristiane Dias, a substituição gradual de senhas por autenticações mais fortes se torna uma possibilidade nos ambientes aptos a receberem essas mudanças, impulsionada por avanços tecnológicos e crescente conscientização em Cibersegurança.
Portanto, será essencial aos líderes de Segurança da Informação priorizarem a implementação de medidas avançadas de proteção, como autenticações multifatoriais, educação contínua dos usuários sobre práticas seguras e a revisão regular das políticas internas sobre o tema. Em casos de ambientes legados e com dificuldades de proteção, Cristiane recomenda aplicar conceitos de segregação para isolar sistemas mais frágeis e reduzir sua exposição.
“Essa estratégia conta com diversas necessidades adicionais, como criar bloqueios físicos e lógicos, além de incentivar a proteção proativa e a detecção de ameaças. Em suma, não se deve deixar de lado as iniciativas de investimentos contínuos, treinamento adequado e compreensão aprofundada das ameaças como pontos cruciais para garantir a proteção efetiva desses sistemas vitais”, afirmou.
Rui Borges ainda ressaltou a necessidade de ampliar a cultura de Cibersegurança, especialmente na alta gestão corporativa, visando oferecer todo o suporte para a SI garantir o pleno funcionamento de seus dispositivos. “Ou seja, havendo mais maturidade dos executivos em relação ao tema, também haverá mais investimentos e priorização dos projetos de gestão de acesso, autenticação multifatorial, entre outros, pois a tecnologia já existe no mercado”, arrematou ele.
