Uma boa estrutura em infosec promove uma segurança e maturidade entre o time de especialistas e a formação de líderes resilientes e articulados. Pode parecer que as empresas americanas e europeias sigam um modelo de estrutura corporativa capaz de disseminar a importância da segurança dentro da organização com harmonia e, naturalmente, é factível visualizar os resultados ao longo do tempo.
Isso representa a formação e o desenvolvimento contínuo dos colaboradores no que tange também a segurança cibernética. Evidente que no cenário mundial algumas empresas falharam e já sofreram de vazamento de dados. Fato que responder perguntas, como “O que torna mais preocupante em termos de ameaças para a sua organização?” não seja tão simples para responder, pois depende de caso a caso. Logo que para um ambiente de cloud existem vários fatores a considerar e muitos gestores pecam e não possuem um insight sobre o que está acontecendo em tempo real.
O bom líder traz revelação sobre as estratégias de segurança com ousadia e visão para construir o alicerce com uma estrutura eficaz e cativa os colaboradores revelando a sua identidade e a sua responsabilidade com a segurança da informação. O velho testamento relata a experiência de José, que foi governador do Egito e responsável por elaborar um plano de prevenção para salvar o Egito de um período de escassez de alimentos. Durante os primeiros sete anos trabalhou no preventivo economizando comida para uma seca que viria por mais sete anos. Podemos perceber que no mundo corporativo os controles preventivos distribuídos em operacionais e processuais tornam a organização sadia e o resultado pode ser vistos com o aumento de market share, a segurança na reputação e a estabilidade da disciplina de cibersegurança na perspectiva corporativa dentro da empresa.
Um dos problemas que vemos na área de segurança é empresas com diversas soluções, migrando para nuvem as suas aplicações críticas, mas continuam cometendo erros básicos:
- Não aplicam a classificação da informação para os sistemas e aplicações e pagam um preço caro por isso, soluções de DLP são adquiridas, pois precisam proteger os seus dados corporativos, mas sem um critério claro e, portanto, não garantem a proteção efetiva e protelam sem ter a real visibilidade do fluxo de dados.
- Não conhecem a fundo a arquitetura do ambiente, mesmo migrando para cloud esquecem o nível de complexidade deste ambiente e não estabelecem as ferramentas certas ou, em alguns casos, encaram a falta de recursos de pessoas e o fator financeiro acaba sendo também relevante, pois não houve uma avaliação precisa sobre o real custo a ser gasto com novas soluções de proteção.
- As empresas não aplicam risk assessments na infraestrutura lógica, em aplicações internas e ambientes físicos, e falham em interligar com o processo de gestão de risco.
- As organizações não adotam um processo de gestão de vulnerabilidades e atualização do ambiente. Ainda o hardening nas aplicações como seguir os standards da CIS (Center for Internet Security) que são ferramentas essenciais para proteger um ambiente de nuvem. As mudanças em produção são feitas na cloud em uma velocidade para atender o deadline do negócio com DevOps e imagens são montadas em containers sem a devida proteção, vão para produção e não são escaneadas, colocando em risco o ambiente.
- A transformação digital tem acelerado a necessidade do uso de programação, logo a necessidade por estes profissionais está em alta, mas o desconhecimento em processos seguros de desenvolvimento aplicando no ciclo do SDLC usando DecSecOps, OWASP, Microsoft SDL e CERT Secure Coding ainda continua um problema. Entretanto, a aplicação da segurança – incluindo o uso de ferramentas de code review, threat modeling, SAST e DAST, scan de vulnerabilidades web e penetration testing (blue and red team) – nos ambientes de desenvolvimento e produção é primordial.
- Backups são feitos, mas não estruturados. Faltam testes de restore e não tem um BCP e DRP implementado. O fato de estar em nuvem faz com que os gestores de segurança subestimem a proteção de dados, apostando que o provedor de cloud já oferece alta disponibilidade.
