A história mostra que muitas evoluções da humanidade surgiram do caos. Pensando especificamente no mundo corporativo brasileiro e no nosso momento atual, o distanciamento social imposto pela Covid-19 fez com que muitas empresas que há anos se mantinham reticentes sobre adotar o trabalho distribuído migrasse para o home office da noite para o dia, driblando os desafios da segurança da informação.
De acordo com pesquisa do Talenses Group, 59,4% das 375 empresas entrevistadas acredita que as novas práticas de trabalho remoto adotadas pela companhia permanecerão após o recuo da pandemia. A questão é que os CIOs e demais profissionais de tecnologia e segurança da informação sabem que o cenário não é tão simples assim. É preciso evoluir com os modelos de trabalho, mas desde que se garanta a continuidade do negócio com gestão de vulnerabilidade e proteção dos dados e a rede da organização, independentemente de onde sejam acessados.
Por isso, listamos a seguir seis aprendizados de SI que a pandemia nos apresentou:
1. Investir na mensuração do impacto de cibersegurança no seu negócio
O mundo caminha velozmente para sua versão digital e segurança deve fazer parte deste caminho. Grande parte dos líderes empresariais não estão acostumados ou cientes dos riscos cibernéticos associados ao seu negócio, enquanto outros já adotaram ferramentas como o Cyber Exposure para fazer esse mapeamento. Realizar um assessment realístico do nível de maturidade da empresa frente a um dos grandes standarts de segurança do mundo, como NIST, CIS ou ISSO é primordial para definir o tamanho aceitável do risco que a empresa quer correr. De modo consciente.
Hoje existem diversas organizações que são capazes de atribuir um score de risco cibernético a qualquer organização, como a Security Scorecard. Este score em um futuro muito próximo impactará estrategicamente sua organização, do valuation a aquisição de novos clientes. Criar, gerir e conscientizar sobre um plano de segurança da informação de modo bastante métrico, hoje, é peça fundamental para o sucesso de qualquer organização.
2. Manter foco na proteção ao trabalho remoto e nas atividades que são realizadas online
Provavelmente, grande parte da sua linha de defesa foi originalmente construída sob o conceito de que todos estariam trabalhando dentro dos seus escritórios e redes corporativas (gostamos de chamar isso de nosso perímetro). Ocorre que na mudança para o home office estas linhas de defesa ficaram pouco eficazes, pois todos os trabalhadores estão trabalhando de casa, com conexões domésticas não monitoradas, entre outros riscos de cybersecurity.
Neste cenário é fundamental, restabelecer sua linha de defesa e monitoração usando das mais diversas tecnologias de proteção disponíveis no mercado. Aqui, a atenção especial é para a criptografia das informações, antivírus modernos e atualizados usados em conjunto com sistemas de detecção de ameaças instalados em cada notebook (chamados de EDRs), criação de um túnel de acesso a empresa e seus sistemas que seja criptografado (chamamos de VPNs) e a adoção de dois fatores de autenticação para todos os usuários de TI da empresa (os famosos tokens). Estas são medidas mínimas para o enfrentamento dos riscos relacionados ao trabalho distribuído.
3. Controlar e aperfeiçoar mecanismos de segurança de aplicações na Web
Como o aumento das transações digitais, todas as empresas estão mais suscetíveis a ataques através de seus websites corporativos, sistemas acessíveis pela internet e e-commerce. A verdade é que grande parte destes sistemas foi desenvolvido sem uma grande preocupação com a segurança da informação. Evidência facilmente comprovável quando vemos que grande parte dos ataques se realizam por esta “porta de entrada”. Neste momento em que todas as transações das empresas passam a ser digitais é de fundamental importância priorizar a linha de defesa desta área em três frentes.
A primeira é proteger os sistemas que já estão publicados com o uso de um Firewall de Aplicações, a segunda é cuidar para que sua esteira de desenvolvimento use práticas de desenvolvimento seguro com metodologias, treinamento e ferramentas próprias para isso. Finalmente, uma terceira preocupação reside na troca de informações entre sistemas através das famosas APIs. Aqui há que se ter uma preocupação em quem acessa o que, de que forma e se existem abusos e comportamento maliciosos.
4. Gerir os acessos e as permissões de usuários
Muitas empresas cresceram ao longo dos anos, contrataram novos colaboradores, mudaram profissionais de função e, inclusive, desligaram outros em seu ciclo natural da vida profissional. Ocorre que muitos dos acessos a sistemas, diretórios e ambientes devem estar desatualizados. Colaboradores que já foram Marketing e agora estão em outra área podem ainda ter acesso às informações de marketing, profissionais de uma área do financeiro ainda podem ter privilégios de outra área que faziam parte e por aí vai. Estes controles são super difíceis de se manter de modo manual. Se considerarmos que todos estavam dentro do perímetro este risco estava mais controlado, na situação atual ele se eleva.
Faz-se necessário acelerar um projeto de automatização neste campo. Começando por um diagnóstico automático de quem tem qual privilégio de acesso em cada parte da organização. Na sequência, realiza-se o agrupamento e a revisão destes permissionamentos em núcleos de trabalho e automação da criação e alteração de acessos decorrentes de movimentos de movimentação de pessoal na organização.
5. Prevenir vazamento de dados em ambientes de nuvem
Se computação em nuvem já era um desejo de muitos, agora é o novo normal. As empresas que não possuíam projetos de computação em nuvem, já adotam uma postura de cloud first neste momento. Ocorre que a migração para ambientes em nuvem sem a devida preocupação com cybersecurity já vinha acarretando problemas significativos. Frequentemente vemos notícias de um banco de dados exposto na nuvem. Gerir as configurações de segurança na nuvem é responsabilidade do cliente e não do provedor da nuvem (isso está em contrato!). Ocorre que isso não é uma tarefa simples, sobretudo se sua organização usa muitas nuvens, como AWS, Azure, Google etc.
Hoje existem tecnologias que conseguem não apenas prover a visibilidade necessária para a segurança destes ambientes, mas também forçar um compliance ativo com a política de segurança. Em palavras simples, quer dizer que qualquer atividade feita no ambiente de nuvem será monitorada sob a ótica de segurança da informação e se executada de forma descuidada, automaticamente alterada para refletir a política de segurança da empresa.
6. Garantir que os riscos associados a terceiros estejam sob controle
Todas as empresas têm fornecedores, alianças estratégicas, parceiros de negócios ou outros agentes do ecossistema que acessam ou consomem informações e sistemas da empresa. Em segurança da informação dizemos que a sua segurança é tão boa quanto a segurança do seu elo mais frágil. Um atacante pode se valer do acesso de um fornecedor para conseguir sequestrar seus dados ou mesmo roubar seus segredos industriais.
O antigo processo de avaliação de risco de terceiros baseados em auditorias presenciais ou por troca de documentos, já está sendo substituído por avaliações baseadas em Score de risco cibernético. Existem bureaux mundiais especializados neste tipo de avaliação e grande parte das empresas já estão catalogadas para este fim. Cabendo então mediante o conhecimento do score do risco, compartilhar boas práticas de segurança para elevar o nível de segurança do ecossistema inteiro.
Pode parecer complicado em um primeiro momento, mas acredite o mundo digital veio para ficar. Esta pandemia vai acelerar o processo de transformação digital e como consequência os riscos cibernéticos que hoje já são classificados como o quinto maior risco do mundo, serão ainda mais relevantes para a sua organização, ao ponto de se converterem uma vantagem neste novo mundo digital.
Se a sua empresa tem dúvidas sobre quais estratégias de segurança da informação adotar nesse momento disruptivo, fale conosco.
