Carlos Cabral
Sep 20, 2018 · 4 min read
Imagem: Arnab Das

“Cyber risk is a business risk”. Foi com essa afirmação que Ciaran Martin, CEO do NCSC, abriu sua apresentação para executivos em um evento na semana passada. O NCSC, ou National Cyber Security Centre, é uma agência ligada ao serviço de inteligência britânico com a função de ajudar organizações de missão crítica do Reino Unido a se protegerem e responderem a incidentes.

A afirmação é simples — na verdade a apresentação é toda marcada pela simplicidade — mas ela ainda não faz parte da rotina de muitas organizações. Isso por causa de três concepções equivocadas que o tempo todo frequentam as reuniões de board e que, a cada vez que surgem, trazem mais insegurança para qualquer ambiente: “cyber é algo muito complexo, então eu não vou entender”; “cyber é algo sofisticado, então eu não consigo fazer nada para pará-la” ou “cyber é algo direcionado, então eu não estou em risco”. Nenhuma dessas concepções é verdadeira e todas são prejudiciais.

Nem esse artigo, muito menos a apresentação do CEO da NCSC, têm a pretensão de apresentar um cenário de terror. Pelo contrário, a gestão de qualquer disciplina precisa ter uma dose muito grande de racionalidade, em que objetivos e riscos são medidos a ponto de se tomar decisões embasadas. E é esse embasamento sobre cyber que está faltando a muitos executivos, como comprovou a última edição da pesquisa Cyber Governance Health Check Report, elaborada pelo governo britânico e que envolve empresas que compõem o índice FTSE 350.

Segundo o estudo, pouco mais da metade dos executivos possuem entendimento claro sobre os potenciais impactos que podem resultar de perdas por interrupção ou por vazamento de dados; 54% encaram os riscos em cyber como algo de relevância similar a outros riscos enfrentados pela empresa; 31% recebem dados informativos e compreensivos sobre riscos nessa disciplina e 68% não receberam treinamento sobre como lidar com um incidente. Consequentemente, somente 10% possuem um plano de resposta.

Isso quer dizer que decisões relevantes estão sendo tomadas considerando a cibersegurança como algo secundário ou inexistente. Esse cenário precisa mudar e, segundo Martin, isso passa por alfabetizar executivos em cyber, assim como eles foram alfabetizados em finanças, por exemplo. [Extrapolando o argumento dele, penso que toda sociedade precisaria passar por um processo semelhante.]

Com esse objetivo, Martin sugere um conjunto de cinco perguntas simples, as quais estão em linha com as principais ameaças da atualidade e adianta: se a resposta for algo como “nos contratamos X e compramos Y para resolver o problema” o executivo deve fazer a pergunta novamente.

1. Como nós defendemos nossa organização de ataques de phishing?

Phishing se tornou a forma de ataque mais usada, seja nos incidentes que mudam os rumos de eleições ou em fraudes baseadas em dados pessoais. Martin sugere a implementação de medidas tecnológicas (como o DMARC) para ajudar sistemas de correio eletrônico a checar se um e-mail externo é realmente externo, tornando mais fácil a identificação de tentativas de ataque. Entretanto, está claro que não há uma única solução para o problema.

2. O que nós fazemos para controlar o uso de nossas credenciais de acesso privilegiadas?

O mau uso de contas privilegiadas, seja no reuso de senhas, seja na falta de mecanismos que determinem fronteiras claras entre o espaço que envolve as credenciais do profissional que executa funções administrativas e as credenciais usadas para administração, gera grandes problemas para empresas de qualquer tamanho.

3. Como nós garantimos que nosso software e dispositivos estão atualizados?

Esse é outro tema que é repetido à exaustão e cuja necessidade é de conhecimento de todos. Porém, a cada incidente, nos surpreendemos com grandes empresas que não praticam a disciplina de atualização de software e dispositivos. Martin cita um caso em que um incidente com o NotPetya fez uma empresa britânica instalar 4000 novos servidores, 45000 novos PCs e 2500 novas aplicações. Empresas com esse volume de ativos de tecnologia precisam ter o controle de um processo tão elementar como esse.

4. Como nós garantimos que nossos parceiros e fornecedores protegem as informações que compartilhamos com eles?

A todo momento nós relatamos casos, em nossos relatórios de inteligência, em que incidentes com consequências monumentais somente tiveram sucesso porque atacantes exploraram a cadeia de suprimentos das empresas. Controlar os dados que são trocados com parceiros e fornecedores é algo essencial.

5. Quais métodos de autenticação são usados para controlar o acesso a sistemas e dados?

Combinar métodos de autenticação é também uma recomendação frequente. É importante que organizações de todos os tamanhos implementem mecanismos de 2FA em todas as tecnologias — e o mesmo vale para contas pessoais em serviços online — pois não há mais condições de se confiar somente em usuários e senhas, sobretudo para sistemas críticos.

Não há nenhuma novidade nas perguntas sugeridas por Ciaran Martin e é realmente por isso que elas são tão relevantes, porque respostas a perguntas como estas são geralmente iniciadas com “veja bem…” Tratam-se de problemas que já têm tudo para serem superados, especialmente em empresas grandes, mas que talvez ainda não frequentassem o vocabulário dos líderes de negócios; mas esses tempos estão mudando.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Carlos Cabral

Written by

Head of Content Production na Tempest. Escrevo sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da segurança da informação.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade