Pular para o conteúdo principal

As ameaças cibernéticas nas organizações

Na visão de Rangel Rodrigues, advisor em Segurança da Informação, vazamento de dados impacta significativamente as organizações. Para ele, o problema não está no ataque, mas em como o CISO enxerga e estabelece os controles necessários, com integração entre visão corporativa e gestão do ambiente



*Por Rangel Rodrigues

Ouvi uma frase de um grande líder que admiro dizendo: “O problema não é a tempestade, mas a potência que seu barco tem, pois o barco não afunda com a água que está fora, mas com a água que está dentro”, logo me fez pensar como poderia fazer essa relação com os vazamentos de dados ocorridos nos últimos meses.

Olhando por outra ótica, o problema não está nos ataques hackers, mas nas vulnerabilidades, na ausência de recursos e de controles capazes de suportar uma tempestade. Não adianta focar somente no objetivo em achar culpados por um erro de vazamento de dados. Isso é importante para o processo de incidente de segurança? Certamente que sim, mas seus olhos e concentração precisam estar nas medidas que podem trazer confiança e sobrevivência neste tempo de desespero.

Recentemente, um hacker sincero invadiu a página do Sistema Único de Saúde (SUS) e prescreveu o seguinte recado “arrumem esse site porco”. O hacker criticou a segurança tecnológica do website mandando o tal recado para os responsáveis e ainda deliberou uma crítica para a ANPD “como vocês deixaram este website ir para o ar??? – Se for começar deste jeito podem parar e devolver o nosso dinheiro”. A outra parte interessante foi a crítica feita aos grupos de hackers que costumam vender dados na deep web e acrescentou “o custo para arrumar isto vai sair do seu bolso”.

De fato, é uma plena verdade tal crítica. Por um lado, a imprudência por não corrigir a falha, por outro, os fraudadores aproveitando do conhecimento para usurpar do quesito financeiro.

Evidente que a LGPD foi criada com objetivo de proteger os dados pessoais dos brasileiros, mas temos que reconhecer que, desde que foi criada, a regulamentação ainda está em processo lento de implementação no que tange auditoria e monitoramento, além de outros fatores importantes. Em minha opinião, é importante que haja mais ação, não somente a formação de especialistas no assunto.

Não estou dizendo que treinamento e capacitação não sejam importantes, mas estou indicando que não adianta ter certificações e treinamentos se a conscientização diante do conselho das organizações não faz parte do processo e do cumprimento da lei e se o monitoramento não é robusto.

Temos como exemplo casos de excelentes trabalhos como o do Banco Central, que monitora instituições financeiras, corretoras e membros que fazem parte do Sistema Brasileiro de Pagamentos (SPB). Vejamos até o caso do PCI-DSS, que tem feito um trabalho excepcional quanto ao mercado de cartão de crédito que foi aberto no Brasil em meados de 2009, garantindo maior competitividade e benefícios para o usuário final.

Em meados do ano 2000, foi muito visível o fortalecimento da estrutura do Internet Banking, que passou por tempestades naquela época, mas se tornou um exemplo de modelo, talvez o mais seguro do mundo. Mas é lógico que os ares são novos também no setor financeiro, como a migração das aplicações e transações para cloud, além do mobile, que tem exigido uma nova postura de governança pelas instituições financeiras.

Novos ares

Mas chegou a hora de despertar para o novo, um próximo nível de maturidade e governança em cibersegurança. Ou seja, para governar precisamos entender o princípio da proteção de dados na “confidencialidade”, “integridade” e “disponibilidade” casado com o conceito de classificação e proteção.

Retornando ao que comentei no início deste artigo, o problema não está sobre a ótica dos ataques hackers, mas nas vulnerabilidades que estão no barco, na ausência de recursos e controles capazes de suportar perante uma tempestade.

As melhores soluções da história sempre foram descobertas mediante um problema árduo e isso revela e denota que a real situação que o Brasil e o mundo está enfrentando é uma grande oportunidade para criar e colocar em prática os recursos que estão à frente. A solução está à porta, bata que ela se abrirá!!!

Vejamos então uma lista de pontos a se pensar:

– Faça o básico da segurança e proteja o dado: classifique os dados, tenha uma norma de classificação, expanda a abordagem da proteção e privacidade com conscientização entre os colaboradores, determine responsabilidades e implemente um processo de gestão de risco;

– Conheça o terreno e as soluções de segurança, esteja antenado, ouça podcasts sobre o tema, participe de roda de discursões, etc;

– Aplique uma rotina de avaliação de segurança no SDLC, com DAST, SAST, DevSecOps, code review, pen testing, e bug bounty program;

– Invista na evangelização de conhecimento no desenvolvimento de segurança em código com os desenvolvedores. Isso é crucial;

– Criptografia é essencial, mas procure estar atento os algoritmos usados se estão de acordo com o NIST, tenha um standard de criptografia atualizado e comunique internamente;

– Execute e aplique patch management e hardening e não negligencia este processo;

– Utilize MFA, fortifique a camada de autenticação com APIs e logins em aplicações e respectiva arquitetura em camada.

– Teme ao third party risk management e gestão de risco em todas as esferas. Eleve ao comitê de risco se for necessário e busque envolvimento dos executivos;

– Tenha uma postura resiliente e firme diante das cobranças e cumprimento dos objetivos;

– Renove sempre que necessário com soluções inovadoras que ajudem com a oversightdo ambiente (indicadores, KPIs, EDRs com IA, WAF, SIEM, SASE etc);

– Monitoramento do acesso remoto com recursos para BYOD;

– Usufrua dos frameworks de segurança OWASP, NIST, ISO 2700x, COBIT, CIS, etc;

– Realize uma análise de gaps anualmente e tenha um ponto de vista com olhos externos, mitigue o vício da procrastinação e do “confortável”;

– Aprofunde nos conhecimentos e responsabilidades compartilhadas nos ambientes de SaaS/PaaS/IaaS;

– Não podemos ignorar os planos de BCP e DRP para aplicações críticas para a sua sobrevivência, assim com estratégia no ambiente de cloud;

– Reporte e mantenha os executivos informado sobre os status da segurança com indicadores, KPIs, etc.

Lembre-se que o problema não está na tempestade de um ataque, mas como você a enxerga e estabelece os controles no ambiente. Isso irá determinar o futuro da organização e status de sua reputação. Parece simples, mas literalmente não é fácil e por isso a integração entre a visão da governança corporativa com a gestão da segurança da informação fará muita diferença.




Este artigo foi publicado no portal Security Report.

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Senior Security Engineer para uma empresa financeira nos Estados Unidos.

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais