As razões da recente epidemia do ransonware WannaCry e do Petya, um tipo de DoS (ataque de negação de serviço), não surpreenderam usuários e gestores razoavelmente informados.
É fato que a atualização de sistema operacional, recomendação inicial de todas as listas de dicas que saem na mídia, como apego aplicações que atendem à atividade-fim. Ainda assim, há outras soluções para as vulnerabilidades, como refinar regras de firewall, segmentar a rede, IPSs e IDSs, e outras camadas de segurança. Tal como nesse ataque, outros focos de risco amplamente documentados continuam no radar do cibercrime. Mais do que explorar falhas no Windows ou no SQL, os agressores aproveitam os momentos em que foco se torna distração; ou seja, quando pressões do negócio deixam brechas para riscos de exploração dessas vulnerabilidades.
Também é fato que a demanda de projetos hoje sobrecarrega tanto as organizações corporativas quanto os grupos de TI, principalmente das médias empresas. Mesmo que tenham contado com investimentos em ferramental de segurança da informação, é difícil manter a cadência necessária a uma estratégia de gestão de ameaças. No mercado, há provedores competentes para resolver as necessidades de atualização de ferramentas, pessoal especializado, monitoramento e outros serviços gerenciados de segurança. Contudo, à medida que os serviços digitais ganham mais e mais peso nos negócios, as empresas precisam enfrentar os riscos operacionais – entre os quais os ciberataques – com uma visão estratégica da governança de TI.
As questões de segurança já são por si só complexas nos ambientes de data center ou de desenvolvimento das empresas. Tudo fica ainda mais complicado com a tendência de descentralização da TI, com departamentos protagonizando a contratação de serviços em nuvem ou de fábricas de software. É claro que as organizações não podem apostar tudo nas “melhores práticas” desses fornecedores, até porque em muitos casos sua responsabilidade é limitada. Nesse contexto, torna-se mais importante um acompanhamento profissional que seja não apenas abrangente, mas que tenha também um viés de auditoria. Ao mesmo tempo em que controla a execução das políticas e SLAs das áreas técnicas, a governança de TI tem o papel de conectar a agenda de segurança da informação à direção da companhia, para que se tenha uma gestão contínua, e com forte suporte interno, de riscos operacionais.
Uma visão orientada à governança de TI é também particularmente importante para se ter visibilidade e harmonizar conflitos. Por exemplo, além de cumprir um SLA de validação periódica de patches, cabe expor as razões de negócio que levaram determinado usuário a conservar um software vulnerável, até para se decidir conscientemente como endereçar o risco.
A cadência obtida com uma estratégia de governança de TI voltada à segurança tem como efeito uma aproximação das áreas de gestão de infraestrutura e aplicações com o tema da segurança e gestão de riscos. Com uma cultura de auditoria contínua, a governança, ao contrário de engessar, se torna habilitadora de novos serviços.
O episódio do WannaCry marcou tanto por implicar perdas extremamente tangíveis quanto por explorar uma falha conhecida desde o início do ano. E o malware hibernou tranquilo em dispositivos à sombra de qualquer gerenciamento. Certamente o susto fará com que alguns reforcem a fechadura, mas, por falta de uma visão contínua, venham a esquecer outras chaves sob o capacho.
Carlos Almeida é Head Managed Services da Service IT
