0 0 O termo globalização – a crescente interconexão e interdependência entre os países, culturas e economias do mundo – é sombreado em tons otimistas para as pontes humanitárias que constrói e as vantagens que promete no comércio e na unidade. Embora as empresas de hoje certamente alcancem crescimento e escala a partir da expansão de seus mercados para uma lista ilimitada de compradores em potencial, precisamos jogar apenas um pouco de água fria de realismo na equação. Do ponto de vista da segurança, interligar redes, dados e sistemas com algumas regiões é apenas mais perigoso para nós do que para outras.
As guerras são travadas entre países, e os atores da ameaça estão concentrados e têm como alvo regiões específicas. Para ilustrar, os agentes de ameaças que visam empresas dos EUA geralmente estão dentro da Rússia. Os agentes da ameaça russa também têm razões geopolíticas para atacar empresas ucranianas. Em outras regiões, os bens da empresa são considerados propriedade do Estado e podem ser apreendidos, invadidos ou inspecionados a qualquer momento e, às vezes, inspecionados digitalmente sem detecção. Outros países, incluindo a China, têm um longo histórico de captura de propriedade intelectual de empresas privadas. Considerando essas verdades óbvias, é importante que as empresas com escritórios em terras estrangeiras – não importa quão pequenas e às vezes esquecidas – entendam a exposição ao risco que um pequeno escritório satélite na Arábia Saudita ou em Xangai pode representar para o escritório doméstico em Chicago (por exemplo), caso compartilhem abertamente as mesmas redes, aplicativos e dados sem restrições.
É mais um problema do que você pensa
Muitas organizações globais têm escritórios em locais internacionais que representam pelo menos algum risco para elas. Embora as equipes de TI trabalhem para empregar práticas de segurança rigorosas em sua organização como um todo, elas devem considerar controles específicos quando se trata de regiões que tenham:
- Um histórico estabelecido de hacking/ransomware
- Leis contra a privacidade pessoal e comercial
- Defender/praticar a espionagem do Estado-nação
- Exigir filtros de estado-nação (inspeção da Internet e proxies)
- Uma história de invasão de escritórios comerciais
- Uma população ou economia amplamente oprimida
- Uma história significativa de roubo de propriedade intelectual
Abaixo estão alguns grupos de risco e níveis recomendados de proteções e controles de segurança. Cada grupo é priorizado numericamente pelo risco (do maior para o menor).
Grupo de Risco 1 (alto risco):
- Países com os quais sua região está em conflito militar/ideológico ativo ou potencial ou envolvido em competição econômica ou tecnológica significativa.
- Regiões que geram mais atividades de hacking, além do seu próprio país ou seus aliados. Essa lista mudará dinamicamente, assim como seus aliados. Por exemplo, os Estados Unidos e seus aliados são frequentemente encontrados nessas listas disponíveis publicamente; no entanto, as empresas americanas não segmentariam seus próprios escritórios corporativos e considerariam seus aliados de baixo risco.
- Países que não respeitam as leis de privacidade corporativa. Esses países representam um risco de espionagem ou roubo de propriedade intelectual sob incursões patrocinadas pelo governo ou infiltração digital.
Grupo de Risco 2 (risco moderado):
- Países politicamente neutros (sem conflito militar atual ou tensão elevada) que estão economicamente deprimidos e apresentam taxas mais altas de crimes digitais.
Para todos os outros países, devemos sempre assumir que há algum risco – por isso vamos considerá-los “Grupo de Risco 3“.
Protegendo escritórios dentro dos grupos de risco
Em um mundo ideal, segmentaríamos e isolaríamos cada escritório que reside em um país separado. Mas não podemos descartar usabilidade, custo e resposta em tempo hábil. Abaixo estão algumas diretrizes gerais de segurança por grupo de países.
Grupo de Risco 1: Estes representam o mais alto nível de risco, e os escritórios aqui devem ser completamente isolados da rede corporativa. Esses escritórios devem manter sistemas, bancos de dados, backups, aplicativos separados e não compartilhar soluções de software como serviço (SaaS) com as operações primárias corporativas. Embora isso represente custos e inconvenientes, o risco desses países é muito grande para ser ignorado. Os escritórios devem aderir às práticas recomendadas de segurança, incluindo princípios de confiança zero, segurança em camadas entre pessoas, processos e tecnologia e defesas rigorosas de movimentação lateral.
Grupo de Risco 2: Esses países representam riscos modestos de hacking e privacidade corporativa. Os escritórios aqui devem aderir às práticas recomendadas de segurança, e os usuários nesses locais não devem ter acesso generalizado a sistemas globais. Aproveite o controle de acesso baseado em função estritamente imposto e habilite esse acesso por meio de uma máquina de infraestrutura de área de trabalho virtual (VDI) baseada nos EUA (nunca pela WAN). O acesso de usuário concedido a indivíduos deve ser registrado no registro de risco.
Grupo de Risco 3: Embora não recomendemos proteções especiais para esse grupo, a organização global deve empregar as práticas recomendadas de segurança e entender e implementar totalmente as defesas de identidade, ponto de extremidade e movimento lateral.
Uma estratégia intencional em um cenário incerto
Não existe “risco zero” e, nessas decisões, há sérias compensações de usabilidade e custo. Em última análise, a liderança deve estabelecer sua tolerância ao risco e decidir intencionalmente os controles que deseja fazer dentro desses níveis de tolerância para demonstrar que tomou os cuidados razoáveis para proteger o negócio. Temos ajudado na recuperação de muitas organizações em que uma violação ocorreu devido a problemas de segurança com os escritórios da organização ou terceiros em estados nacionais mais arriscados.
Somos um mundo, mas ainda precisamos ser realistas sobre como interagimos com nossas várias contrapartes dentro desse mundo para operar com segurança em um cenário às vezes adverso.
FONTE: DARK READING
