Autor: Max Rahmann, Pre-Sales Solutions Architect da SEK
O risco está presente em tudo que fazemos…
Afinal, se existe a possibilidade de algo acontecer, o risco está presente e isso também vale no segmento de cibersegurança. Inclusive, essa possibilidade é determinante para quantificarmos um cenário mais ou menos arriscado.
O produto da possibilidade de ocorrer um incidente, junto com o impacto ao negócio (prejuízos, como financeiro, operacional, reputacional, entre outros) resulta no nível de risco que uma empresa está exposta.
Para avaliar e gerenciar o risco em cibersegurança, diversas metodologias podem ser utilizadas, como ferramentas ISO/IEC 27005, NIST SP 800-53, CIS Controls (RAM), entre outras. Porém, a abordagem em risco nem sempre é a melhor iniciativa a ser adotada em determinado momento, seja qual for a empresa envolvida.
Inicialmente, quando a companhia não possui medidas básicas de segurança, é importante começar com um programa de conscientização, envolvendo todo o nível hierárquico.
Em uma 2ª fase, surge a abordagem baseada em maturidade, em que lacunas são preenchidas com controles e serviços essenciais, como SOC, plano de resposta a incidentes, gestão de acesso e identidade, MFA etc.
A 3ª etapa é a abordagem baseada em risco, em que ele é identificado, medido, priorizado e gerenciado, de forma quantitativa (indicadores) ou qualitativa (categorias). Os controles de segurança são considerados em conjunto com a natureza da empresa, com objetivo de reduzir o risco.
Em um momento evolutivo seguinte, o foco está na abordagem de cibersegurança proativa, com o conceito de ciber-resiliência, para ajudar a reduzir o tempo de resposta aos incidentes, utilizar técnicas de analytics, machine learning e adotar uma filosofia “security by design”.
Independentemente da fase em que a empresa se encontra, as ameaças precisam ser endereçadas e para isso existem diversas estratégias, que são chamadas de “apetite ao risco”.
Para isso, vamos considerar o risco como parâmetro e analisar seus efeitos:
- Evitar: o produto, serviço ou contrato é finalizado, para eliminar vulnerabilidades.
- Reduzir/mitigar: emprego de tecnologia, melhoria de processos e/ou capacitação de pessoal.
- Transferir: inclusão de terceiros, que assumiriam as consequências, por exemplo em um seguro.
- Aceitar: mais indicada quando a probabilidade da ocorrência e seus impactos são mínimos. Nesse caso, não há investimento ou ação a ser tomada.
Quanto à gestão dos riscos, as seguintes ações são necessárias para alcançar os melhores resultados, com verificações periódicas ou na ocorrência eventual de alguma fusão, aquisição ou mudança corporativa significativa:
- Incorporar completamente a cibersegurança na gestão de riscos empresariais.
- Definir as fontes de valor da companhia entre equipes, processos e tecnologias.
- Entender as vulnerabilidades da empresa (internamente e com terceiros).
- Considerar os “atores maliciosos” e seus potenciais destrutivos.
- Incluir os controles de segurança nos programas internos.
- Traçar os riscos em relação ao apetite da empresa e monitorar os esforços cibernéticos em relação ao apetite, com indicadores (KRIs – key risk indicator e KPIs – key performance indicator)
Se alguma dessas ações são negligenciadas, o próprio risco se eleva, afetando o planejamento, entendimento ou, até mesmo, a própria visão de negócio.
Portanto, quando trazemos situações práticas à gerência como as citadas abaixo, é possível melhorar o engajamento.
- Ransomware:
Forma de malware (software malicioso) que tenta criptografar dados e, em seguida, solicitar resgate para liberar um código de desbloqueio. A maioria dos ransomwares é entregue através de e-mails maliciosos. Para proteger a empresa, alguns cuidados são necessários:
- Conscientização da equipe.
- Proteção contra malware (software antivírus e de proteção contra malware).
- Atualizações de software
- Backups de dados regulares
- Phishing
Tentativa de se obter informações confidenciais enquanto se passa por um contato confiável, por exemplo, um banco ou serviço online.
