Em momentos de desaceleração do mercado e mudanças globais, a área de segurança da informação segue demandando atenção constante
Informação é um dos principais ativos de uma empresa. Os cibercriminosos sabem disso e vivem em busca de oportunidades para invadir sistemas, interferir na operação e corromper ou sequestrar dados. Em momentos como o que estamos vivendo, quando muitas equipes de tecnologias estão dividindo as atenções entre as demandas rotineiras e o suporte aos profissionais que trabalham remotamente e ainda acelerar seu plano de transformação digital, é preciso redobrar a atenção para a ação dos criminosos.
Já parece haver no mundo um certo consenso que ao passar por este episódio de pandemia iremos regressar para um “novo normal”, onde provavelmente trabalho remoto será um alicerce, assim como o uso de cloud computing. Um dos efeitos colaterais da Pandemia é que esta acabou por acelerar os planos de transformação digital das empresas. É certo que sairemos deste momento com uma adoção mais ampla da cultura e das práticas associadas ao mundo digital.
O mundo caminha velozmente para sua versão digital e segurança deve fazer parte deste caminho. Grande parte dos líderes empresariais não estão acostumados ou cientes dos riscos cibernéticos associados ao seu negócio. Realizar um assessment realístico do nível de maturidade da empresa frente a um dos grandes standarts de segurança do mundo, como NIST, CIS ou ISSO é primordial para definir o tamanho aceitável do risco que a empresa quer correr. De modo consciente.
Hoje existem diversas organizações que são capazes de atribuir um score de risco cibernético a qualquer organização. Este score em um futuro muito próximo impactará estrategicamente sua organização, do valuation a aquisição de novos clientes. Criar, gerir e conscientizar sobre um plano de segurança da informação de modo bastante métrico, hoje, é peça fundamental para o sucesso de qualquer organização.
Provavelmente, grande parte da sua linha de defesa foi construída sob o conceito de que todos estariam trabalhando dentro dos seus escritórios e redes corporativas (gostamos de chamar isso de nosso perímetro). Ocorre que neste momento estas linhas de defesa são pouco eficazes pois todos os trabalhadores estão trabalhando de casa, com conexões internet não monitoradas entre outros riscos de segurança.
Neste cenário é fundamental, restabelecer sua linha de defesa e monitoração para este cenário usando das mais diversas tecnologias de proteção disponíveis no mercado. Recomendo aqui especial atenção a criptografia das informações, antivírus modernos e atualizados usados em conjunto com sistemas de detecção de ameaças instalados em cada notebook (chamados de EDRs), criação de um túnel de acesso a empresa e seus sistemas que seja criptografado (chamamos de VPNs) e a adoção de dois fatores de autenticação para todos os usuários de TI da empresa (os famosos tokens). Estas são medidas mínimas para o enfrentamento da situação atual, tratando-se de riscos a serem mitigados em curtíssimo prazo.
Como o aumento das transações digitais, todas as empresas estão mais suscetíveis a ataques através de seus websites corporativos, sistemas acessíveis pela internet e e-commerce. A verdade é que grande parte destes sistemas foi desenvolvido sem uma grande preocupação com segurança. Evidencia facilmente comprovável quando vemos que grande parte dos ataques se realizam por esta “porta de entrada”. Neste momento em que todas as transações das empresas passam a ser digitais é de fundamental importância priorizar a linha de defesa desta área em três frentes.
A primeira é proteger os sistemas que já estão publicados com o uso de um Firewall de Aplicações, a segunda é cuidar para que sua esteira de desenvolvimento use práticas de desenvolvimento seguro com metodologias, treinamento e ferramentas próprias para isso. Finalmente, uma terceira preocupação reside na troca de informações entre sistemas através das famosas APIs. Aqui há que se ter uma preocupação em quem acessa o que, de que forma e se existem abusos e comportamento maliciosos.
Muitas empresas cresceram ao longo dos anos, contrataram novos colaboradores, mudaram colaboradores de função e, inclusive, desligaram colaboradores em seu ciclo natural da vida profissional. Ocorre que muitos dos acessos a sistemas, diretórios e ambientes podem (arriscaria dizer devem) estar desatualizados. Colaboradores que já foram Marketing e agora estão em outra área podem ainda ter acesso às informações de marketing, profissionais de uma área do financeiro ainda podem ter privilégios de outra área que faziam parte e por aí vai. Estes controles são super difíceis de se manter de modo manual. Se considerarmos que todos estavam dentro do perímetro este risco estava mais controlado, na situação atual ele se eleva.
Faz-se necessário acelerar um projeto de automatização neste campo. Começando por um diagnóstico automático de quem tem que privilégio em cada parte da organização, agrupamento e revisão destes permissionamentos em grupos de trabalho e automação da criação e alteração de acessos decorrentes de movimentos de movimentação de pessoal na organização.
Se computação em nuvem já era um desejo de muitos, agora é o novo normal. As empresas que não possuíam projetos de computação em nuvem, já adotam uma postura de cloud first neste momento. Ocorre que a migração para ambientes em nuvem sem a devida preocupação com segurança já vinha acarretando problemas significativos.Toda semana tem uma notícia de uma banco de dados exposto na nuvem. Gerir as configurações de segurança na nuvem é responsabilidade do cliente e não do provedor da nuvem (isso está em contrato!). Ocorre que isso não é uma tarefa simples, sobretudo se sua organização usa muitas nuvens, como AWS, Azure, Google etc.
Hoje existem tecnologias que conseguem não apenas prover a visibilidade necessária para a segurança destes ambientes, mas também forçar um compliance ativo com a política de segurança. Em palavras simples, quer dizer que qualquer atividade feita no ambiente de nuvem será monitorada sob a ótica de segurança e se executada de forma descuidada, automaticamente alterada para refletir a política de segurança da empresa.
Todas as empresas têm fornecedores, alianças estratégicas, parceiros de negócios ou outros agentes do ecossistema que acessam ou consomem informações e sistemas da empresa. Em segurança dizemos que a sua segurança é tão boa quanto a segurança do seu elo mais frágil. Um atacante pode se valer do acesso de um fornecedor para conseguir sequestrar seus dados ou mesmo roubar seus segredos industriais.
O antigo processo de avaliação de risco de terceiros baseados em auditorias presenciais ou por troca de documentos, já está sendo substituído por avaliações baseadas em Score de risco cibernético. Existem bureaux mundiais especializados neste tipo de avaliação e grande parte das empresas já estão catalogadas para este fim. Cabendo então mediante o conhecimento do score do risco, compartilhar boas práticas de segurança para elevar o nível de segurança do ecossistema inteiro.
Pode parecer complicado em um primeiro momento, mas acredite o mundo digital veio para ficar. Esta pandemia vai acelerar o processo de transformação digital e como consequência os riscos cibernéticos que hoje já são classificados como o quinto maior risco do mundo, serão ainda mais relevantes para a sua organização, ao ponto de se converterem uma vantagem neste novo mundo digital.
*Rafael Sampaio é country manager da Etek NovaRed
