Recentemente, tivemos a oportunidade (muito divertida e interessante, por sinal) de participar de uma série de conferências sobre segurança da informação e segurança cibernética. Durante esses congressos, foram discutidos temas relativamente novos que também são tendências como a NextGen, a Internet das Coisas (IoT), os ataques de DDOS à IoT, as plataformas de inteligência de segurança, entre outras. No entanto, é importante destacar que o fato de alguns desses termos estarem na “moda” não constitui um problema em si mesmo, mas devemos começar a nos perguntar se o mundo da segurança não está vendo as coisas de um modo um pouco errado, deixando de lado alguns assuntos que precisam ser abordados.
Observamos, principalmente, que a maioria das empresas não possuem medidas básicas de segurança implementadas, e muito menos soluções avançadas. Por isso, percebemos como faz falta conhecer o ponto de partida.
Hoje nos unimos à celebração do Dia da Internet Segura (Safer Internet Day), que anualmente é comemorado ao redor do mundo com o objetivo de promover o uso responsável e seguro das novas tecnologias. Neste ano, a data definida foi 07 de fevereiro, com o lema: “Seja a mudança. Unidos para uma Internet mais positiva”. Com esse espírito, exploramos uma nova perspectiva sobre a segurança cibernética, compreendendo-a com uma meta em si mesma, ao invés de algo que está diretamente ligado às necessidades de uma empresa.
Preste atenção nestas 5 lições básicas de cibersegurança:
Lição 1: Comece pela empresa (e seus riscos)
Embora a segurança (na prática) possa ser excepcionalmente complexa, sua essência é bastante simples. A segurança não é nada mais do que reduzir ou excluir riscos, tornando-os visíveis para que a empresa possa aceitá-los e continuar fazendo o seu trabalho. Para fazer isso da forma mais eficaz e eficiente possível, nós, como especialistas em segurança, temos que entender o funcionamento da empresa, e não apenas a partir de uma perspectiva de TI, mas desde uma visão comercial mais ampla.
Começando pela empresa, primeiro temos que identificar, mapear e categorizar os riscos do negócio específico. Em segundo lugar, é preciso determinar, juntamente com a própria empresa, quais os riscos que precisam ser tratados e em qual ordem. Depois que isso for feito, a pessoa responsável pela segurança dentro da organização deve estabelecer um plano de segurança que descreva como essas mudanças precisam ser executadas. Ao fazer isso, é necessário definir metas e prazos claros. Idealmente, isso deve ser feito de uma forma "inteligente", um passo de cada vez, de modo a não se envolver em muitos projetos ao mesmo tempo.
Lição 2: Criar um plano de segurança com um objetivo claro, passo a passo
É essencial definir a sua abordagem de segurança (ou o plano de segurança), que deve ser discutido com a empresa de forma periódica para que sejam feitos os ajustes onde e quando sejam necessários. Durante a criação e execução do plano, os projetos que forem definidos devem contribuir para a redução dos riscos e o alcance do objetivo final.
É importante não perder de vista os objetivos da empresa, pois as pessoas responsáveis pela segurança não devem "restringir ou obstruir" o negócio com as suas medidas de segurança. É uma tarefa que não requer muita ciência e deve ser tratada de forma simples. A criação de um plano deve ser algo que todos, mesmo sem habilidades de TI, possam entender. É claro que a TI desempenha um papel, mas apenas no último momento, quando for necessário implementar soluções de TI para a execução dos projetos de segurança.
Lição 3: Entenda os conceitos básicos antes de implementar soluções de segurança mais avançadas
Ao analisar as conferências que assistimos, percebemos que a maioria das organizações nem sequer têm implementado medidas de segurança básicas, muito menos avançadas. As apresentações de empresas de segurança sobre essas tecnologias geralmente parecem impressionantes e oferecem conteúdo interessante, mas são simplesmente muito avançadas para a maioria das empresas.
Além disso, a experiência mostra que a maioria dos ataques (cerca de 90%) ainda estão usando os métodos mais simples: emails de phishing, anexos de malware, etc. E, claro, o elo mais fraco de todos: o ser humano.
As empresas precisam criar soluções de segurança básicas para esses riscos simples antes de voltarem a atenção em tecnologias mais avançadas. Naturalmente, essas outras soluções também são importantes e devem ser implementadas no futuro, mas somente depois que sejam os princípios básicos sejam fortalecidos.
Muitas vezes, durante as conferências de segurança, há um foco em ameaças sofisticadas e nas APTs (ameaças persistentes avançadas); no entanto, a TalkTalk e a Ashley Madison poderiam ter evitado os ataques que ocorreram se apenas contassem com uma segurança básica.
Lição 4: Estabeleça relações adequadas
A medida que surgem novos desenvolvimentos tecnológicos, os grupos e indivíduos mal-intencionados estão usando ataques e táticas mais variadas e avançadas. Com o tempo, as soluções de segurança mais avançadas se tornarão membros inseparáveis dos planos de segurança mais amplos de qualquer organização. No entanto, é preciso colocar o cimento antes de construir uma casa. E para construí-la, é necessária a colaboração entre o arquiteto, o corretor de imóveis, o pedreiro, o pintor e, claro, o proprietário.
Essa ideia de construir algo juntos é exatamente o que precisa acontecer no mundo da segurança. Temos que cooperar intensamente pois, assim como acontece durante a construção de uma casa, não há um único proprietário ou arquiteto que também seja o melhor em alvenaria, pintura ou construção.
Nenhuma empresa de segurança única tem a melhor solução para cada risco de segurança, por isso, é imprescindível o trabalho em conjunto. Aqueles que produzem golpes para a sua empresa já estão fazendo isso, portanto, é tempo de profissionais de segurança também fazerem o mesmo. Precisamos começar com o proprietário (a empresa) e o cimento (o plano), e depois estabelecer relações com os contratantes certos (os fornecedores de segurança). Só então pode ser construída uma casa forte, confiável e segura.
Lição 5: Envolva a todos!
Para avançar com relação a segurança e o negócio, tem que haver compreensão e apoio por parte da empresa, e vice-versa. Os responsáveis pela segurança devem ser capazes de fornecer explicações breves e claras para que todos os diferentes atores da empresa possam participar. Do contrário, a empresa (e os diretores) nunca entenderão o suficiente para implementar possíveis planos (não importa o quão bom possam ser). Como Einstein disse uma vez: “Se você não consegue explicar algo de modo simples é porque não entendeu bem a coisa...”
