Pular para o conteúdo principal

O básico ainda funciona: classificar o dado!

Na visão de Rangel Rodrigues, advisor em Segurança da Informação, autenticação robusta, arquitetura adequada, políticas, criptografia e conscientização são alguns dos controles mandatórios para assegurar a proteção do bem mais valioso das empresas



Não há como proteger algo que você não conhece. Talvez esta frase faça ou não sentido para você, mas a grande verdade é que muitas organizações falham nesse ponto. Ou ainda não o entenderam.

É evidente que se todos da cadeia produtiva compreendessem, de alguma forma, que a cibersegurança faz parte de suas vidas, os CISOs teriam ao alcance a maturidade que todos precisam. E somente por meio de ações como a estratégia de conscientização podemos mudar a forma como os colaboradores pensam. Aliás, tudo está ligado à maneira como o ser humano pensa.

Vamos à prática: proteger uma organização com recursos de cibersegurança começa em analisarmos que tipo de informação precisamos proteger. Esse dado precisa atender um requerimento regulatório? Estar em conformidade com a política de SI? Proteger uma informação financeira ou uma estratégica de negócio para um grupo específico?

Em muitas reuniões que participo com pessoas de negócios e profissionais de tecnologia, esta tática ainda é um pouco conhecida! E qual poderia ser o motivo da causa?

O livro do sábio diz: quem conhece os pensamentos do homem é o espírito do homem que nele está. Portanto, da mesma forma, ninguém conhece os pensamentos de Deus, a não ser o espírito Dele. No caso da Segurança, medimos e aprendemos com o histórico que conhecemos.

Proteger o dado

As preocupações das pessoas de negócios muitas vezes estão ligadas ao resultado final esperado, como por exemplo, o retorno do ROI ou market share. Às vezes, falta um toque de discernimento para falar do ponto primordial sobre a proteção da informação.

É necessário primeiramente entender o que de fato você precisa proteger, “o dado”. Este, como já sabemos, é o ativo, o petróleo valioso para uma empresa. Os dados estão nos meios de comunicação, nos banco de dados, na cloud, na tecnologia IoT dos automóveis, na folha de pagamento, em um sistema de supply chain, etc.

Quando todos os colaboradores souberem que o dado precisa ser classificado de acordo com uma política de classificação de informação e, assim, determinar as medidas de proteção, o caminho ficará mais fácil e a visão holística fica evidente sobre o que precisa ser protegido, contribuindo assim com a avaliação e seleção de controles mais eficazes.

Estou ressaltando aqui um processo que é equivocamente ignorado e não executado corretamente, seja por falta de conhecimento ou falta de uma política de classificação de dados. Se aplicarmos o básico para proteção da confidencialidade, integridade e disponibilidade, o resultado será a garantia da proteção da informação. A tecnologia vem um passo depois.

Autenticação robusta, arquitetura adequada e criptografia são alguns dos controles mandatórios para assegurar a proteção dos dados.

Visto a abordagem do cenário acima, tenho em mente que precisamos continuar fazendo o básico que ainda funciona:

*Aplicar a classificação dados é uma premissa para proteger qualquer ativo de valor, seja uma aplicação, produto ou solução de IoT;

*Ter uma política de classificação e proteção de dados clara suportada por uma política de segurança da informação e pelo conselho executivo;

*Expandir a nova abordagem para a proteção de dados pessoais, ou seja, o conceito de “Personally Identifiable Information (PII)” deve ser disseminado dentro da organização;

*Orientar os colaboradores como proceder para classificar um dado de acordo com os requerimentos internos e regulatórios;

*Instruir todos os colaboradores da cadeia produtiva sobre o papel com a cibersegurança a respeito da proteção do negócio, e em especial faz parte de suas vidas;

*Estabelecer e aplicar continuamente um processo de conscientização principalmente agora com o trabalho remoto;

*Sustentar um processo de gerenciamento de risco com intuito de garantir a remediação dos riscos mediante à falta de controles e findings encontrados alinhado com os objetivos de negócio.

Para sobrevivemos num mundo pós-pandemia, vamos precisar cada vez mais conhecer e entender a transformação digital, as novas formas de acesso, os novos frameworks criados, inclusive, a maneira como trabalhamos! Devemos ter em mente que o mundo mudou e isto não podemos ignorar. Saber lidar com o inesperado, ou seja, um toque de resiliência.

Mas a regra segue a mesma: olhar para a raiz básica da segurança de informação, presente na vida do CISO há 20 anos. Isso ainda não mudou, o que tem mudado é a forma que os invasores entram e exploram.

Este é um sinal de alerta que fazer o básico ainda funciona, pois tudo que vem depois será mais fácil de orquestrar: o conjunto entre o processo, a tecnologia e as pessoas.

Este artigo foi publicado no portal Security Report.

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Information Security Engineer para uma empresa financeira nos Estados Unidos.



Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais