Não é novidade para ninguém a quantidade de desafios que o gestor de Cybersecurity precisa enfrentar. Cada vez mais temos observado o aumento de vulnerabilidades de forma descomunal agregadas ainda com ameaças mais avançadas, complexas e direcionadas, dependendo do objetivo que o atacante deseja para a exploração. Atualmente já é possível encontrar até “serviços” de “Ransomware as a Service” e, como se não bastasse, o GAP de profissionais capacitados em Cybersecurity cresce cada vez mais, deixando as plataformas sem os cuidados necessários e sem integração com as demais tecnologias.
O resultado é que o gestor de Cybersecurity não consegue ter a real visibilidade do ambiente que deve ser protegido, deixando mais complexa a implementação de controles, métricas e ficar em compliance com normas e legislações como a LGPD (Lei Geral de Proteção de Dados). Com a lei ganhando força, as empresas podem ser sofrer danos à reputação da marca, prejuízos financeiros, comprometer a propriedade intelectual e ter dados pessoais vazados em caso de uma violação bem-sucedida.
Nos últimos anos, vejo como a falta de uma boa estratégia e de um plano direcionado atrapalham no que é chamado de “Jornada de Cybersecurity”. A utilização de tecnologias e serviços são fundamentais nos dias de hoje, porém isso deve ser posicionado no tempo e da maneira correta.
A estratégia de Cybersecurity deve começar com o entendimento da empresa em relação a maturidade que possui frente aos temas de Segurança Operacional, Processual e Patrimonial. A definição e a abordagem de riscos são partes fundamentais do processo, pois trazem a visibilidade dos riscos mapeados que a empresa estará disposta a assumir, e dar o correto tratamento por meio de um plano, que deve estar alinhado ao negócio sem impactar a evolução necessária. Atualmente, os planos tecnológicos que travam ou dificultam o negócio da empresa não têm mais espaço e não serão sequer considerados pelos executivos.
É essencial iniciar uma metodologia que cobre todo o ciclo de vida de Cybersecurity com a escolha de padrões globais, como NIST e ISO/IEC 27001, adicionando padrões específicos para cada tipo de indústria. Por exemplo: NERC-CIP focado em utilities, ISA/IEC 62443 voltado para automação, PCI-DSS para indústrias de meio de pagamentos, entre outras, sem esquecer a abordagem para a proteção de dados pessoais, como a LGPD e GDPR (General Data Protection Regulation). Padrões que geram visibilidade do nível de riscos, como ISO/IEC 31000 e ISO/IEC 27005 com medição da maturidade, como a CMMI e C2M2, também não podem faltar.
Particularmente, gosto muito da metodologia que o SABSA (Sherwood Applied Business Security Architecture) utiliza, pois, além de focar em riscos e segurança, possui abordagem para o negócio, considerando-o como uma premissa. Isso é bem interessante já que traz a possibilidade considerar ações específicas para cada tema abordado, impactando o mínimo possível na operação da empresa.
Temas como Visão de Negócio e Estratégias de Segurança não podem ser esquecidos na abordagem, pois são uma importante etapa para se ter o entendimento de como os executivos tratam esta questão. Eles apoiam? Tem investimento? Existem diretrizes? O plano é bem estabelecido e divulgado? Outros assuntos como Políticas, Processos, Compliance, Guias, Procedimentos, Papéis e Responsabilidades, Modelos de Domínios de Segurança, Classificação de Dados também devem ser tratados quando se fala em Segurança da Informação.
O Gerenciamento de Riscos é outro ponto que deve ser aprofundado, desde tratamento das ameaças, vulnerabilidades, assurance, compliance, legislações, ativos e negócios para correlacionar todos os controles implementados, mapear fatores de riscos, impactos, probabilidades e, até mesmo, projeções, facilitando a tomada de decisões quanto a mitigação do risco residual, transferência do risco ou, simplesmente, aceitação de determinado risco.
