Sobrevivendo a distração no campo da cibersegurança

O mercado de Segurança da Informação vive um momento de ascensão para os profissionais desse setor, existem eventos de sobra, sala de discursão, grupo de WhatsApp, portais de notícias, certificações e treinamentos disponíveis para se manter atualizados e atentos com as novas tendências e modalidade de ataques

Compartilhar:

Por Rangel Rodrigues

 

Os sábios dizem que as empresas só aumentam o budget de cibersegurança quando sofrem um incidente como vazamento de dados. Recentemente o Uber assumiu a ocorrência de uma violação de dados e um pouco depois na mesma semana publicou novas vagas para engenheiros e especialistas no Linkedin. Evidentemente que fazer o básico de cyber higiene já é de conhecimento de muitos CISOs e profissionais da área, aliás a área de cibersegurança tem se tornado uma das mais importantes na atualidade.

 

Se um vazamento de dados ocorre de quem é a culpa? Nesta hora, o primeiro a perder a cadeira é o CISO e alguns membros do time. O ponto em questão é se realmente a culpa é sempre do time de cibesegurança. Aqui na América quando o Capital One sofreu um vazamento de dados em 2019 depois de algum tempo foi retratado que a culpa não foi do CISO que foi demitido, e por que os representantes das outras áreas também não foram despedidos?

 

A intenção aqui não é apontar um culpado, pois os próprios CIOs e CTOs estão cansados desses apontamento de dedos, mas pelo contrário esperam uma estreita relação ao longo destes anos, e não vejo outra saída da organização CISO construir um bom relacionamento com os times de tecnologia e claramente agir com maneira incisiva no reforço do cumprimento das políticas e estar atento as distrações.

 

Estamos vivendo um momento de ascensão para os profissionais desse setor, existem eventos de sobra, sala de discursão, grupo de WhatsApp, portais de notícias, certificações e treinamentos disponíveis para se manter atualizados e atentos com as novas tendências de ataques. Tanto que podemos deduzir que um vazamento de dados pode estar ligado a vários fatores, como a falta de tempo, falta de profissionais especializados, falha na conduta de gestão de riscos alinhado com as expectativas do negócio, ausência um trabalho contínuo na cultura da organização endereçando a importância do tema e outros aspectos como a melhoria de processos com a automatização.

 

A área de segurança da informação em vez de dizer não para todos, deve avaliar com cautela o cyber risk, assim como no sistema financeiro todo ativo que tem risco deve ser tratado com a devida atenção como mandatório.

 

Desta forma, nós profissionais de cibersegurança precisamos estar preparados e resilientes para gerir um incidente e aprender com a causa. No meu ponto de vista, o incidente acaba sendo uma oportunidade para fazer a diferença na organização e definitivamente agir de forma articulada espalhando e reforçando a todos uma cultura de cyber risk. Não tem jeito, nestes 20 anos trabalhando com cibersegurança, o CISO pode ter as melhores ferramentas e pessoas, mas se não espalhar a importância de uma cultura de cyber risk sinalizando que o cyber risk não é somente de TI e “Sim” um risco da organização estará sujeito a levar a empresa ao caixão.

 

Visto disto, em vez de listar possíveis controles e recomendações que devem ser aplicadas, pensei aqui em explorar alguns dos problemas que encontramos internamente no ambiente corporativo, e a partir disso levar em consideração, aplicando uma análise risco crítica e saudável para seguir com um plano de gestão de cibersegurança preciso e eficiente, mas é claro que haverá erros, não tem como chegar ao alvo se não errarmos, e algumas vezes teremos que encarar o risco gerindo com sabedoria.

 

Novamente, as melhores práticas vocês já conhecem e estão disponíveis na Internet, em frameworks e artigos que eu escrevi anteriormente. Então, convido para que olhem a lista abaixo e pensam se algum destes itens é um conhecido. Assim sendo, a ideia é pegar o papel, anotar e pensar como podemos tratá-lo, seja com o uso da tecnologia, por meio de processo ou através das pessoas que é o ativo principal. Reforço que os itens descritos nesta lista são alguns dos fantasmas que nós conhecemos e não sabemos ocasionalmente como mitigá-los, mas podemos aprender, absorver o conhecimento e aplicá-los. Então para a lista:

 

• A área de cibersegurança se tornou um blocker e não atende com eficiência e eficácias as demandas do negócio, seja pelo uso de processos manuais com ausência de automatização como DevSecOps no que tange cloud;

 

• Ausência de um processo de conscientização contínuo e suportado top down pelos executivos, a fim de criar uma cultura madura com o tema proposto;

 

• Aspectos relacionado a falta de mão de obra de profissionais capacitados, competição com a concorrência, ausência de política e uma cultura de retenção e ambiente tóxico colaboram para a troca frequente de profissionais;

 

• Aspectos associado ao ensino e progresso da nova geração que não tem paciência e querem se tornar um diretor em pouco tempo, não que seja impossível acontecer e ruim, mas a vivência na área gera um profissional resiliente, articulado e capaz de gerir tempestades em momentos críticos como um data breach;

 

• A área de negócios, stakeholders e TI não conhecem a importância da classificação dos dados e muitos menos não sabem a existência de uma política relacionada, e aqui mora o perigo, pois o ativo “dado” é o que determina o nível de proteção de um sistema ou aplicação;

 

• Excesso de trabalho gera falta de tempo e consequentemente a negligência por parte do time de cibersegurança no que tange a conscientização e disseminação da matéria na organização;

 

• Ausência de budget em cibersegurança, conflitos de interesses entre CISO e outros executivos, falhas na comunicação em falar o idioma do negócio e entendimento sobre o mercado de competição;

 

• O time de cibersegurança não tem todas as respostas para os problemas e necessidades vindas do negócio, mas é preciso agir sabiamente quando se trata de um pedido que pode impactar de forma relevante o negócio como o risco de reputação, multas, etc;

 

• A uso de SAST e DAST podem criar um atrito entre os desenvolvedores com o time de cibersegurança uma vez que estes processos irão identificar falhas no código que nunca haviam sido identificadas anteriormente. A dificuldade será em cumprir com o timeframe da política de gestão de vulnerabilidades, e o CISO vai ter que ser estratégico e incisivo para reduzir os riscos que uma falha pode gerar ao negócio ou impacto a uma regulamentação como PCI-DSS;

 

• Modelos de serviços em cloud como CASB e WAF requer um processo de onboard para mudança apontando para um proxy na nuvem, uma atividade um pouco complexa que requer conhecimento técnico sendo essencial um processo bem desenhado com um SLA preciso, pois o dono da aplicação por falta de conhecimento pode não entender e gerar conflitos em caso de impacto de um deadline de entrega de um produto;

 

• A gestão de risco precisa ser bem fundamentada, pois qualquer risco identificado no negócio precisa ser gerido (aceitar, evitar, mitigar e transferir) e se não tiver um suporte do alto escalão requerendo aprovação por exemplo de dois owners por parte de business e TI, o gerente de risco vai sofrer um pouco com o follow-up para garantir que os prazos sejam cumpridos para resolução de um problema;

 

• Com a pandemia muitas empresas migraram para cloud e não souberem gerir bem os controles respectivos, como o de controle de acesso que tem sido crucial para uma boa gestão de cloud evitando o blast radius. A maneira que gerimos na cloud muda em alguns aspectos comparando com on-premises e, portanto, não podemos manter a gestão da cloud em uma única conta e atenção para controles adicionais como MFA;

 

• E por fim, aspectos de rumores de uma recessão, crise financeira, e conflitos de guerra acabam persuadindo os cibercriminosos com possíveis ataques de ransomware, phishing, etc.

 

Obviamente muitos são os problemas que cada time de cibersegurança encontram e enfrentam, prontamente é preciso sobreviver nesta hora sendo determinado tendo um pacto com seu time de cibersegurança em acreditar que quando não há conselhos os planos podem se frustar, mas quando há conselheiros a tendência é ter sucesso com o plano, pois como vimos acima é fundamental ter um oversight sobre os processos, tecnologia e pessoas dentro da organização, ser conhecedor nato de tecnologia e sobre as tendências e ameaças no terreno cibernético.

 

Todavia a visão ampla sobre o papel da cibersegurança, um time persuasivo, articulado, capaz de comunicar e fazer analogias em casos reais, a fim de conquistar a governança sobre a cibersegurança gerará resultados a longo do tempo. Por isso, carecemos ter um mindset aberto e disposto a vivenciar mudanças, gerindo conflitos com resiliência para enfrentar o stress em momentos de crise.

 

Lembre-se que um vendedor que sabe usar o momento certo para endereçar os resultados com métricas convincentes para o board com uso adequado de recursos usando o melhor de cada solução. Além de saber o papel de injetar a cibersegurança com uma prioridade na organização com uma boa visão de negócios, e no fundo ter como raiz a paixão sobre o tema tem tudo para dar certo.

 

Com um bom plano diretor de segurança com metas claras e caso o CEO ou qualquer executivo pergunte por onde começar, o time deve capaz de prover a melhor a resposta, pois existem regras a seguir dependendo do modelo de negócio este time irá discernir onde deve ser priorizado os seus esforços.

 

Para concluir, o bom time deve entender que o estilo de vida em cibersegurança requer melhoria contínua e por isso suas mentes sempre devem estar ligadas com sensores sobre o que está acontecendo com a transformação digital. É imprescindível que este time conheça os riscos cibernéticos que estão mantendo o conselho acordado à noite e acredito que o segredo para uma gestão eficiente é discernir a capacidade de identificar como coletar uma inteligência de ameaças de forma coletiva e, portanto, a revisão do processo de gestão de risco é fundamental, pois as pessoas na empresa precisam entender suas responsabilidades, pois não podemos gerenciar o risco para elas. O owner do risco estará sempre dentro dos negócios enquanto os gerentes de risco em cibersegurança, bem-vindo ao time!

 

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Risk Engineer para a uma empresa financeira nos Estados Unidos.

 

 

Conteúdos Relacionados

Security Report | Colunas & Blogs

Como integrar Cyber Security, Proteção de dados e DevOps?

Considerando todas as etapas do processo operacional e cada grupo de dados segundo o seu uso presente na empresa, é...
Security Report | Colunas & Blogs

Estamos prontos para o futuro com a IA?

Algumas propostas do mercado de tecnologia, como a chegada da Inteligência Artificial e a migração de todos os players em...
Security Report | Colunas & Blogs

Tendências da Black Hat USA 2024: O que acontece em Vegas não fica em Vegas

O evento direcionado a especialistas e líderes de Segurança da Informação revisitou diversos temas essenciais e em destaque na atualidade...
Security Report | Colunas & Blogs

Brasil: Um terreno fértil para o Cibercrime

De acordo com matéria da Folha de S. Paulo, 4.600 pessoas são alvos de golpes financeiros a cada hora no...