0
0
CEO da Vantix. Formado em Engenharia Elétrica com Ênfase em Computadores (FEI), pós-graduação em Marketing e Educação (SENAC/SP) e Redes (IPT/SP), com mais de 25 anos de mercado, atuando nas áreas técnica e comercial.
Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama atenção: se, por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.
Trata-se de uma faca de dois gumes, afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou uma exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.
Além de prejudicar a sua imagem, que tem exposta ao mercado suas fragilidades de segurança, ao ter os sistemas ou a rede invadidos e as informações críticas e/ou dados pessoais sequestrados, automaticamente a empresa pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.
Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle. Mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.
E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.
O que fazer, então? Separei alguns pontos:
1º) Rever o básico
Muitas tecnologias já estão implementadas, mas carecem de sustentação no dia a dia. As ferramentas mais elementares, como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching, estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adota processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.
2º) Limitar o acesso dos atacantes
Três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, anti-phishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além disso, há autenticação multifator (MFA) para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, ou seja, sair de um ponto A para um ponto B dentro das nossas redes.
3º) Executar um diagnóstico situacional
É claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas alvo pra se atingir ciber-resiliência: 1) Proteção da informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) Proteção contra ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e os processos de recuperação e continuidade de negócios; 3) Gestão de identidades e acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e, por fim, as operações de segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades através de um roadmap tecnológico para a adequação.
4º) Elevar a segurança para uma função estratégica
Estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é a chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem-informadas serão extremamente facilitadas com essa cadeia.
5º) Segurança ofensiva e gestão das vulnerabilidades
Não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises, testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.
FONTE: ECOMMERCE BRASIL