- Ausência de criptografia em base de dados ou acabam usando um algoritmo desatualizado, como exemplo, um certificado digital (TLS) para webserver que tem validade de três anos, o que o torna fraco e vulnerável por estar usando algoritmo quebrável e descoberto dentro do período de validade. Como então remediar este tipo de gap trabalhando com o orçamento e tempo? Por hora, nem estou mencionado a gestão e proteção das chaves criptográficas que pode ficar com o cliente, que precisará de soluções de mercado ou manter diretamente no KMS da provedora de cloud. Pense também na segregação de função e conceitos de mínimo privilégio nestes processos de gestão de chaves criptográficas.
- Outra área bem atacada em on-premisses e cloud continua sendo a gestão de identidades. As aplicações falham por não estabelecer uma arquitetura robusta para autenticação de acesso, há muita aplicação utilizando ainda uma política de senha fraca, MFA nem é cogitado, a falta de processo estruturado para provisionamento de acesso, revisão de acesso, logs para rastreabilidade e SoD acabam sendo um grande obstáculo para gerir.
- Third party é o desconhecido, fato que muitas empresas ainda não realizam gestão de fornecedores e a grande realidade que muitos compartillham dados em parceiros, em provedores de nuvem e ainda dão acesso à sua rede corporativa sem ao menos garantir que estes vendors estão aderentes às melhores práticas de segurança da sua organização e do mercado. Você pode ter excelentes ferramentas de segurança instaladas em sua casa, mas se deixar a chave na porta de entrada ao lado de fora, a consequência pode ser desastrosa e seu plano pode chegar a porta da falência.
- Acesso remoto dos colaboradores ainda continua sendo um fantasma. Vale sempre considerar um fator de forte autenticação (MFA), principalmente em ambientes com a permissão de uso de BYOD e virtual machine e soluções capazes de identificar máquinas sem a devida proteção. Pense também em soluções de IoT – no que tange ao desenvolvimento seguro e proteção destes dispositivos. No artigo anterior mencionei um ataque de replay em uma bomba de insulina, no qual os atacantes interceptavam os pacotes de dados e detinham acesso e controle total do dispositivo, um risco relevante para crianças que dependem deste tipo de dispositivo.
Novamente este artigo não tem intenção de cobrir todos os pontos que venham impedir a criação de uma base segura e resistente aos furacões, mas visa elucidar todo e qualquer profissional de segurança da informação que as ações básicas e os processos conhecidos não devem ser negligenciados, mas aplicados com prudência e excelência.
É fato que incidentes irão ocorrer e será preciso estar pronto. Em 2017, estive na Flórida durante o furacão Irma. O sistema de monitoramento de furacões trabalha sempre no preventivo, instrui a população a manter o básico de primeiros socorros em casa, água e alimentos e, dependendo do grau de amplitude e a força do furacão, os usuários são orientados a moverem para lugares seguros, como bankers. Por hora, eu fiquei com a minha família em um hotel bem estruturado e resistente até categoria 4 de furacões. A experiência foi interessante e, claro, tivemos medo e no final foi tudo tanquilo. O impressionante que três dias após o evento, a cidade não parecia ter passado por um furacão daquela proporção, embora houvesse pontos de recuperacão como árvores derrubadas, falta de energia, etc., mas a chave durante o episódio foi a prevenção que fez toda a diferença.
Assim, vejo que para gerir a cibersegurança com um retorno investimentos esperado ao propósito do negócio versus a transformação digital, o melhor caminho talvez ainda seja continuar seguindo e aplicando as recomendações dos melhores standands e frameworks para governança cibernética e infosec como ISO 27001, COBIT, NIST Cybersecurity, NCSC, NIST 800-30 Risk Management, Cloud Security Alliance, etc. E, caso este tema não seja prioridade, procure pensar como o estado da Flórida está se preparando para enfrentar o furacão Dorian e os próximos capítulos a história serão contados.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP