Pular para o conteúdo principal

O alicerce é fundamental para estar seguro


Para Rangel Rodrigues, advisor em Segurança da Informação, um dos problemas de cibersegurança que as organizações têm enfrentado é a migração do ambiente crítico para a nuvem sem mecanismos de cloud security.

Uma boa estrutura em infosec promove uma segurança e maturidade entre o time de especialistas e a formação de líderes resilientes e articulados. Pode parecer que as empresas americanas e europeias sigam um modelo de estrutura corporativa capaz de disseminar a importância da segurança dentro da organização com harmonia e, naturalmente, é factível visualizar os resultados ao longo do tempo.

Isso representa a formação e o desenvolvimento contínuo dos colaboradores no que tange também a segurança cibernética. Evidente que no cenário mundial algumas empresas falharam e já sofreram de vazamento de dados. Fato que responder perguntas, como “O que torna mais preocupante em termos de ameaças para a sua organização?” não seja tão simples para responder, pois depende de caso a caso. Logo que para um ambiente de cloud existem vários fatores a considerar e muitos gestores pecam e não possuem um insight sobre o que está acontecendo em tempo real.

O bom líder traz revelação sobre as estratégias de segurança com ousadia e visão para construir o alicerce com uma estrutura eficaz e cativa os colaboradores revelando a sua identidade e a sua responsabilidade com a segurança da informação. O velho testamento relata a experiência de José, que foi governador do Egito e responsável por elaborar um plano de prevenção para salvar o Egito de um período de escassez de alimentos. Durante os primeiros sete anos trabalhou no preventivo economizando comida para uma seca que viria por mais sete anos. Podemos perceber que no mundo corporativo os controles preventivos distribuídos em operacionais e processuais tornam a organização sadia e o resultado pode ser vistos com o aumento de market share, a segurança na reputação e a estabilidade da disciplina de cibersegurança na perspectiva corporativa dentro da empresa.

Um dos problemas que vemos na área de segurança é empresas com diversas soluções, migrando para nuvem as suas aplicações críticas, mas continuam cometendo erros básicos:

  • Não aplicam a classificação da informação para os sistemas e aplicações e pagam um preço caro por isso, soluções de DLP são adquiridas, pois precisam proteger os seus dados corporativos, mas sem um critério claro e, portanto, não garantem a proteção efetiva e protelam sem ter a real visibilidade do fluxo de dados.
  • Não conhecem a fundo a arquitetura do ambiente, mesmo migrando para cloud esquecem o nível de complexidade deste ambiente e não estabelecem as ferramentas certas ou, em alguns casos, encaram a falta de recursos de pessoas e o fator financeiro acaba sendo também relevante, pois não houve uma avaliação precisa sobre o real custo a ser gasto com novas soluções de proteção.
  • As empresas não aplicam risk assessments na infraestrutura lógica, em aplicações internas e ambientes físicos, e falham em interligar com o processo de gestão de risco.
  • As organizações não adotam um processo de gestão de vulnerabilidades e atualização do ambiente. Ainda o hardening nas aplicações como seguir os standards da CIS (Center for Internet Security) que são ferramentas essenciais para proteger um ambiente de nuvem. As mudanças em produção são feitas na cloud em uma velocidade para atender o deadline do negócio com DevOps e imagens são montadas em containers sem a devida proteção, vão para produção e não são escaneadas, colocando em risco o ambiente.
  • A transformação digital tem acelerado a necessidade do uso de programação, logo a necessidade por estes profissionais está em alta, mas o desconhecimento em processos seguros de desenvolvimento aplicando no ciclo do SDLC usando DecSecOps, OWASP, Microsoft SDL e CERT Secure Coding ainda continua um problema. Entretanto, a aplicação da segurança – incluindo o uso de ferramentas de code review, threat modeling, SAST e DAST, scan de vulnerabilidades web e penetration testing (blue and red team) – nos ambientes de desenvolvimento e produção é primordial.
  • Backups são feitos, mas não estruturados. Faltam testes de restore e não tem um BCP e DRP implementado. O fato de estar em nuvem faz com que os gestores de segurança subestimem a proteção de dados, apostando que o provedor de cloud já oferece alta disponibilidade.
  • Ausência de criptografia em base de dados ou acabam usando um algoritmo desatualizado, como exemplo, um certificado digital (TLS) para webserver que tem validade de três anos, o que o torna fraco e vulnerável por estar usando algoritmo quebrável e descoberto dentro do período de validade. Como então remediar este tipo de gap trabalhando com o orçamento e tempo? Por hora, nem estou mencionado a gestão e proteção das chaves criptográficas que pode ficar com o cliente, que precisará de soluções de mercado ou manter diretamente no KMS da provedora de cloud. Pense também na segregação de função e conceitos de mínimo privilégio nestes processos de gestão de chaves criptográficas.
  • Outra área bem atacada em on-premisses e cloud continua sendo a gestão de identidades. As aplicações falham por não estabelecer uma arquitetura robusta para autenticação de acesso, há muita aplicação utilizando ainda uma política de senha fraca, MFA nem é cogitado, a falta de processo estruturado para provisionamento de acesso, revisão de acesso, logs para rastreabilidade e SoD acabam sendo um grande obstáculo para gerir.
  • Third party é o desconhecido, fato que muitas empresas ainda não realizam gestão de fornecedores e a grande realidade que muitos compartillham dados em parceiros, em provedores de nuvem e ainda dão acesso à sua rede corporativa sem ao menos garantir que estes vendors estão aderentes às melhores práticas de segurança da sua organização e do mercado. Você pode ter excelentes ferramentas de segurança instaladas em sua casa, mas se deixar a chave na porta de entrada ao lado de fora, a consequência pode ser desastrosa e seu plano pode chegar a porta da falência.
  • Acesso remoto dos colaboradores ainda continua sendo um fantasma. Vale sempre considerar um fator de forte autenticação (MFA), principalmente em ambientes com a permissão de uso de BYOD e virtual machine e soluções capazes de identificar máquinas sem a devida proteção. Pense também em soluções de IoT – no que tange ao desenvolvimento seguro e proteção destes dispositivos. No artigo anterior mencionei um ataque de replay em uma bomba de insulina, no qual os atacantes interceptavam os pacotes de dados e detinham acesso e controle total do dispositivo, um risco relevante para crianças que dependem deste tipo de dispositivo.
Novamente este artigo não tem intenção de cobrir todos os pontos que venham impedir a criação de uma base segura e resistente aos furacões, mas visa elucidar todo e qualquer profissional de segurança da informação que as ações básicas e os processos conhecidos não devem ser negligenciados, mas aplicados com prudência e excelência.

É fato que incidentes irão ocorrer e será preciso estar pronto. Em 2017, estive na Flórida durante o furacão Irma. O sistema de monitoramento de furacões trabalha sempre no preventivo, instrui a população a manter o básico de primeiros socorros em casa, água e alimentos e, dependendo do grau de amplitude e a força do furacão, os usuários são orientados a moverem para lugares seguros, como bankers. Por hora, eu fiquei com a minha família em um hotel bem estruturado e resistente até categoria 4 de furacões. A experiência foi interessante e, claro, tivemos medo e no final foi tudo tanquilo. O impressionante que três dias após o evento, a cidade não parecia ter passado por um furacão daquela proporção, embora houvesse pontos de recuperacão como árvores derrubadas, falta de energia, etc., mas a chave durante o episódio foi a prevenção que fez toda a diferença.

Assim, vejo que para gerir a cibersegurança com um retorno investimentos esperado ao propósito do negócio versus a transformação digital, o melhor caminho talvez ainda seja continuar seguindo e aplicando as recomendações dos melhores standands e frameworks para governança cibernética e infosec como ISO 27001, COBIT, NIST Cybersecurity, NCSC, NIST 800-30 Risk Management, Cloud Security Alliance, etc. E, caso este tema não seja prioridade, procure pensar como o estado da Flórida está se preparando para enfrentar o furacão Dorian e os próximos capítulos a história serão contados.

Este artigo foi publicado no portal Security Report.


* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais