São muitos profetas e autores que compartilham suas experiências, como implementar mecanismos e processos de segurança capazes de combater um ataque cibernético semelhante a um ransomware e ataques direcionados em modelos de negócios atrativos que geram receita, ou seja, se há dinheiro em cena torna um bom alvo para estes tipos de ataques e aos invasores.
Os principais players de segurança como Forcepoint e Sophos já estão prevendo em seus relatórios de ameaças que, em 2019, IoT, sistemas biométricos, third-party cloud services como Microsoft Office 365 e Dropbox, supply chains, e dispositivos móveis continuarão sendo os maiores alvos de ataques para spear phishing e malwares cujo objetivo será a recompensa financeira com o roubo de dados privados e corporativos.
No relatório de Cybersecurity Predictions 2019 da Forcepoint um CISO relata que “a inconsistência é a maior ameaça para uma organização, pois haverá sempre grupos dentro da empresa que pensam que o que fazem é muito importante, ou muito diferente, e isto vai empurrar para uma exceção. Em 2019, os líderes vão precisar ajudar suas equipes a entender que exceções criam riscos significativos para a organização mais ampla”.
Implementar a cibersegurança linkada com a gestão de risco de TI como um CSO ou CISO não será para os fracos de coração, mas um trabalho difícil propenso de stress que poderá levar ao bournout se não houver controle como já dito em um dos meus artigos anteriores. Levando em consideração o trabalho das formigas de acordo com o sábio; as formigas não são um povo forte, elas não têm líder, nem chefe, nem governador, todavia no verão guardam a sua comida, ou seja, sempre trabalham na prevenção para evitar a escassez de alimentos nos tempos difíceis como no inverno. Deste modo, devemos aprender com as formigas e evitar a preguiça e a estagnação e agir olhando para os desafios e os caminhos que devemos seguir como sábios.
Ao mesmo tempo que precisamos ter uma visão do estado atual da organização no que tange a maturidade da segurança, temos que ser proativos trabalhando duro como as formigas e estarmos atentos para eventuais eventos que podem denegrir a reputação da organização. Literalmente, é preciso sermos vigilantes com a forma que as novas tecnologias consomem e invadem a nossa cultura organizacional. Desta forma, procurei dividir e observar abaixo algumas tecnologias e seus eventuais riscos eminentes e possíveis controles mitigatórios e preventivos.
IoT -> Indústrias no ramo da saúde e automobilística são exemplos que serão futuros alvos de ataques cibernéticos. Estas gigantes têm investido fortemente em programas de Bug Bounty para garantir que seus produtos estejam mais seguros. Em um último evento de hacker que aconteceu em São Paulo, uma fintech no ramo financeiro ofereceu uma quantia considerável para pesquisadores de segurança identificarem falhas em sua plataforma, que será lançada no mercado. Vê-se aí uma estratégia para evitar futuros bugs, reitero uma atitude parecida com das formigas.
Tecnologia móvel -> As apps mobiles estão sendo o maior impulso e inclusão tecnológica do fator humano. Eis a questão do risco eminente para bancos e fintechs de aplicativos mobiles, entre outras. É fato que estão sendo grandes alvos para ataques de malware e afinal o usuário é o elo mais fraco e propício como alvo final. Evidentemente que a conscientização por meios de comunicação vem sendo e continuará a maior arma para reduzir e mitigar tais riscos neste campo, além de ferramentas específicas para monitoramento destes dispositivos com o uso de tecnologias como Inteligência Artificial e Machine Learning tendem auxiliar na eficácia na mitigação de vazamento de dados.
Big data | Data lake | Cloud -> Dado o crescimento e a necessidade para o tratamento de dados com o propósito de identificar oportunidades de negócios e aumento de market share, os cientistas de dados que analisam a grande massa de dados em Big Data ou Data Lake estão mais preocupados com o resultado de informações chaves para o negócio, tão-somente preocupados com a proteção destes dados que estão sendo coletados e armazenados nestas plataformas, seja uma cloud privada, híbrida ou pública. Logo, é necessário o mapeamento destes ativos, a análise e classificação de dados se devem ou não atender alguma regra local, como por exemplo a LGPD, a Resolução nº 4.658 em cybersecurity do Banco Central e PCI-DSS.
Uma vez classificado os dados é fundamental estabelecer os requerimentos de segurança e de privacidade, tais como; uso de criptografia para proteção na transmissão e armazenamento, monitoramento do fluxo da informação e comportamentos maliciosos com soluções de DLP e com ajuda de um SOC contemplando soluções de SIEM, análise de dados, AI, Machine Learning, WAF, processos de gestão de risco, gestão de vulnerabilidades, teste de invasão, gestão de incidentes, gestão de mudança, gestão de configuração, gestão de controle de acesso e a parametrização e definição de uma arquitetura robusta com 2 fatores de autenticação são formas de se precaver com o desconhecido.
Outro fator importante para ambiente de cloud é a gestão de terceiros ou third party que ainda é muito ignorada por fintechs e grandes corporações. Avaliar frequentemente seu prestador de serviço e determinar um nível de risco de importância para seu negócio é primordial. Sempre certifique e assegure que o prestador segue as melhores práticas de segurança com certificações SOC 1, 2 e 3, PCI-DSS, ISO 27001 e frameworks como CASB, CARTA e NIST Cybersecurity. Tenha em mente também a importância que seu BCP e DRP tem para a organização e assegure que estejam no escopo de serviços do provedor de cloud e jamais esqueça de manter estes procedimentos atualizados com base no último BIA (Business Impact Analysis), pois é comum implementar processos e usar ferramentas extremamente caras e não cuidar da continuidade da sua operação, pois certamente falhas no processo de gestão de mudança e a falta de um profissional especializado em continuidade de negócios pode custar muito caro ocasionando a “bankruptcy”.
Redes sociais | WI-FI | câmeras remotas – > Evidente que as pessoas com seus hábitos expõem sua privacidade com fotos de locais e informações privadas, além do uso de sistemas de câmeras remotas vulneráveis para monitoramento de seus filhos que podem ser usadas por hackers, espiões e interessados em cometer uma ação maliciosa, seja um sequestro ou um roubo de informações e credenciais devido a falta de conhecimento em orientar seus filhos de forma apropriada. Saber instruir os colaboradores sobre o que pode e não pode compartilhar nas redes sociais é uma questão de comportamento e conscientização. Realizar campanhas de segurança focalizando nas melhores práticas expondo riscos e casos reais irá despertar aqueles que estão dormindo. O uso também adequado do WhatsApp para fins corporativos ainda é uma incógnita pela falta de monitoramento sobre o tipo de dados que podem navegar nestes aplicativos. Contudo, ferramentas de controles parentais e um bom diálogo com seus filhos continuam ainda sendo mecanismos de evangelismo eficazes.
A armadura do profissional de segurança -> Como mencionado no início deste artigo, implementar a cibersegurança não é para fracos, mas requer um trabalho difícil propenso a sofrer de stress no andar da caminhada. As exigências e pressões sobre o profissional de segurança para enfrentar barreiras e ganhar a relevância para o negócio, navegar sobre as políticas corporativas e eliminar os fornecedores (FUD – medo, incerteza e dúvida) é necessário saber construir uma grande equipe e encarar a escassez destes profissionais. A saúde emocional é fator chave para um bom time, além de oferecer suporte no aspecto emocional, incentivos constantes com treinamentos e participação em conferências e workshops com intuito de se manter atualizados e prospectar conhecimento acumulados, além das oportunidades de realizar grandes projetos com afeição e gosto serão elementos que irão impulsionar a construir uma equipe de guerreiros como os 300 espartanos liderados pelo Rei Leónidas.
Textualmente meu intuito neste artigo não foi enfatizar com detalhes todas as tecnologias emergentes e riscos que precisam de atenção nesta era da informação, mas sinalizar com alguns exemplos factíveis descritos acima que realmente precisamos trabalhar muito mais na medida que a tecnologia torna fácil a vida humana traz com ela mais riscos e consequentemente exige mais habilidade do profissional de segurança, a resiliência e a capacidade de gerir suas emoções tendo uma noite de sono bem dormida lhe dará uma vida mais equilibrada para enfrentar os desafios e as mais diversas ameaças conhecidas e desconhecidas neste panorama cibernético.
Portanto, sempre tenha em mente que a vida pode desgastar e lhe desafiar, mas depende do aço que fomos feitos, pois onde há esperança há vontade e onde há vontade há um caminho a seguir — “aprenda com as formigas”.
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
