0
0
Por Bruce Lynch
Para uma espécie senciente, os humanos, em geral, têm ideias curiosas quando se trata de avaliar e responder ao risco. Por exemplo, estudos mostram que usar cintos de segurança ao dirigir automóveis salva vidas. Estudos também mostram que quando ciclistas usam capacetes, mais vidas de ciclistas são salvas. Essa pesquisa impulsiona o uso prolífico de cintos de segurança e capacetes entre motoristas e ciclistas, respectivamente. Um estudo australiano revelou que uma lei obrigatória de capacete para motoristas e passageiros de automóveis tem o potencial de salvar pessoas de morte por lesão na cabeça a uma taxa 17 vezes maior do que uma lei de capacete para ciclistas.
No entanto, mesmo com esses dados em mãos, a menos que você seja um corredor profissional, é muito provável que não use capacete em automóveis. É estranho que mitigamos vigorosamente um risco e ignoramos efetivamente outro que pode trazer uma consequência idêntica. Existem muitos exemplos assim, e a cibersegurança não é imune a esse fenômeno. Em muitas instâncias, a liderança organizacional espera que as equipes de segurança se envolvam em “marcar caixas” usando esforços tradicionais, levando a uma falsa sensação de segurança. Quanto do que sua organização faz realmente protege suas aplicações e dados e quanto disso é “teatro de cibersegurança”?
Neste post, identificaremos cinco áreas onde você pode pensar que está entregando cibersegurança, mas, na realidade, seus esforços podem ser totalmente insuficientes.
- Segurança na nuvem. Você estaria cometendo um erro se não perguntasse ao seu provedor de serviços em nuvem nativo “e a segurança?” O que você pensa quando seu fornecedor diz: “garantimos uma arquitetura segura”? Se seu próximo pensamento não for “e os meus dados?”, então você está fazendo “teatro de cibersegurança”, porque a segurança dos dados é sua responsabilidade. As arquiteturas em nuvem são seguras porque foram projetadas para ser assim. Os riscos começam a ganhar força quando as organizações movem cargas de trabalho para a nuvem rapidamente e perdem o controle de onde seus dados sensíveis estão. Você precisa de um bom catálogo de dados, saber onde estão as cópias, onde podem estar os instantâneos etc. Você deve ter políticas de controle de acesso em torno de dados sensíveis. Você deve ter trilhas de auditoria, a capacidade de passar dados por forense, se necessário, a capacidade de validar quais são os direitos e reduzi-los, e verificar vulnerabilidades a partir de uma perspectiva de superfície. Essas não são práticas novas; o que é novo são os ambientes em nuvem.
- Segurança perimetral. Meu colega Elad Erez escreveu, após estudar 27.000 bancos de dados locais, que os Imperva Research Labs determinaram que uma em cada duas bases de dados locais globalmente tem pelo menos uma vulnerabilidade. Essa pesquisa prova que a maneira como os dados estão sendo protegidos hoje simplesmente não está funcionando. Durante anos, as organizações priorizaram e investiram em ferramentas de segurança perimetral e de endpoint, assumindo que a proteção dos sistemas ou redes em torno dos dados seria suficiente. No entanto, essa abordagem não está funcionando, pois este é um problema expansivo e global. As organizações precisam repensar a maneira como protegem os dados e garantir que sua estratégia realmente proteja os próprios dados.
- Privacidade de dados. Até recentemente, as organizações consideravam a privacidade de dados como uma questão de conformidade; uma caixa a ser marcada para os auditores. O registro e monitoramento de dados tradicionais cobriam uma parte muito pequena do patrimônio de dados de uma organização e deixavam a maior parte dos dados sensíveis expostos a ameaças internas e externas. Quase todas as organizações cujos dados sensíveis foram roubados estavam em conformidade, mas 54% das empresas relataram não saber onde seus dados sensíveis estão armazenados. As organizações hoje devem adotar uma abordagem centrada nos dados para proteger os dados sensíveis que gerenciam. Há um longo caminho a percorrer. Dados recentes coletados pela Cloud Security Alliance revelam que apenas oito por cento das empresas têm uma estratégia de privacidade por design totalmente implementada, com quase dois terços atualmente em fase de construção ou planejamento.
- Segurança de API. A Interface de Programação de Aplicações (API) é um intermediário de software que permite que aplicativos se comuniquem entre si. Uma pesquisa recente da SlashData mostrou que, até o final de 2020, quase 90% dos desenvolvedores estavam usando APIs. À medida que os desenvolvedores continuam a depender mais de microserviços e ferramentas de código aberto para acelerar a transformação digital, as APIs se tornaram os principais motores da inovação nos negócios digitais e as organizações devem ter um sistema confiável para protegê-las. Embora ter firewalls de aplicativos da web e proteção contra DDoS seja essencial para uma postura geral de cibersegurança, isso não é suficiente para impedir cibercriminosos que estão aproveitando a dependência dos desenvolvedores em APIs e buscando deliberadamente novos vetores de ataque e exploits. As organizações devem proteger aplicações locais e de múltiplas nuvens bloqueando ataques críticos à segurança de APIs, fornecendo um modelo de segurança positivo construído a partir de especificações OpenAPI, integrando segurança à gestão do ciclo de vida das APIs e entregando uma solução unificada para a segurança de sites e APIs.
- Conscientização de segurança dos funcionários. A PWC relatou que 30% das empresas afirmam que seus próprios funcionários são sua maior fonte de riscos de segurança. As razões apresentadas para isso são treinamento inadequado, políticas de segurança ruins e comunicação deficiente das políticas. Simplificando, se sua abordagem à conscientização de segurança dos funcionários é pouco mais do que um conjunto estático de diretrizes incluídas em um manual que você espera que as pessoas leiam, você está fazendo teatro de cibersegurança. O CSO Online relatou que 94% do malware é entregue por e-mail e ataques de phishing representam mais de 80% dos incidentes de segurança relatados. Mais de um quarto dos funcionários dos EUA admite ter problemas em identificar um e-mail de phishing. As equipes de segurança devem fornecer educação contínua sobre melhores práticas à medida que os vetores de ameaça mudam e exercícios como ataques de phishing simulados são elementos essenciais desse esforço.
Retornando à analogia do cinto de segurança e do capacete, existem muitas razões pelas quais as pessoas não usam capacetes no carro. Como sociedade, por quaisquer razões, estamos dispostos a lidar com o risco adicional. Os profissionais de cibersegurança não compartilham esse luxo quando se trata de gerenciar os dados sensíveis de outras pessoas. À medida que o cenário de ameaças cresce e as apostas do fracasso aumentam, as equipes executivas e o público perderam a paciência com o “teatro de cibersegurança”. É hora de fazer melhor.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.