Alvo da vez…

Mais um severo caso de crime cibernético ganhou o notíciário esta semana, atingindo um dos principais grupos de mídia do Brasil: “Hackers invadiram o sistema integrado de arquivos da RecordTV“. Além de casos de repercussão internacional, a exemplo do ocorrido com a JBS/Friboi nos EUA, o caso da Rede Record se soma a um enorme volume de ataques também aqui no país nos últimos meses, com casos de grande impacto nos setores público e privado, como por exemplo: Datasus e ConecteSUS (Min. Saúde), Seguradora Golden Cross, Sistema SEBRAE, Americanas/Submarino, Banco BRB, Governo da BA, Governo de GO, Prefeitura do RJ, Tribunal de Contas do RS, Tribunal de Justiça do DF, TRF da 3ª Região (SP), ATENTO, Fast Shop, Assembléia Legislativa do Amapá, Câmara dos Deputados, entre vários outros.

Com incidentes cada vez mais graves, que inviabilizam tanto as operações virtuais quanto as físicas dos alvos atacados, o crime cibernético em crescente sofisticação tem sido a grande ameaça à continuidade operacional de organizações em todo o planeta. Indo além da viabilidade operacional das instituições, a cibernética tem impactado também aspectos reputacionais que influem nas decisões de clientes e cidadãos, ou até mesmo na avaliação de seguros corporativos e parcerias empresariais. Indo muito além das decisões operacionais de TIC, esta nova pauta ganha relevância nas agendas de Conselhos Gestores e Altos Dirigentes dos principais governos e empresas em todo o mundo. Na realidade, NINGUÉM QUER SER O PRÓXIMO ALVO.

O Imperativo Digital

Nas últimas décadas, seja por antevisão ou por força da concorrência e da opinião pública, Conselheiros, investidores e Lideranças governamentais apontaram para a transformação digital como caminho para ganhos exponenciais de produtividade, qualidade e competitividade nas empresas líderes, ou de sobrevivência para organizações retardatárias. Assim, inovações cruciais mudaram mercados e sociedades, porém as benéficas estruturas implantadas ampliaram a superfície digital exposta ao mundo pelas instituições, gerando novas fronteiras de risco.

Neste contexto, ganhou relevância a liderança técnica, com posições como CIO (Diretor de TI) e CISO (Diretor de Segurança da Informação), com o papel de liderar os planos de transformação digital, buscando novos patamares de performance e sucesso para os negócios da instituição, e simultaneamente enfrentar ameaças advindas da crescente exposição cibernética.

Os desafios encarados são grandes. Geralmente, e por falta de aparato adequado, as instituições são “cegas” aos ataques até que já seja tarde demais. Além disso, em geral as organizações tem enorme dificuldade em monitorar vulnerabilidades, pois ainda adotam processo artesanal de vasculhamento ponto a ponto na Internet, tornando impossível cobrir tempestivamente o gigantesco número de fontes explícitas ou ocultas a serem monitoradas. E, mesmo que identifiquem alguma ameaça concreta, o processo de remediação é, geralmente, bastante trabalhoso.

Assim, enquanto “digitalizar” é imperativo para a sobrevivência das organizações, adotar práticas precárias de prevenção, ou, pior ainda, ignorar completamente a agenda de cibersegurança, pode custar muito caro. Os prejuízos em descontinuidade dos negócios, desconfiança reputacional no mercado ou desconformidade perante normativos resultantes de incidentes cibernéticos podem ser enormes. O fato é que, “parar” a transformação digital NÃO É uma opção, e prosseguir evoluindo de forma segura e sustentável é crucial.

Batata quente

Com relatórios apontando para índices alarmantes de sequestros de dados (ransomware) e negação de serviços, bem como crescente maturidade regulatória na dimensão de proteção de dados pessoais e institucionais (LGPD e outras), torna-se evidente que os CIOs e CISOs carecem de todo o suporte possível neste enfrentamento.

À Alta Gestão da organização, incluindo Presidentes e Conselheiros, cabe acompanhar o progresso dos planos digitais, prover o adequado suporte de recursos, e, em mesmo grau de prioridade, liderar a maturação da cultura cibernética em toda a instituição, bem como avaliar os patamares de governança e risco decorrentes dos ativos digitais da organização, inclusive institucionalizando o trabalho do Encarregado pelo Tratamento de Dados Pessoais (DPO) previsto em lei.

Mesmo nas organizações de pequeno porte, para quem as regras são simplificadas, mas também a capacidade de investimento é mais modesta, o líder da organização precisa, cotidianamente, acumular as funções de CIO, CISO, DPO e Conselheiro, de forma a contemplar os aspectos de governança de risco, sem perder as oportunidades que o mundo digital oferece à sua empresa.

Porém, tanto nas grandes quanto nas pequenas organizações, a alta liderança raramente detém intimidade com o advento digital a ponto de interagir sobre as necessárias questões técnicas de forma resoluta. Com isso, sem uma interlocução desenvolta, temos uma “batata quente” permanentemente importunando os gestores, levando as instituições à desatenção frente a questões críticas, como:

  • Qual o nosso atual grau de resiliência para encarar um ataque cibernético?
  • Quais são nossos ativos digitais mais críticos e nossas principais vulnerabilidades?
  • Que ameaças cibernéticas pairam sobre nossa empresa, que merecem atenção da alta direção?
  • Existem documentos e ativos digitais pertinentes à nossa empresa indevidamente expostos por nós mesmos ou por terceiros? Algum destes ativos já foi comprometido? Quem atestou este diagnóstico?
  • Meus parceiros de negócio estão tomando os devidos cuidados com minhas informações trocadas em nossa cadeia produtiva?
  • Há processos e protocolos formalizados não somente para recuperação, mas, principalmente, para a prevenção rotineira de incidentes?
  • entre outras questões.

Sem Batata, mas Com Cebola

De forma prática e simplificada para que o gestor ou empresário resolva apropriadamente os desafios da cibersegurança em sua instituição, deixemos de lado a metáfora da batata e utilizemos agora a da cebola, com suas várias camadas sobrepostas, para ilustrar nossa visão:

  • A parte mais central desta cebola seriam os ativos digitais da organização (seu Patrimônio!), incluindo: bases de dados, aplicativos, sistemas, equipamentos, processos, etc.
  • A camada seguinte é a Segurança instalada dentro da sua organização (a sua Muralha!), ou seja, sua estrutura interna de segurança e recuperação: antivírus, firewall, backups, controles de credenciais e acessos, etc;
  • A terceira camada é o Capital Humano, o elo mais relevante de toda esta corrente, o qual deve estar em permanente conscientização, aculturação e habilitação, que são ações de Cultura Cibernética. Devem englobar, em maior ou menor intensidade, todas as Pessoas atuantes, ou seja, os funcionários das diversas áreas, usuários, e, até mesmo, clientes e parceiros da empresa, que acessam e operam seus ativos digitais;
  • Por fim, na quarta camada, temos um recente aparato de validação e evolução da eficácia dos elementos anteriores: a Prontidão Cibernética. Reunindo capacidades de Proteção contra Riscos Digitais (DRP), de Classificação e Avaliação de Riscos (Risk Rating) e de Gestão de Superfície Externa de Ataque (EASM), a Prontidão veio para agregar capacidades preventivas e maturidade em métricas e protocolos ao, até então, enigmático tema de segurança cibernética. Com esta camada de Defesa Ativa, a então espinhosa pauta passa a ser acessível à linguagem dos gestores, tornando o tema prático, mensurável e efetivo.

Em sua vertente de validação, a moderna prática de Prontidão atua diferentemente dos “testes de penetração” comumente usados pelas organizações (e que devem ser compreendidos como parte da 2ª camada), pois abrange investigações que vão muito além do alcance do aparato interno. Geralmente provida por empresas especializadas, a boa prática orienta que a empresa contratada para sua Prontidão seja diferente das que provém os demais serviços convencionais de Segurança, o que agrega um cinturão adicional de confiabilidade ao seu aparato, tanto pela isenção e independência entre os fornecedores das diferentes camadas, quanto pela segregação de funções que evita verticalização temerária e elimina o risco de se depositar “todos os ovos na mesma cesta”.

A Prontidão é baseada em critérios e normas vigentes, e se distingue por operar FORA das instalações da organização, vasculhando mundo afora eventuais vazamentos de dados pertinentes à sua empresa, e detectando vulnerabilidades e riscos potenciais em sua infraestrutura e de sua cadeia produtiva em um ponto de vista “de fora para dentro”. Este tipo de serviço é não-intrusivo (não demanda nenhuma instalação de software/hardware ou acesso aos seus servidores/datacenter) e consegue, de forma segregada dos seus demais provedores de serviço, avaliar a conformidade perante exigências correntes, validar o grau de segurança atual e subsidiar suas futuras decisões de melhoria, protegendo seu patrimônio.

Geralmente, na grande maioria das instituições, as fragilidades que abrem caminho para ataques de agentes maliciosos são resultantes do desprezo das 2 últimas camadas listadas acima, seja pela pouca atenção dedicada à Cultura Cibernética das Pessoas envolvidas, ou seja pelo desconhecimento das novas possibilidades de aferição e monitoramento isento e efetivo do grau de Prontidão da organização na perspectiva além da sua muralha interna.

Alcançando a Prontidão Cibernética

A inovação trazida pela Prontidão Cibernética, que completa as quatro camadas simplificadas acima, nos possibilita, agora, definir atividades e responsabilidades de forma mais clara, e com um processo contínuo e gradual de evolução em Cibersegurança para a organização.

Em linhas gerais, as camadas de 1 a 3 são operadas pela liderança técnica (CIO e/ou CISO), e esta conta com o apoio dos demais Diretores e do Conselho tanto para recursos necessários, quanto para convergência com as prioridades sob o ponto de vista macro e negocial da instituição.

Já a 4ª camada é normalmente operada pelo DPO, ou, em alguns casos, pelo CIO ou CISO. Porém, de qualquer forma, deve ser sempre um instrumento de governança à disposição do Conselho Superior e da Diretoria Executiva. Com isso, a Alta Gestão pode ter, de forma eventual, periódica ou contínua, uma visão objetiva, metrificada e tempestiva do grau de risco cibernético da instituição. Tal condição traz às principais lideranças uma nova condição de compreensão e parceria, oferecendo maior consciência das necessidades reais para os próximos passos da instituição no campo de Cibersegurança.

Desarmada a Bomba-relógio

Partindo da premissa de que o advento digital prosseguirá sendo o principal fator de ganho de competitividade para a maioria das organizações, e verificando que o progresso tecnológico também segue em aceleração contínua, a Prontidão Cibernética traz agora às organizações um novo degrau de confiança para acelerar seus planos de transformação digital.

Com Prontidão para transpor os muros da sua organização, os gestores sabem que, agora, seu time de especialista poderá detectar, avaliar e remediar ameaças bem antes que essas possam gerar danos.

Artigos RelacionadosMais deste Autor

Deixe seu comentário

Por favor inclua seu comentário
Digite seu nome aqui