Diversas empresas ainda se veem enfrentando falsas sensações de Segurança, motivadas por uma infinidade de soluções de ponta adquiridas pelos times de Cyber e controles mitigatórios ainda pouco disseminados entre os departamentos. Segundo o BISO, Rangel Rodrigues, mudar essa percepção errônea requer formação dedicada de uma cultura Cibernética entre os funcionários e lideranças
Por Rangel Rodrigues*
Há mais de duas décadas temos visto a importância da Segurança da Informação no contexto corporativo, embora ainda seja comum algumas organizações negligenciarem este tema. Achar que está seguro pode ser algo temporário, portanto, é necessário atitude para se manter seguro. Às vezes, a organização só terá uma chance para assegurar a proteção dos seus ativos e negligenciá-la pode ser o suficiente para sofrer um ciberataque.
O fato de se ter ferramentas avançadas, com um toque e Artificial Intelligence (AI), não é garantia que o ataque cibernético nunca ocorrerá. Da mesma forma, a existência de controles mitigatórios também não garante proteção total. A meu ver, as empresas procuram profissionais resilientes, o que enseja algumas perguntas a serem respondidas: O quanto estamos preparados para agir diante um ataque cibernético de ransomware? Para ser resiliente, é preciso já ter vivenciado um incidente de segurança? Qual a nossa capacidade de lidar com a frustração? Qual seria o principal mindset para ganhar a batalha contra os cibercriminosos?
Eu diria que as respostas envolvem um conjunto de ações e atividades de segurança conectados e alinhados com os executivos e a cultura da organização. Infelizmente, algumas empresas só entendem a importância do setor depois do incidente cibernético, e, por hora, creio que algumas não irão mudar.
De nada adianta ter no ambiente boas ferramentas com recursos avançados, mas o básico de Segurança não está sendo feito. Em princípio, é necessário entender o valor dos ativos e da informação, e priorizar o mais importante e crítico. Contudo, considerando que todo ativo tem algum valor para a empresa, mesmo o que não é tão relevante não pode ser negligenciado.
Threat intelligence, monitoramento e melhoria contínua são fatores igualmente ricos para sobrevivência da organização, e devem ser focados na perspectiva de Cibersegurança como forma de determinar o resultado futuro dos ativos protegidos.
Nestes 20 anos atuando em cyber risk, tenho notado que muitas organizações forçam a aquisição de produtos e implementação de soluções robustas, sem ter o conhecimento preciso sobre o que realmente precisa proteger. Antes de elencar alguns fatores essenciais de riscos, os profissionais de Cyber devem cultivar a mente de um hacker, entendendo os mesmos pensamentos.
Ressalto que esta é uma opinião minha: sempre quando executei uma análise de risco para uma situação específica durante o levantamento e entendimento do cenário, a minha mente já imaginava uma situação de ciberataque, avaliando como poderia acontecer, onde poderia ser explorado e o resultado do impacto. É uma forma que utilizo para analisar os possíveis cenários.
Entretanto, elenco também alguns dos fatores que requerem atenção. Talvez esta seja a chave para construir um melhor cenário dentro da sua organização, elevando a maturidade de Segurança da Informação:
Não importa o caminho escolhido, a mudança de mindset é mandatória para vencer a batalha contra os cibercriminosos, pois este é um adversário que nunca irá desistir. Segundo um dos provérbios de Salomão, o cavalo deve ser preparado para a batalha. Para nós em Cyber, não é diferente.
Por Rangel Rodrigues*
Há mais de duas décadas temos visto a importância da Segurança da Informação no contexto corporativo, embora ainda seja comum algumas organizações negligenciarem este tema. Achar que está seguro pode ser algo temporário, portanto, é necessário atitude para se manter seguro. Às vezes, a organização só terá uma chance para assegurar a proteção dos seus ativos e negligenciá-la pode ser o suficiente para sofrer um ciberataque.
O fato de se ter ferramentas avançadas, com um toque e Artificial Intelligence (AI), não é garantia que o ataque cibernético nunca ocorrerá. Da mesma forma, a existência de controles mitigatórios também não garante proteção total. A meu ver, as empresas procuram profissionais resilientes, o que enseja algumas perguntas a serem respondidas: O quanto estamos preparados para agir diante um ataque cibernético de ransomware? Para ser resiliente, é preciso já ter vivenciado um incidente de segurança? Qual a nossa capacidade de lidar com a frustração? Qual seria o principal mindset para ganhar a batalha contra os cibercriminosos?