Uma variante é o spear phishing, tentativa altamente direcionada para obter informações de um indivíduo. Os e-mails de phishing podem aparentar convincentes, muitas vezes com palavras impecáveis e logotipos genuínos.
A prática de simular um e-mail falso de um CEO é conhecido como Whaling, e os cuidados necessários são:
- Conscientização
- Software anti-malware.
- Ativação de filtros de spam ativados.
- Vazamento de dados
Hoje, a segurança vai além do escritório, pois o uso de dispositivos móveis se tornou generalizado e esses recursos também são alvo para cibercriminosos.
Os passos úteis para evitar o vazamento de dados corporativos são:
- Bloqueios por senha nos dispositivos.
- Rastreamento por GPS e a opção de limpar remotamente o dispositivo se o indivíduo perdê-lo ou ser furtado.
- Uso de software de criptografia com dispositivos de armazenamento portáteis.
- Hacking
Obter acesso aos sistemas de TI fora de uma organização ainda oferece opções valiosas para os criminosos. Eles tentam obter acesso às informações de contas bancárias ou bancos de dados de cartões de crédito, propriedade intelectual, entre outras.
Enganar a equipe por meio das técnicas de engenharia social para revelar nomes de usuário e senhas é uma das principais ameaças. Aqui, os principais métodos de proteção são:
- Firewalls de rede e de aplicação.
- Controle de acesso aos dados.
- Conscientização e treinamento do usuário.
- Ameaça interna
A presença de terceiros na organização resulta na maior possibilidade de ocorrer vazamento de dados corporativos por engano ou de forma maliciosa. Também não se pode negligenciar a possibilidade de alguns colaboradores seguirem este caminho devido a alguma frustração ou insatisfação.
De qualquer forma, o dano potencial de um vazamento de documentos não pode ser subestimado. Para mitigar essa perda, é necessário:
- Instruir a equipe para estarem atentos aos problemas e minimizarem erros acidentais.
- Limitar a quantidade de dados aos quais a equipe tem acesso. O princípio do mínimo privilégio mínimos deve ser aplicado a todos os sistemas informáticos, ou seja, forneça apenas o acesso mínimo necessário aos colaboradores para desempenharem suas funções.
- Controle o uso de dispositivos de armazenamento portáteis, como chaves de memória USB, discos rígidos portáteis e players de mídia.
- Em determinadas situações, considere o uso de aplicativos para monitorar o comportamento da equipe (direitos de cópia e transferência de arquivo, por exemplo).
As circunstâncias citadas podem ser evidenciadas com alguns exercícios técnicos, como teste de penetração (pentest), Honeypot com simulação de brechas (BAS-Breach Attack Simulation), ou simulação de phishing/engenharia social.
No caso de exercícios táticos e estratégicos, é possível praticar sessões de aprendizado pela equipe do SOC – Security Operations Center, ou Table Top pela coordenação e alta gestão da empresa.
Além disso, existe um equívoco comum de que apenas alguns tipos e tamanhos de empresas são alvo de hackers. Na realidade, qualquer informação armazenada, independentemente da companhia, pode ser interessante para os criminosos.
Portanto, é justamente em uma avaliação baseada em risco que essa atratividade é evidenciada. Ainda assim, vale ressaltar que o trabalho de gestão de risco nunca termina, pois sempre haverá mudanças na área de segurança, por exemplo:
- Rotatividade de colaboradores, que traz lacunas de conhecimento entre eles.
- Novas tecnologias, como nuvem pública, aplicativos, inteligência artificial, dispositivos IoT – Internet of Things etc).
- Novas técnicas de ataques (variantes de ransomware, phishing, hacking, engenharia social, entre outros).
Por fim, essa realidade é vista como a de uma superfície de ataque dinâmica e por isso é válido afirmar que o risco estará sempre presente, não havendo garantias de que a empresa estará isenta de sofrer algum ataque. Porém, estar preparada para atuar em qualquer situação minimamente previsível é fundamental.