Já em tecnologia, a questão não é somente se tem ou não uma plataforma específica, mas como a plataforma está posicionada, configurada e dimensionada. As aplicações estão protegidas? Há gerenciamento das vulnerabilidades? Inclusive, este mecanismo, além de trazer a situação dos ativos e aplicações, pode ser utilizado para complementar o catálogo de ativos da empresa.
Lembre-se que é impossível aplicar controles e boa segurança em algo que não temos visibilidade e conhecimento. Existem mecanismos que garantem minimamente boas camadas de segurança, validam acessos, controles de informações, principalmente que saem da empresa bem como de aplicações permitidas. O comportamento destas das aplicações em relação ao tráfego e comunicações, deve ser considerado.
Para uma boa cobertura na segurança dos dados, algumas questões como monitoramento de integridade de arquivos, criptografia dos dados – seja em repouso ou em trânsito -, controle e gerenciamento dos certificados, classificação das informações para a aplicação do devido controle de proteção são fundamentais, assim como a realização do mapeamento dos dados que irá ajudar com questões da LGPD.
Já a proteção dos endpoints e dispositivos móveis, um bom controle de aplicação de patches com períodos pré-estabelecidos e ambientes para teste ajudarão nos processos de baselines/hardenings de segurança. Plataformas para detecção e proteção de ameaças e controle de postura dos endpoints também são importantes, mas não resolve todos os problemas, ainda mais se a autenticação, controle de senhas, acessos privilegiados, autenticações em várias etapas (MFA – Multi Factor Authenticator) não forem aplicados.
Controles robustos na infraestrutura, seja elas On-premises ou em Cloud, que vão destes acessos e permissões do que está hospedado ou conectado – uma vez que hoje em dia não há mais o conceito do perímetro -, também são cruciais, considerando os vários casos de acessos não autorizados e vazamentos ocasionados por descuido que, muitas vezes, com processos e revisões, poderiam ter sido previstos.
O apoio no controle, gerenciamento e resposta das ameaças com as várias plataformas e serviços que atualmente há no mercado, como SOAR, Threat Intell, SOC as a Service, Cyberdeception, Honeypots, CSIRT são muito bem-vindas. Quando o tema é Operação de Cybersecurity é necessário avaliar como Gerenciamento de Acessos, Gerenciamento de Mudanças, Gerenciamento de Incidentes, Gerenciamento de Configurações e Patches, Gerenciamento de Eventos e Monitoração e Gerenciamento de Vulnerabilidades são tratados dentro da empresa.
A Operação de Cybersecurity é uma peça-chave, pois ela correlaciona e valida todas as políticas e processos criados juntamente com as tecnologias e plataformas implementadas. Ou seja, não é possível operar apenas com bons documentos, políticas e processos sem ter tecnologias para apoiar e fazer a proteção do ambiente de uma empresa. Do mesmo modo que apenas com tecnologias e sem processos implementados com uma operação coordenada os resultados não serão os melhores. Esta abordagem evita desperdício de recurso (que já estão escassos), fazendo melhor uso do orçamento para Cybersecurity, além de ter um ganho de eficiência operacional notório.
Com essa abordagem, os Gestores e Executivos de Segurança ou TI conseguirão ter uma visibilidade de todo o ciclo de vida de Cybersecurity através de um roadmap focado em processos e tecnologias com priorizações de projetos, de forma que o avanço seja natural, considerando a capacidade operacional da empresa, o orçamento disponível, benchmark, ramo de atuação, legislações e regulamentação. Tudo correlacionado a Riscos Mapeados e Nível de Maturidade em Cybersecurity. Atualmente uma abordagem que não consiga trazer Riscos e Maturidade juntas para a elaboração de uma estratégia em Cybersecurity não conseguirá cobrir todos o GAPs e planos de mitigação na criação do roadmap.
*Camilo Souza é Sr. Cybersecurity Consultant at NTT Ltd.