Cinco perguntas simples que executivos devem fazer ao CISO, segundo o NCSC

Imagem: Arnab Das

“Cyber risk is a business risk”. Foi com essa afirmação que Ciaran Martin, CEO do NCSC, abriu sua apresentação para executivos em um evento na semana passada. O NCSC, ou National Cyber Security Centre, é uma agência ligada ao serviço de inteligência britânico com a função de ajudar organizações de missão crítica do Reino Unido a se protegerem e responderem a incidentes.

A afirmação é simples — na verdade a apresentação é toda marcada pela simplicidade — mas ela ainda não faz parte da rotina de muitas organizações. Isso por causa de três concepções equivocadas que o tempo todo frequentam as reuniões de board e que, a cada vez que surgem, trazem mais insegurança para qualquer ambiente: “cyber é algo muito complexo, então eu não vou entender”; “cyber é algo sofisticado, então eu não consigo fazer nada para pará-la” ou “cyber é algo direcionado, então eu não estou em risco”. Nenhuma dessas concepções é verdadeira e todas são prejudiciais.

Nem esse artigo, muito menos a apresentação do CEO da NCSC, têm a pretensão de apresentar um cenário de terror. Pelo contrário, a gestão de qualquer disciplina precisa ter uma dose muito grande de racionalidade, em que objetivos e riscos são medidos a ponto de se tomar decisões embasadas. E é esse embasamento sobre cyber que está faltando a muitos executivos, como comprovou a última edição da pesquisa Cyber Governance Health Check Report, elaborada pelo governo britânico e que envolve empresas que compõem o índice FTSE 350.

Segundo o estudo, pouco mais da metade dos executivos possuem entendimento claro sobre os potenciais impactos que podem resultar de perdas por interrupção ou por vazamento de dados; 54% encaram os riscos em cyber como algo de relevância similar a outros riscos enfrentados pela empresa; 31% recebem dados informativos e compreensivos sobre riscos nessa disciplina e 68% não receberam treinamento sobre como lidar com um incidente. Consequentemente, somente 10% possuem um plano de resposta.

Isso quer dizer que decisões relevantes estão sendo tomadas considerando a cibersegurança como algo secundário ou inexistente. Esse cenário precisa mudar e, segundo Martin, isso passa por alfabetizar executivos em cyber, assim como eles foram alfabetizados em finanças, por exemplo. [Extrapolando o argumento dele, penso que toda sociedade precisaria passar por um processo semelhante.]

Com esse objetivo, Martin sugere um conjunto de cinco perguntas simples, as quais estão em linha com as principais ameaças da atualidade e adianta: se a resposta for algo como “nos contratamos X e compramos Y para resolver o problema” o executivo deve fazer a pergunta novamente.

1. Como nos defendemos nossa organização de ataques de phishing?

Phishing se tornou a forma de ataque mais usada, seja nos incidentes que mudam os rumos de eleições ou em fraudes baseadas em dados pessoais. Martin sugere a implementação de medidas tecnológicas (como o DMARC) para ajudar sistemas de correio eletrônico a checar se um e-mail externo é realmente externo, tornando mais fácil a identificação de tentativas de ataque. Entretanto, está claro que não há uma única solução para o problema.

2. O que nos fazemos para controlar o uso de nossas credenciais de acesso privilegiadas?

O mau uso de contas privilegiadas, seja no reuso de senhas, seja na falta de mecanismos que determinem fronteiras claras entre o espaço que envolve as credenciais do profissional que executa funções administrativas e as credenciais usadas para administração, gera grandes problemas para empresas de qualquer tamanho.

3. Como nos garantimos que nosso software e dispositivos estão atualizados?

Esse é outro tema que é repetido à exaustão e cuja necessidade é de conhecimento de todos. Porém, a cada incidente, nos surpreendemos com grandes empresas que não praticam a disciplina de atualização de software e dispositivos. Martin cita um caso em que um incidente com o NotPetya fez uma empresa britânica instalar 4000 novos servidores, 45000 novos PCs e 2500 novas aplicações. Empresas com esse volume de ativos de tecnologia precisam ter o controle de um processo tão elementar como esse.

4. Como nos garantimos que nossos parceiros e fornecedores protegem as informações que compartilhamos com eles?

A todo momento nós relatamos casos, em nossos relatórios de inteligência, em que incidentes com consequências monumentais somente tiveram sucesso porque atacantes exploraram a cadeia de suprimentos das empresas. Controlar os dados que são trocados com parceiros e fornecedores é algo essencial.

5. Quais métodos de autenticação são usados para controlar o acesso a sistemas e dados?

Combinar métodos de autenticação é também uma recomendação frequente. É importante que organizações de todos os tamanhos implementem mecanismos de 2FA em todas as tecnologias — e o mesmo vale para contas pessoais em serviços online — pois não há mais condições de se confiar somente em usuários e senhas, sobretudo para sistemas críticos.

Não há nenhuma novidade nas perguntas sugeridas por Ciaran Martin e é realmente por isso que elas são tão relevantes, porque respostas a perguntas como estas são geralmente iniciadas com “veja bem…” Tratam-se de problemas que já têm tudo para serem superados, especialmente em empresas grandes, mas que talvez ainda não frequentassem o vocabulário dos lideres de negócios; mas esses tempos estão mudando.