0
0
Recentemente, pediram-me para imaginar que recebi uma hora com altos funcionários da Agência de Segurança Cibernética e de Infraestrutura (CISA) – que conselho eu daria para ajudá-la a ter um impacto ainda maior em 2023 e além?
Foi apenas em 2018 que o governo dos EUA criou a CISA sob os auspícios do Departamento de Segurança Interna. Em apenas alguns anos, seu pessoal fez um trabalho admirável. A qualidade dos lançamentos de conteúdo da CISA é consistentemente de alto nível, sejam eles avisos, infográficos ou vídeos. Seus lançamentos são educativos, acessíveis e oportunos — essenciais em um campo em rápida evolução como a segurança cibernética.
Outro ponto forte são os indicadores técnicos que a agência fornece para ajudar os profissionais de segurança da linha de frente a aplicar suas ferramentas, para pegar intrusos em flagrante ou impedi-los de entrar.
Mas, à medida que o número de ataques cibernéticos continua crescendo e se tornando mais complexo, a CISA pode aproveitar esse sucesso e fazer ainda melhor. Com esse espírito, eu daria esse conselho em minha reunião imaginária com os funcionários da CISA.
Atualizando a estrutura de segurança cibernética e medindo o progresso
Do meu ponto de vista, a agência poderia colaborar com o NIST para atualizar o Cybersecurity Framework lançado em 2014 e atualizado em 2018 – o que as pessoas chamam de NIST Cybersecurity Framework (CSF) versão 1.0. O original aborda cada organização ou empresa como um monólito. Posteriormente, o Departamento de Segurança Interna forneceu orientação de implementação específica do setor.
Em uma atualização, a CISA e o NIST devem reconhecer a realidade de que uma organização é composta de partes componentes, incluindo a rede, a nuvem, dispositivos móveis e inúmeros terminais (e, portanto, muitas vulnerabilidades potenciais separadas). A versão 2.0 da estrutura permitiria que as organizações lidassem melhor com os diversos problemas de segurança inerentes a cada um desses elementos.
Eu também sugeriria adicionar uma medida que ajuda uma organização a entender onde ela está em relação às melhores práticas estabelecidas na estrutura de segurança cibernética. As prescrições da agência são geralmente simples e diretas. Mas eu recomendaria algo como uma barra de progresso que mostre a uma organização se ela está a 20% do caminho em direção às melhores práticas prescritas ou a 60%.
Em um mundo onde as organizações devem tomar decisões sobre riscos de negócios, saber o que é bom, melhor ou melhor pode ser muito útil. Com as ameaças cibernéticas e as melhores práticas de segurança recomendadas em constante evolução, nenhuma organização pode ser totalmente apanhada. Ainda assim, ver seu status em uma escala de maturidade e adesão ajudaria uma organização a entender melhor suas vulnerabilidades e prioridades.
Construir a marca e ampliar o foco
Marketing é outra área que eu mencionaria em minha reunião imaginária. Todos no campo da segurança estão lidando com uma enxurrada de conteúdo e uma enxurrada interminável de notícias e boletins de ameaças. Os materiais da CISA são ótimos para reduzir o ruído. Ainda assim, poucas empresas e organizações estão vendo o que a CISA produz e seguindo seus valiosos conselhos.
Eu diria aos funcionários da CISA: Seus produtos são um de seus grandes pontos fortes, mas há espaço para melhorias em termos de atingir um público maior.
A agência também precisa ampliar seu foco. Neste momento, a CISA concentra-se em três públicos principais:
1. Todos os níveis de governo
2. Grandes empresas
3. Infraestrutura crítica (como a rede elétrica e os sistemas de água do país)
Para os profissionais de segurança que trabalham em uma dessas três áreas principais, a CISA faz um bom trabalho ao emitir orientações e materiais de apoio. E, compreensivelmente, a CISA em seus primeiros anos precisou definir prioridades enquanto seu pessoal construía uma nova entidade.
Agora é a hora de expandir a missão e criar a capacidade de apoiar empresas e organizações de médio e pequeno porte — que são tão vulneráveis quanto suas contrapartes maiores e geralmente precisam ainda mais de ajuda.
Reconheço que a CISA não pode fazer muito com o dinheiro que o Congresso concede a ela, mas o recente acordo de gastos coletivos que aloca um orçamento de US$ 2,9 bilhões para 2023 é um passo na direção certa. Este ano, isso pode significar uma ampliação para incluir entidades de médio porte que empregam apenas 500 pessoas. Depois disso, com a disponibilidade de recursos federais, os funcionários da CISA poderiam assumir o desafio de alcançar organizações menores.
Um compartilhamento mais completo pode promover a confiança
Por fim, a CISA precisa fazer parte de uma solução que ajude a obter mais informações de empresas que sofreram uma violação. Algumas invasões exigem que uma empresa alerte o público, mas muitas não o fazem, o que significa uma inconsistência no relato de vulnerabilidades. É do interesse público ter um conjunto mais consistente de regras de relatórios e um mecanismo para lidar com essas informações. Quanto mais rápido as pessoas divulgarem a inteligência, menos severo será o impacto de um ataque.
Alguns argumentam que a CISA deveria reduzir o limite para a notificação obrigatória de um incidente cibernético . Não acho que chegamos a esse ponto, pelo menos ainda não para violações que não comprometam as informações pessoais do cliente. Primeiro, há a questão do que o governo faria com esses dados auto-relatados.
A chave para a CISA é construir confiança. Isso significa fornecer clareza sobre como os dados compartilhados por uma empresa seriam usados e também como seriam protegidos, para evitar o estigma de humilhação pública. Prometa anonimato para certos casos de denúncia, se for preciso.
Há também uma chance de destacar histórias positivas para combater a melancolia que marca a maior parte da cobertura de segurança na mídia. Com mais frequência do que o público sabe ou ouve, uma organização se defende e neutraliza com sucesso um intruso por causa dos sistemas de segurança que possui. Essas histórias de heróis merecem atenção, e a CISA poderia ajudar a promovê-las – novamente, mesmo com o anonimato – para que a pretensa vítima não convide ataques adicionais.
Mas não importa quais passos sejam dados em 2023, aguardo com expectativa a excelência contínua da CISA em suas áreas de força – compartilhamento de informações e melhores práticas.
Os invasores continuarão usando os movimentos que funcionam, como ataques de phishing e ransomware. E porque não? Eu comparo isso ao basquete, onde tentar 3 pontos longe do aro faz pouco sentido quando um jogador pode marcar de forma consistente fazendo as bandejas fáceis. Cabe a agências críticas como a CISA fazer tudo ao seu alcance para ajudar as organizações a garantir que estejam preparadas da melhor maneira possível para o próximo ataque.
FONTE: HELPNET SECURITY