Sempre quando nos estabelecemos em uma empresa a nossa expectativa é que sejamos reconhecidos e façamos um excelente trabalho, pois nosso papel como um profissional de infosec é canalizar a visão holística de cibersegurança conectando com as necessidades de negócio. Mas quando compreendemos que os próprios colaboradores podem ser nossos maiores riscos cibernéticos é uma questão de tempo para começar a investir em pessoas, colaborando para que não sejam um barreira e sim parceiros com a transformação digital.
Dependendo do modelo de negócio da organização versus as regras regulatórias pode ser determinado o quanto será investido em segurança. Porém, o uso adequado e o quanto cada controle deve ser explorado e compreendido pode ser um paradigma. Afinal, tão quanto estamos absorvendo e extraindo o máximo de cada medida de segurança é fundamental. Logo vamos explorar abaixo alguns exemplos de pequenos pecados capitais que devem se extinguindo na perspectiva de segurança.
Comprei uma solução de SIEM mas -> Foi gasto um valor simbólico neste tipo de solução, no qual é capaz somente de monitorar incidentes comuns, não há uma análise comportamental do hábito dos usuários e ausência de skills para manipular uma ferramenta desta natureza. A integração com os logs das principais aplicações e sistemas críticos para obter uma análise mais minuciosa sobre o que usuário está acessando, porque está acessando um sistema que não é comum do seu perfil, ou por exemplo, tal usuário passou acessar sites de emprego, devido alguma insatisfação ou talvez possa ser um alerta para vazamento de dados e ocasionando riscos de privacidade.
A solução DLP só bloqueia USB -> A maior frustração é pagar caro e tentar monitorar o vazamento de dados sem definir uma classificação dos dados através do owner que visa determinar o nível de proteção, seja criptografar o dado na transmissão ou no armazenamento em banco de dados. Portanto, o dado é maior ativo de valor, não adianta colocar um endpoint para DLP se não há classificação da informação e um processo eficaz e entender o fluxo de vida destes dados.
Firewall NGFW de última geração -> Um firewall robusto e muitas features incluídas como WAF, proteção DDoS, análise de tráfico criptogrado, Cloudflare, etc. Porém, não há um processo claro para aprovação de regras ou integração com o processo de gestão de mudança e há ausência de um processo de revisão de regras. São muitas regras repetitivas e algumas eventualmente implementadas para um acesso de um parceiro (PoC) que não foram removidas tornando uma brecha no futuro, logo o DRP não está interligado com a gestão de mudança que não permite ter visibilidade do ambiente de contingência que precisam ser mantidos atualizados.
Tenho um BCP mais -> Contratei uma consultoria e gastei muito com a estratégia para implementação de um BCP e DRP, mas nunca foi feito um teste do plano com pelo menos 30% do ambiente. Dessa maneira, na ocorrência de um sério incidente o BCP ou DRP não será eficaz. Ter um profissional ou um time dedicado para manter atualizado o plano é fator de sobrevivência, e muitas empresas confudem o DRP com BCP, a falta de documentação do processo, contatos das pessoas que ativarão o plano, integração com gestão mudança para manter atualizado os componentes de tecnologia, além da ausência de revisão do BIA tornam atores do fracasso.
Aspectos para atualização do ambiente -> Sou uma fintech ou retail e mantenho tudo em cloud em um provedor altamente seguro, mas peca em ter processos eficazes de gestão de patches e vulnerabilidades, atualização do ambiente, hardening específicos para sistemas críticos, desenvolvimento seguro e revisão de código, aspectos de segurança física desfalcada, política de senha robustas, métodos de autenticação eficazes e ausência de um processo de gestão de avaliação de segurança de terceiros e parceiros são necessários que estão sob sua responsabilidade e não do provedor de cloud.
Visibilidade dos riscos de negócio vs operacionais -> Uma análise superficial sem utilizar uma metodologia e framework de gestão de risco e risk appetite pode dificultar que o conselho entenda os reais riscos para a organização. A falta de um comitê executivo de segurança também pode impedir que a área de segurança conquiste uma cadeira no conselho, se já tem uma cadeira como então passará a transparência se não há um processo de gestão de risco e a governança de segurança articulados.
Soluções que resolvem qualquer problema -> É fato que cada solução ou consultoria tem um objetivo a ser atendido, mas nem tudo é uma história de quadrinhos na vida real, adequar seu ambiente a nova LGPD, ou tirei uma certificação segurança e agora sou capaz de comandar uma área e implementar um projeto, implementei uma solução de gestão de identidade e SoD mas surgem surpresas com sistemas complexos como Supply Chain e Folha de Pagamento. Desenhar uma metodologia de IAM integrado com uma solução não é tão simples, lidar com papéis em cada sistema é uma tarefa árdua, ainda integrar com as demais interfaces e plataformas pode ter em comum a falha da comunicação entre as áreas.
Assim como a utopia para a área de negócio que espera da velocidade de estar em produção para faturar dinheiro. Portanto, o quanto mais rápido escolher um vendor de serviços na perspectiva de segurança tem sido uma desafio versus o tempo para avaliar os aspectos de segurança e sua maturidade de uma determinada plataforma continua sendo uma das principais portas de entrada dos riscos nas organizações, ou seja, note que o paradigma é sempre a forma como o ser humano pensa sobre algo: “deadline é daqui duas semanas”.
Uma pequena porta pode ser capaz de te colocar em uma situação de risco e a surpresa não te pergunta se deve entrar, simplesmente ela chega e devemos ser capazes de responder de forma imediata, o quanto estou maduro para gerir uma situação de risco e pressão. Como lidar com uma surpresa inesperada e nesta hora para onde devemos olhar? A resposta é relativa, pois vai depender da experiência e quanto estamos inteirados com as tecnologias e tendências sobre o que está acontecendo no mercado de cibersegurança.
Fato é que o problema para maioria dos incidentes continua sendo o mesmo que a 15 anos atrás, no caso de ransomware a ausência de backups e atualização do ambiente torna o ambiente vulnerável a infecção por malwares como worm.
De acordo com o último relatório sobre ameaças à Segurança na Internet da Symantec: phishing ou formjacking, por exemplo, continuam sendo um fator de desconhecimento e fragilidades no mindset dos colaboradores que levam a clicar ou acessar um link malicioso e quanto que o vazamento de dados em parceiros muitas vezes está relacionado pela falta de controles de segurança eficazes implementados e a negligência na avaliação de third parties de força minuciosa, pois dependendo da criticidade do engagement uma visita on site ou uma avaliação com efeito conferido é relevante para assegurar o quanto tal parceiro está aderente.
Obviamente não adianta criar um plano de gestão de segurança da informação, adotar os principais frameworks e standards de cybersecurity do mercado, adotar novas tecnologias de segurança sem saber o caminho e para onde deve chegar sem conhecer os reais riscos e ativos do ambiente. A miopia na segurança nasce primeiramente no corpo de colaboradores e naturalmente o conselho comete o mesmo erro se não for sinalizado que a segurança somente será ativa quando todos entenderem que a responsabilidade faz parte do corpo corporativo que inclui todos sem exceção.
Em suma, temos que reconhecer que a melhor forma para combater os riscos cibernéticos é fazendo o básico, o simples, eliminando a procrastinação e a protelação, algo bem comum que costumamos acolher quando tudo parece estar bem. De forma meticulosa não podemos nos acomodar, mas como o sábio diz; devemos renovar e transformar a nossa maneira de pensar e experimentar e colocar em prática o que aprendemos como um hacker cooperando sempre para o melhor da organização e para a nossa satisfação profissional.
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP