A Importância de Auditar e Aplicar os Controles de Segurança da Informação Periodicamente na sua Empresa

Vivemos uma realidade atípica, onde os ataques cibernéticos estão acontecendo cada vez mais. Quanto mais usuários trafegam no universo tecnológico – sejam os jovens que estão iniciando no mercado de trabalho, ou mesmo pessoas que migram para áreas relacionadas à tecnologia – maiores os riscos de ataque aos dados.

Por muito tempo se imaginou que o investimento em segurança se limitava a ter equipamentos e dispositivos líderes em quadrantes, conhecidos por uma reputação por trás de um fabricante, o que não é de se descartar, mas não é o que garante a sua segurança cibernética.

É de amplo conhecimento que nos últimos anos outras variáveis vieram complementar essa teoria. Por exemplo: você não consegue ter um ambiente 100% seguro, por conta do dinamismo e da quantidade de aplicações associadas aos negócios, mas você consegue diminuir com muita efetividade a chance de ter um incidente cibernético. E mais: você consegue recuperar os seus sistemas em caso de uma invasão que o torne indisponível, levando em consideração pessoas, processos e tecnologia.

Por causa desta demanda crescente e com uma missão focada em resolver este descompasso, nasceram vários institutos, associados ou não a governos nacionais e internacionais. Estes, junto com todas as verticais de mercado, foram criando as melhores práticas, padronizando formatos e maneiras de se ter um ambiente mais controlado.

O NIST, fundado em 1901, é reconhecido como um dos mais antigos institutos e hoje é inclusive uma referência quando falamos de vários assuntos associados à tecnologia, e com segurança da informação não é diferente. Os frameworks do NIST são utilizados em larga escala e eles possuem informações que, quando usadas de forma correta e auditada, se transformam em uma excelente ferramenta para que você aplique em sua empresa e mantenha a proteção em camadas para diminuir a superfície de ataque.

Também temos os frameworks da ISO27001, que têm por objetivo e princípios gerais iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Além do CIS (Center for Internet Security), considerado o mais detalhado e completo: trata-se de um conjunto de práticas recomendadas de segurança cibernética e ações defensivas que ajudam a evitar os principais ataques da atualidade.

O principal conceito dos frameworks estão concentrados em 5 pilares: detectar, identificar, proteger, responder e recuperar os seus sistemas. Para isto, no caso do CIS, contamos com 18 domínios que cobrem praticamente todo o ecossistema de segurança:

  • Inventário e controle de ativos corporativos;
  • Inventário e controle de ativos de software;
  • Proteção de dados;
  • Configuração segura de ativos corporativos e software;
  • Gestão de contas;
  • Gestão do controle de acesso;
  • Gestão contínua de vulnerabilidades;
  • Gestão de registros de auditoria;
  • Proteções de e-mail e navegador Web;
  • Defesas contra malware;
  • Recuperação de dados;
  • Gestão da infraestrutura de rede;
  • Monitoramento e defesa da Rede;
  • Conscientização sobre segurança e treinamento de competências;
  • Gestão de provedor de serviços;
  • Segurança de aplicações;
  • Gestão de respostas a incidentes;
  • Testes de invasão.

openbanking

Os dois primeiros domínios relacionados a inventário contêm basicamente o conhecimento que você precisa ter sobre tudo que tem no seu ambiente.

Em relação à proteção de dados, que são considerados hoje o maior ativo de grande parte das empresas, é necessário de fato pensar em como protegê-los. Como você trafega essas informações? Como você armazena estes dados quando estão em “descanso”? Quem pode acessar ou mesmo alterar? Estes são certamente os seus maiores problemas e manter o controle em relação a isso é fundamental.

Configuração segura de ativos é o que abordamos no início deste artigo. Afinal, não adianta comprar a melhor solução do mercado e não configurá-la de uma forma segura e que atenda ao seu negócio. É preciso entender e elaborar uma configuração robusta, que elimine formas de acesso que podem não ser autorizadas, que consiga identificar uma possível tentativa de acesso indevido. Isto é o que chamamos de “Hardening”.

Gestão de contas e controle de acesso se unem para entregar informações e controles de quem pode acessar, quem pode alterar e o que pode acessar. Partindo sempre do menor privilégio possível, mas óbvio, os controles e diretrizes de proteção destes dois itens são extremamente abrangentes.

A gestão contínua de vulnerabilidades e os testes de invasão são formas de você entender o que deve ser tratado em seu ambiente para evitar que seja exposto um possível “caminho” para que o criminoso cibernético tenha acesso ao seu ambiente. Fazendo os testes de vulnerabilidade e, mais importante, tratando as vulnerabilidades encontradas, você fecha as portas que poderiam ser usadas como vetor de ataque.

O teste de penetração basicamente simula um ataque. Ele vai um pouco além do scan de vulnerabilidades, pois ele simula um indivíduo externo ao seu ambiente tentando encontrar formas de burlar os seus sistemas, e isso também é importante, pois este é exatamente um dos caminhos que um hacker buscaria para adentrar em seu ambiente.

Gestão de registro e auditoria é uma parte essencial para você saber de forma prévia se algum tipo de atividade maliciosa está ocorrendo em seu ambiente. É por este controle que você vai perceber algo de comportamento estranho que pode comprometer os seus sistemas.

Um monitoramento efetivo é tão importante quanto todos os outros itens e é possível dizer que muitas empresas acabam negligenciando este controle. Quando alguma das camadas de segurança falha, o tempo que demora até o problema ser descoberto permite que o dano seja muito grande. Por isso, o monitoramento tem que ser pensado desde o início.

É frequente também os ataques serem disparados por usuários, seja por engenharia social, roubo de credencial, ou o mais comum, Phishing por e-mail. Calcula-se que mais da metade dos ataques a empresas são realizados e iniciados por algum e-mail mal intencionado. As ferramentas de segurança de e-mail hoje estão no topo de sua evolução, mas ainda acontecem falsos-positivos devido à grande quantidade de ataques que estas ferramentas sofrem a todo momento. Por isso, aliado às ferramentas e às configurações adequadas, a conscientização do usuário em não clicar em links desconhecidos e não atender solicitações de e-mails sem conhecimento é o básico do saber, mas não deixa de ser importante. Não à toa, investimentos em treinamento e conscientização dos colaboradores estão recebendo uma fatia cada vez maior do orçamento das empresas.

Enfim, a consciência de segurança da informação nas empresas deve fazer parte da cultura. Essa preocupação e responsabilidade deve ser de todos. Explicar o risco operacional, o dano financeiro e de marca para todos os colaboradores é uma estratégia que pode funcionar, mas a responsabilidade individual continua sendo a melhor forma de engajar as pessoas. Saber que todos são responsáveis e onde podem colaborar, criando um fluxo conhecido por todos de reportar um possível incidente, incluir os colaboradores nos pensamentos e nos riscos associados a cada atividade que eles realizam, trazer este tema para a realidade de cada função são as iniciativas para um melhor caminho.

Compartilhe este artigo e contribua para disseminar a cultura de segurança da informação, que já faz parte das boas práticas da GFT. Assim, vamos colaborar para um mundo informatizado e mais seguro!

 

Referências:

https://www.cisecurity.org/benchmark
https://www.nist.gov/cyberframework/framework
https://www.iso.org/isoiec-27001-information-security.html