Checklist CIO

Por Harvey Koeppel – post traduzido pela Módulo Security

O cenário de ciberameaças fica mais perigoso a cada dia. Para ajudar os CIOs a enfrentarem estes desafios, Harvey Koeppel elaborou um “checklist” de segurança cibernética com 12 itens.

Uma das poucas coisas que os “especialistas” parecem concordar é que o cibercrime é um perigo eminente para a segurança nacional. Estas questões têm ido muito além do campo das revistas esotéricas de TI e livros cult de ficção científica – elas invadiram nossa consciência coletiva diária e bem-estar como indivíduos, famílias, empresas, governos, sociedade e como cultura em geral. Muitos opinam em profundidade sobre como o cenário cibernético tornou-se o novo campo de batalha em que as guerras futuras serão travadas: nações vão ascender e ruir com base em sua capacidade tecnológica para agressivamente atacar e se defender contra a nova geração de cibercriminosos.

Em uma conferência na Universidade de Stanford no início deste ano, o presidente Obama fez a seguinte declaração sobre o cenário cibernético: “Os primeiros vírus infectaram computadores pessoais no início de 1980, e, necessariamente, nós estamos em uma corrida armamentista cibernética desde então. (…) Nós projetamos novas defesas e em seguida hackers e criminosos encontram novas maneiras de penetrá-las. Quer se trate de phishing ou botnets, spyware ou malware, e agora ransomware, esses ataques estão se tornando mais e mais sofisticados a cada dia.”

Cegos para o cenário das ameaças cibernéticas

“O sucesso não consiste em não errar, mas em nunca cometer o mesmo erro uma segunda vez” – George Bernard Shaw

Então, qual é o problema aqui? Se isso já vem acontecendo há mais de 30 anos, por que não conseguimos controlar? No relatório de 2015 de defesa contra ameaças cibernéticas (América do Norte e Europa), o Grupo CyberEdge compartilhou o que eu considerava ser uma descoberta alarmante: 71% dos entrevistados disseram que foram afetados por um ataque cibernético bem sucedido em 2014; mas apenas 52% dos 71% acreditavam que seriam vítimas novamente em 2015.

Poderia ser verdade? E os outros 19%? Sentindo-me um pouco cético sobre o que eu estava lendo, verifiquei a metodologia da pesquisa, em particular, os dados demográficos dos entrevistados: 814 tomadores de decisão e profissionais de segurança de TI, todos de organizações com mais de 500 empregados. Os entrevistados representavam sete países da América do Norte e Europa e 19 indústrias. Parece bastante abrangente.

Outro estudo realizado no início deste ano pela Accenture, intitulado Resiliência de Negócios frente aos Riscos Cibernéticos, relatou que: 66% dos executivos experimentam ataques significativos em seus sistemas de TI em uma base diária ou semanal; no entanto, apenas 9% dos executivos executam testes contínuos de invasão ou de recuperação de desastres em seus sistemas.

Uma história sobre o cenário pré-cibernético

Pensando nas implicações bastante pessimistas destes resultados, imediatamente recordei uma série de incidentes, menos tecnológicos mas fortemente relacionados, que aconteceram com um amigo cerca de 40 anos (pré-“cibernéticos”) atrás. Vamos chamá-lo de Lenny.

Lenny morava perto do extremo norte de Riverside Drive, na época um dos bairros em desenvolvimento de Nova York. Lenny prudentemente escolheu dirigir um antigo Plymouth Fury para poder estacionar seu carro na rua economica e discretamente, evitando, assim, o gasto considerável com estacionamentos de Manhattan (cujo custo era e continua sendo equivalente ao pagamento mensal de uma hipoteca) e ao mesmo tempo minimizar as chances de seu carro ser “pego emprestado” ou roubado, episódios frequentes em bairros em desenvolvimento.

Um dia Lenny entrou em seu carro, virou a chave e – nada. Nem mesmo aquele estalo horrível que a bateria fraca ou morta faz após acionar o motor de arranque pela última vez. Ao investigar, Lenny descobriu que sua bateria tinha sido roubada. Duas horas e $50 depois, Lenny estava de volta em seu carro com uma nova bateria instalada e pronto para dirigir.

A vida seguiu boa por alguns dias até que Lenny voltou ao seu Plymouth para outra viagem. Ele entrou, virou a chave e, mais uma vez, o som temido do silêncio. Por uma questão de respeito, não vou repetir as palavras ditas por Lenny neste post. Depois de se acalmar, ele percebeu que seu carro havia se tornado o alvo ideal dos bandidos – com uma bateria nova em folha, pronta para ser roubada novamente. Por um breve momento, Lenny sentiu verdadeira admiração pela forma inteligente que os bandidos estavam aumentando seus estoques.

De volta à loja de autopeças, algumas horas e $100 mais tarde, ele voltou para o seu carro com uma nova bateria e, desta vez, uma atualização de segurança. Lenny comprou um cadeado e corrente para proteger sua segunda bateria. Se os bandidos eram tão inteligentes, ele, um Ph.D. Ivy League, certamente poderia ser mais esperto. Lenny instalou a bateria, a corrente e o cadeado. A vida ficou boa novamente e Lenny continuou sua viagem.

Na semana seguinte, Lenny voltou para onde havia estacionado seu carro e descobriu que, apesar de suas medidas de segurança reforçadas, os bandidos encontraram uma solução alternativa – eles roubaram o carro inteiro. Lenny imediatamente virou fã do transporte público.

Três duras verdades sobre o cenário das ciberameaças

Dentro do contexto do atual cenário cibernético, há (pelo menos) três importantes lições que podemos tirar da experiência de Lenny:

  1. Quando você pensa que está seguro, é natural ficar acomodado, tornando-se mais vulnerável.
  2. Quando você acha que mitigou o risco com tecnologia avançada, alguém aparece com uma tecnologia melhor que aumenta significativamente o seu risco.
  3. Segurança cibernética é uma jornada contínua, não um destino final.

Checklist de Segurança Cibernética do CIO

Dado o estado da situação cibernética descrita acima (a ponta do iceberg), aqui vão algumas formas e meios para CIOs e executivos de TI gerenciarem o cenário de ameaças cibernéticas:

  1. Certifique-se de que todos em sua organização entendam que a segurança cibernética não é apenas um problema de TI; é um problema de todos. As tecnologias avançadas, firewalls, senhas, tokens, SDNs etc não vão ter valor algum se alguém, inadvertidamente, responder a um phishing, smishing, spoofing ou ataque low-tech/no-tech similar. Comunique, treine, monitore, melhore e comunique.
  2. Contrate, treine e retenha os melhores talentos cibernéticos que você possa pagar. Especialistas cibernéticos estão em alta demanda, a concorrência é grande e a compensação é ainda maior. Lembre-se que o barato sai caro.
  3. Os executivos tornaram-se alvo popular de ataques cibernéticos de baixa tecnologia ou engenharia social. Eles costumam ser os menos especializados e têm acesso aos ativos corporativos mais valiosos. Ataques bem sucedidos e violações neste grupo tendem a ser mais visíveis (e constrangedores), tanto interna quanto externamente. Comunique, treine, monitore, melhore e comunique.
  4. A maioria das empresas normalmente aceita o fato de que virar alvo de um ataque cibernético é um “quando” e não um “se”. Não existe tal coisa como comunicação, preparação e testes em excesso. Comunique, treine, monitore, melhore e comunique.
  5. Certifique-se de que você e sua equipe estão bem inteirados das últimas regulamentações externas, procedimentos e políticas internas de gestão de riscos cibernéticos. Violações de conformidade não são apenas constrangedoras; multas e penalidades são itens significativos não orçamentados. Comunique, treine, monitore, melhore e comunique.
  6. Verifique se o seu processo de resposta a incidentes inclui procedimentos de escalação testados e bem documentados para garantir que todos os stakeholders internos e externos sejam notificados corretamente em tempo hábil. Comunique, treine, monitore, melhore e comunique.
  7. A maioria dos especialistas em segurança concordam que não existe defesa perfeita para evitar completamente invasões cibernéticas e que a melhor defesa inclui a detecção precoce de intrusos e mitigação em tempo oportuno do impacto negativo de malware após a entrada em seu ambiente. Adquira e instale as melhores ferramentas que o seu orçamento permitir.
  8. Os gastos com a segurança cibernética devem ser geridos por business case, semelhante a outros investimentos em TI. Os ativos da empresa não são criados da mesma maneira e alguns devem ser mais protegidos do que outros. Identifique, localize e classifique os ativos com base no impacto nos negócios caso as classes de ativos sejam danificadas, perdidas ou roubadas, e faça um orçamento correspondente para sua proteção individual.
  9. Os gastos de TI com firewalls de última geração, inteligência de ameaças cibernéticas e análises avançadas estão entre as áreas mais populares de investimento de segurança de rede.
  10. Certifique-se de que quaisquer ferramentas existentes ou recém-adquiridas de inspeção de rede que estejam sendo executadas ou implementadas tenham a capacidade de inspecionar o tráfego criptografado por SSL, já que a cada dia mais sites movem de HTTP para HTTPS.
  11. Conteinerização/microvirtualização são consideradas “melhores práticas” para a segurança de endpoints.
  12. Quando você achar que terminou tudo o que precisa fazer, volte ao número 1 e comece de novo.

A Módulo oferece soluções para ajudar sua empresa a proteger dados e evitar ataques cibernéticos. Saiba mais sobre a Gestão de Riscos e Vulnerabilidades de TI.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/o-check-list-de-um-cio.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/12/o-check-list-de-um-cio.pngMódulo SecurityCiberdefesaGestão de VulnerabilidadesProfissionais de TISegurança da Informação
Por Harvey Koeppel - post traduzido pela Módulo Security O cenário de ciberameaças fica mais perigoso a cada dia. Para ajudar os CIOs a enfrentarem estes desafios, Harvey Koeppel elaborou um “checklist” de segurança cibernética com 12 itens. Uma das poucas coisas que os 'especialistas' parecem concordar é que o cibercrime...