Durante 2021 tivemos vários casos de rompimento da segurança da informação, um fator importante nessa conta é a pandemia, com ela os trabalhos de home office aumentaram, aumentando também os casos de vazamentos, vírus e entre outros. Por isso, listamos aprendizados de cibersegurança que 2021 nos apresentou. E quais erros não devemos mais cometer
1. Não investir na mensuração do impacto de cibersegurança na sua empresa
Grande parte dos diretores empresariais não estão acostumados ou cientes dos riscos cibernéticos associados ao seu negócio, enquanto outros já adotaram diversos tipos de ferramentas para fazer um mapeamento que sane futuras falhas. Realizar um assessment realístico do nível de maturidade da empresa frente a um dos grandes standarts de segurança do mundo, é essencial para definir o tamanho aceitável do risco que a empresa quer correr. De modo consciente.
Criar, gerir e conscientizar sobre um plano de segurança da informação de modo bastante métrico, hoje, é peça fundamental para o sucesso de qualquer organização.
Criar, gerir e conscientizar sobre um plano de segurança da informação de modo bastante métrico, hoje, é peça fundamental para o sucesso de qualquer organização.
2. Não controlar e aperfeiçoar mecanismos de segurança de aplicações na Web
Como o aumento das transações digitais, todas as empresas estão com um ampliamento suscetível a ataques através de seus websites corporativos, sistemas acessíveis pela internet. A verdade é que grande parte destes sistemas foi desenvolvido sem uma grande preocupação com a segurança da informação. Evidência facilmente comprovável quando vemos que grande parte dos ataques se realizam por esta “porta de entrada”. Neste momento em que todas as transações das empresas passam a ser digitais é de fundamental importância priorizar a linha de defesa desta área em três frentes.
A primeira é proteger os sistemas que já estão publicados com o uso de um Firewall de Aplicações, a segunda é cuidar para que sua esteira de desenvolvimento use práticas de desenvolvimento seguro com metodologias, treinamento e ferramentas próprias para isso. Finalmente, uma terceira preocupação reside na troca de informações entre sistemas através das famosas APIs. Aqui há que se ter uma preocupação em quem acessa o que, de que forma e se existem abusos e comportamento maliciosos.
A primeira é proteger os sistemas que já estão publicados com o uso de um Firewall de Aplicações, a segunda é cuidar para que sua esteira de desenvolvimento use práticas de desenvolvimento seguro com metodologias, treinamento e ferramentas próprias para isso. Finalmente, uma terceira preocupação reside na troca de informações entre sistemas através das famosas APIs. Aqui há que se ter uma preocupação em quem acessa o que, de que forma e se existem abusos e comportamento maliciosos.
3. Não monitorar a proteção ao trabalho remoto
Provavelmente, você está acostumado com equipes de linhas de frente atuando em escritórios presenciais. Ocorre que na mudança para o home office estas linhas de defesa ficaram pouco eficazes, pois todos os trabalhadores estão trabalhando de casa, com conexões domésticas não monitoradas.
Nessa situação é necessário, restabelecer sua linha de defesa e monitoração usando das mais diversas tecnologias de proteção disponíveis no mercado. Aqui, a atenção especial é para a criptografia das informações, antivírus modernos e atualizados usados em conjunto com sistemas de detecção de futuras ameaças instaladas em cada notebook (chamados de EDRs), criação de um túnel de acesso a empresa e seus sistemas que seja criptografado (chamamos de VPNs) e a adoção de dois fatores de autenticação para todos os usuários de TI da empresa (os famosos tokens). Estas são medidas mínimas para o enfrentamento dos riscos relacionados ao trabalho distribuído.
Nessa situação é necessário, restabelecer sua linha de defesa e monitoração usando das mais diversas tecnologias de proteção disponíveis no mercado. Aqui, a atenção especial é para a criptografia das informações, antivírus modernos e atualizados usados em conjunto com sistemas de detecção de futuras ameaças instaladas em cada notebook (chamados de EDRs), criação de um túnel de acesso a empresa e seus sistemas que seja criptografado (chamamos de VPNs) e a adoção de dois fatores de autenticação para todos os usuários de TI da empresa (os famosos tokens). Estas são medidas mínimas para o enfrentamento dos riscos relacionados ao trabalho distribuído.
4. Não gerir os acessos e as permissões de usuários
Muitas empresas cresceram ao longo dos anos, contrataram novos colaboradores, mudaram profissionais de função e, inclusive, desligaram outros em seu ciclo natural da vida profissional. Ocorre que muitos dos acessos a sistemas, diretórios e ambientes devem estar desatualizados. Colaboradores que já foram Marketing e agora estão em outra área podem ainda ter acesso às informações de marketing, profissionais de uma área do financeiro ainda podem ter privilégios de outra área que faziam parte e por aí vai. Estes controles são super difíceis de se manter de modo manual. Se considerarmos que todos estavam dentro do perímetro este risco estava mais controlado, na situação atual ele se eleva.
Faz-se necessário acelerar um projeto de automatização neste campo. Começando por um diagnóstico automático de quem tem qual privilégio de acesso em cada parte da organização. Na sequência, realiza-se o agrupamento e a revisão destes permissionamentos em núcleos de trabalho e automação da criação e alteração de acessos decorrentes de movimentos de movimentação de pessoal na organização.
Faz-se necessário acelerar um projeto de automatização neste campo. Começando por um diagnóstico automático de quem tem qual privilégio de acesso em cada parte da organização. Na sequência, realiza-se o agrupamento e a revisão destes permissionamentos em núcleos de trabalho e automação da criação e alteração de acessos decorrentes de movimentos de movimentação de pessoal na organização.
5. Não se preparar para vazamento de dados em ambientes de nuvem
Se computação em nuvem já era um desejo de muitos, agora é o novo normal. As empresas que não possuíam projetos de computação em nuvem, já adotam uma postura de cloud first neste momento. Ocorre que a migração para ambientes em nuvem sem a devida preocupação com cibersegurança já vinha acarretando problemas significativos. Frequentemente vemos notícias de um banco de dados exposto na nuvem. Como casos dos ataques hackers ao ministério da saúde.
Hoje existem tecnologias que conseguem não apenas prover a visibilidade necessária para a segurança destes ambientes, mas também forçar um compliance ativo com a política de segurança. Em resumo, quer dizer que qualquer atividade feita no ambiente de nuvem será monitorada sob a ótica de segurança da informação e se executada de forma descuidada, automaticamente alterada para refletir a política de segurança da empresa.
Hoje existem tecnologias que conseguem não apenas prover a visibilidade necessária para a segurança destes ambientes, mas também forçar um compliance ativo com a política de segurança. Em resumo, quer dizer que qualquer atividade feita no ambiente de nuvem será monitorada sob a ótica de segurança da informação e se executada de forma descuidada, automaticamente alterada para refletir a política de segurança da empresa.
6. Não garantir que os riscos associados a terceiros estejam sob controle
Todas as empresas têm fornecedores, alianças estratégicas, parceiros de negócios ou outros agentes do ecossistema que acessam ou consomem informações e sistemas da empresa. Em segurança da informação dizemos que a sua segurança é tão boa quanto a segurança do seu elo mais frágil. Um atacante pode se valer do acesso de um fornecedor para conseguir sequestrar seus dados ou mesmo roubar seus segredos industriais.
O antigo processo de avaliação de risco de terceiros baseados em auditorias presenciais ou por troca de documentos, já está sendo substituído por avaliações baseadas em Score de risco cibernético. Existem bureaux mundiais especializados neste tipo de avaliação e grande parte das empresas já estão catalogadas para este fim. Cabendo então mediante o conhecimento do score do risco, compartilhar boas práticas de segurança para elevar o nível de segurança do ecossistema inteiro.
O antigo processo de avaliação de risco de terceiros baseados em auditorias presenciais ou por troca de documentos, já está sendo substituído por avaliações baseadas em Score de risco cibernético. Existem bureaux mundiais especializados neste tipo de avaliação e grande parte das empresas já estão catalogadas para este fim. Cabendo então mediante o conhecimento do score do risco, compartilhar boas práticas de segurança para elevar o nível de segurança do ecossistema inteiro.