Ao longo da minha carreira tenho visto empresas avançarem e outras despencarem no quesito da maturidade de segurança. Diante disso, comecei a raciocinar o motivo que leva o mercado brasileiro ser imaturo quanto a considerar o assunto de cibersegurança como um tema importante no board. Infelizmente quando a foto de segurança não está muito boa ou estamos perdidos da real visão da maturidade de segurança, é comum pegarmos atalhos e isto acaba impedindo o amadurecimento e desenvolvimento da área.
Claro que nenhum profissional de segurança quer passar por um incidente, mas se ocorrer, como será a sua reação? Fato, que sofrer um incidente toda empresa está sujeita, pois tem uma questão que precisamos ter em mente: uma organização é composta por pessoas e as pessoas são o elo mais fraco da cadeia.
Considerando que o sofrimento diante de um incidente de segurança grave pode ocasionar resultados desastrosos para a organização, como foi o caso da Equifax e Capital One, entre outras organizações que sofreram data leak (breach). Além disso, um incidente desta amplitude pode elevar a maturidade desejada, desde que os executivos abracem a causa da cibersegurança no peito e o time de segurança esteja preparado para aplicar um plano de ação.
Pense no caso da vacina que tomamos contra à gripe ou sarampo. Ela nos deixa mais fortes e resilientes contra o vírus e às vezes precisamos passar pelo teste da vacina para ir ao encontro da resiliência. Pelo amor de Deus, não estou sendo hipócrita em dizer que passar por um incidente de segurança é bem visto, mas estamos sujeitos a enfrentar este tipo de evento, claro que este é um assunto que o board não gostaria de ouvir de você e sim sobre o ROI a respeito do budget que foi lhe dado para implantar uma medida de proteção. Por hora, é neste momento que ser articulado e saber como defender uma situação contando uma boa história será capaz de convencer os executivos a importância que a cibersegurança deve sempre fazer pauta do conselho e comitê executivo.
No decorrer deste ano temos visto discursões sobre a implantação da LGPD e muitas empresas a mil por hora em busca da aderência, mas ainda a porcentagem é pouca das empresas que estão avançando com o assunto. Por isso que recentemente uma PL foi colocada em pauta para postergar a vigência e entrada da LGPD. Infelizmente, mas uma vez vemos o jeitinho brasileiro em ação, mas sou humilde em reconhecer que o mercado brasileiro não está ainda tão preparado para recepcionar o assunto “Privacidade, assim como aconteceu na época do PCI-DSS, no qual as bandeiras VISA e MASTERCAD resolveram estender o prazo para que todos ficassem em conformidade em um tempo hábil, aqui é visível que a LGPD tende a seguir o mesmo caminho.
Diante deste cenário, devemos estar preparados com um bom plano de incidentes de segurança in place, um planejamento de crise testado e aprovado. Em outras palavras, devemos aprender com os nossos erros e não permanecer no mesmo ponto, ou avançamos para um próximo nível ou nos manteremos no mesmo estágio. A jornada na cibersegurança é um estilo de vida, ou você anda com ela diariamente e vai ajustando seus controles, suas ferramentas, treinando seus colaboradores ou será uma montanha russa com destino abaixo.
Para finalizar, gostaria de esmiuçar algumas medidas para uma situação de crise:
- Ter um claro entendimento sobre o risk appetite da sua organização e principais ameaças que podem impactar o seu negócio.
- Ter um plano de gestão de incidentes e crise implementados e testados. NIST Cybersecurity and NCSC são frameworks excelentes para tratamento de incidentes em cibersegurança e lembre-se que o board precisa estar inserido no plano de comunicação.
- Ter um BCP e DRP implantados, documentados e testado interligado com o processo de gestão mudança, a fim de garantir que estão sempre atualizados.
- Criar e manter uma base de conhecimento sobre os incidentes ocorridos, aprender com eles e saber como superar e remediar uma situação de crise.
- Ter um processo de gestão de patch e vulnerabilidades no ambiente, pois ainda a falta de atualização do ambiente tem sido um dos maiores alvos de malware, ransomware, botnet, etc.
- Ter bons argumentos para defender o investimento do budget de segurança aplicando uma análise de custo benefício e alinhado com o processo de gestão de risco corporativo.
- Ter uma parceria com prayers de segurança especializadas em cibersegurança sobre novas tendência de ameaças ou até mesmo ter ferramentas com foco em inteligência cibernética (open source e/ou pagas). A ideia é estar a frente ou em linha com as ameaças e os criminosos, as soluções são diversas e vale buscar aquela que mais se adequa ao seu ambiente.
- Ter um SOC 24/7 ativo, seja através de um fornecedor ou interno, o objetivo é sempre manter a sirene acessa sobre qualquer comportamento estranho no seu ambiente. Fique também ligado em ThreatMap de empresas como Fortinet, Checkpoint, Fireeye, Kaspersky, Bitdefender, Akamai, etc.
- Ter um processo contínuo de evangelização sobre a importância da cibersegurança e realize programas de conscientização com os colaboradores e sempre tenha em mente, o usuário é o elo mais fraco da cadeia!
Portanto, o caminho preventivo é sempre a melhor escolha a se fazer, além de aprender com os erros tornará a segurança mais eficaz e com isso vai gerar resultados visíveis para o negócio. Veja que todos os heróis da fé e grande líderes foram flexíveis e incisivos, pois tinham uma visão clara do seu alvo, não importava a situação e a sua ótica era sempre na perspectiva de uma águia, visando o todo por cima e evidentemente encontravam uma solução para o problema.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