Eu diria que as respostas envolvem um conjunto de ações e atividades de segurança conectados e alinhados com os executivos e a cultura da organização. Infelizmente, algumas empresas só entendem a importância do setor depois do incidente cibernético, e, por hora, creio que algumas não irão mudar.
De nada adianta ter no ambiente boas ferramentas com recursos avançados, mas o básico de Segurança não está sendo feito. Em princípio, é necessário entender o valor dos ativos e da informação, e priorizar o mais importante e crítico. Contudo, considerando que todo ativo tem algum valor para a empresa, mesmo o que não é tão relevante não pode ser negligenciado.
Threat intelligence, monitoramento e melhoria contínua são fatores igualmente ricos para sobrevivência da organização, e devem ser focados na perspectiva de Cibersegurança como forma de determinar o resultado futuro dos ativos protegidos.
Nestes 20 anos atuando em cyber risk, tenho notado que muitas organizações forçam a aquisição de produtos e implementação de soluções robustas, sem ter o conhecimento preciso sobre o que realmente precisa proteger. Antes de elencar alguns fatores essenciais de riscos, os profissionais de Cyber devem cultivar a mente de um hacker, entendendo os mesmos pensamentos.
Ressalto que esta é uma opinião minha: sempre quando executei uma análise de risco para uma situação específica durante o levantamento e entendimento do cenário, a minha mente já imaginava uma situação de ciberataque, avaliando como poderia acontecer, onde poderia ser explorado e o resultado do impacto. É uma forma que utilizo para analisar os possíveis cenários.
Entretanto, elenco também alguns dos fatores que requerem atenção. Talvez esta seja a chave para construir um melhor cenário dentro da sua organização, elevando a maturidade de Segurança da Informação:
- Formar de profissionais de Cyber com um mindset crítico sobre os cenários de ameaças, sendo articulados e resilientes;
- Vencer a pecha de roadblock da SI e permitir agilidade e assegurando a proteção dos produtos e serviços da organização;
- Transformar a função de Cyber risk como um risco do Negócio e da organização, não apenas um problema de Segurança;
- Trabalhar fortemente na cultura da organização, trazendo uma visão holística sobre a importância da área para o business, independentemente da estrutura;
- Expor o CISO como um facilitador do Cyber Risk Management, muito além do mero papel de prevenir brechas de Segurança;
- Evitar a antecipação na compra de soluções de Segurança. Antes, garanta o básico, mapeando, priorizando e visualizando a arquitetura do ambiente, as aplicações críticas, os requerimentos regulatórios e findings abertos;
- Desenvolver uma arquitetura do ambiente, exigindo um desenho de arquitetura para toda a aplicação, aplicando threat modeling, classificando a informação e as aplicações ao nível de criticidade e definindo os requerimentos de segurança;
- Evitar a negligência da Segurança em on-premises e cloud. A cloud traz soluções e respostas para muitos dos problemas em um datacenter tradicional, mas é necessário gestão financeira e capacitação em cloud technology;
- usar cases reais de incidentes para implementar uma cultura madura com a influência e ajuda dos executivos. Caso a sua organização não esteja suportada por regulamentação, como finanças, saúde e cartão de crédito, esta é uma boa estratégia;
- Usar Cyber Risk Management para ajudar significativamente as organizações a mitigarem e resolverem riscos de Segurança, especialmente através destes pontos:Implemente uma cultura de Segurança da Informação;
- Defina uma estratégia de cyber risk management;
- Defina uma visão, metas estratégicas, objetivos e métricas;
- Entenda quem são os principais threat actors e métodos de ataques;
- Mapeie os ativos críticos de negócios por meio do BIA ou risk assessment;
- Defina um programa de governança em Cibersegurança;
- Defina controles e tecnologias que podem proteger os ativos da organização;
- Segurança deve ser considerada sempre no início de um projeto e/ou desenvolvimento de uma nova aplicação e não depois quando já está em produção;
- Faça considerações para as questões regulatórias, jurídicas, legais, etc.;
- Defina e implemente um incident response plan ativo para gerir ocorrências e lições aprendidas na organização.
Não importa o caminho escolhido, a mudança de mindset é mandatória para vencer a batalha contra os cibercriminosos, pois este é um adversário que nunca irá desistir. Segundo um dos provérbios de Salomão, o cavalo deve ser preparado para a batalha. Para nós em Cyber, não é diferente.
Este artigo foi publicado no portal Security Report.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSP, CCSK, CCISO, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, é BISO para a uma empresa financeira nos Estados Unidos.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSP, CCSK, CCISO, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, é BISO para a uma empresa financeira nos Estados Unidos.
Comentários
Postar um comentário