Segurança da Informação e Privacidade: onde não errar

Segurança da informação

Segurança da informação - o início


Quando falamos sobre padrões de Segurança da Informação em corporações, “O Elo mais fraco é o usuário” é a frase mais escutada entre os profissionais de Segurança da Informação.

Alguns discordam, mas a grande maioria enfatiza que cuidar dos usuários – fornecedores, funcionários, clientes etc. – deve ser a prioridade em qualquer assessment para desenvolver uma cultura com padrões mínimos de segurança.

Tudo depende de um esforço conjunto entre a alta direção e as equipes responsáveis por manter políticas e procedimentos em dia, auditados e sendo seguidas como manda o compliance de qualquer certificação de segurança.

A mudança de cultura é primordial e a percepção de que Segurança da Informação engessa o processo pode soar como uma desculpa para não seguir a cartilha básica para se evitar incidentes futuros.

Manter os três pilares mais importantes da Segurança de Informação é um trabalho de todos, não se resumindo apenas em um esforço único e solitário das equipes que cuidam da segurança e do compliance.

 


 

Segurança da informação deve começar dentro de casa

Sempre gosto de enfatizar em apresentações que Segurança deve começar dentro da nossa própria casa.

Devemos estar sempre atentos aos fatos que acontecem ao nosso redor, repassando todo nosso conhecimento (mesmo que mínimo) sobre prevenção, pois, a maior arma que podemos usar é a informação.

O grande número de pessoas conectadas, utilizando dispositivos móveis que, quando comparados com os computadores dos anos 90 são como Ferraris, aumenta a complexidade e o controle de qualquer infraestrutura de uma organização.

Vale também ressaltar que a grande maioria dos usuários não tem conhecimento sobre os riscos de clicar em links compartilhados seja via WhatsApp ou Messenger, SMS ou por e-mail vindo de fontes desconhecidas.

 

Pensar sempre do pior para o melhor

Nós (Profissionais de Segurança da Informação) muitas vezes somos rotulados como pessimistas pelo fato de sempre pensarmos primeiro nas piores situações ao analisar uma nova implementação.

 Quando vivemos no meio de tantos incidentes, com notícias (cada vez mais comuns) de vazamentos de dados, de ataques de Ransonware e da migração cada vez mais evidente de grupos fraudulentos para os meios digitais, acabamos por visualizar uma superfície de ataque muito maior nas corporações.

 A cada nova ideia, nova implementação, nova migração de paradigma, devemos ter sempre um plano para analisar de uma forma muito mais aberta a todas as possibilidades e probabilidades que possam surgir.

 Uma outra frase que devemos sempre ter em mente: “Não existe nada 100% seguro e nem probabilidade zero em Segurança da Informação.”

Utilizamos nossos padrões para reduzir o risco de roubo e fraudes, dificultando assim a vida dos usuários maliciosos.

 No site da PCI Security Standards Councilou , em português, o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento, é compartilhada uma pergunta para seus visitantes.

 


 

Por que proteger?

“Mantenha os seus sistemas protegidos e, em virtude disso, os clientes poderão confiar-lhe informações sensíveis dos respetivos cartões de pagamento. Ao aderir, faz parte da solução - uma resposta unida e global contra dados de cartões de pagamento comprometidos.”

 Em uma visão de alto nível, conseguimos ver procedimentos necessários para se iniciar a construção de uma cultura onde a prioridade é reduzir o risco de fraude em dados de cartão de crédito, o que pode ser facilmente estendido para outros tipos de dados.



Fonte: PCI Security Standard Council

 

Nesses 12 requisitos temos a abstração comum de todos os procedimentos que, quando detalhados, passam de 300 controles a serem implementados e que dão suporte à organização para manter um ambiente monitorado, auditado e controlado.

 

“O ambiente de dados do titular do cartão (CDE) compreende pessoas, processos e tecnologias que armazenam, processam, ou transmitem os dados do titular do cartão ou dados de autenticação confidenciais.”

 

Podemos identificar os atacantes em três categorias baseadas em suas localizações e conhecimento da organização algo como:

 

  • Internos da organização: conhecidos como insiders, possuem um grande conhecimento da rede da corporação, sistemas, segurança, políticas e procedimentos.

 

  • Externos: comparados com os insiders, esse tipo de atacante gasta muito tempo antes de atacar simplesmente procurando por informações sobre o alvo devido ao seu conhecimento limitado sobre a organização.

 

  • Grupos híbridos: são grupos organizados por agentes internos e externos à organização

 

Os desafios de Segurança da Informação


Um relatório da CSO Global Intelligence mostrou alguns dados referentes a uma pesquisa online feita entre maio e junho de 2021 em que metade dos entrevistados revelaram ter sofrido algum tipo de impacto econômico, perda de produtividade e roubo de dados pessoais identificáveis (PII).

Não menos do que 27% afirmaram que propriedade intelectual foi roubada.

Dos que foram atacados, 15% tiveram seus serviços totalmente indisponibilizados e 12% admitiram ter sofrido um impacto econômico de grandes proporções.

A natureza global dessa pesquisa também mostrou alguns pontos importantes, como o aumento nos incidentes reportados por organizações localizadas nas seguintes regiões:


  • Estados Unidos e Canada (53%),
  • Ásia (50%),
  • Europa e Oriente Médio (48%) e
  • América Latina e África (cada uma com 42%).


Como essas empresas planejam responder a esse aumento das ameaças e incidentes?

A maior parte delas (71%) esperam aumentar seus investimentos em segurança, sendo as prioridades direcionadas para:


  • prevenção a ataques (43%),
  • segurança em cloud computing (36%),
  • privacidade de dados e segurança de redes (35%).

 

Um ponto a se observar é que as empresas não planejam e não confirmam a obrigatoriedade de treinamentos de segurança em TI ou campanhas de conscientização, o que de certa forma acaba tendo um impacto negativo uma vez que tais processos ajudam a mitigar riscos conhecidos.

Um outro relatório feito pela VMWare mostra que a quantidade de ataques cresceu durante o movimento exponencial para o Home Office.

O fato de as empresas perderem a visibilidade completa dos seus ativos, o comportamento errático dos usuários, a utilização de dispositivos pessoais e o uso da rede doméstica reduzem a visibilidade, criando pontos cegos onde os ataques acontecem.




 Fonte: VMWare Global Report Security Insights 2021


O relatório também cita os aplicativos de terceiros e os ataques de Ransonware como os líderes de causas de violação, seguidos por tecnologias de segurança da informação desatualizadas.

 

A velocidade pelas quais as empresas tiveram que implementar soluções para o trabalho remoto também foi um dos pivôs desse aumento.

 

Isso torna o desafio muito maior quando se trata de higienização de segurança e a disseminação da autenticação de dois fatores, enquanto procedimentos falhos e vulnerabilidades em sistemas operacionais também contribuíram para as causas de violações.

 

Campanhas envolvendo invasões, persistência, roubo de dados e extorsão estão aumentando a pressão por procedimentos e controles mais efetivos no combate a esse tipo de ataque que está sendo utilizado contra trabalhadores remotos e organizações.


Fonte: VMWare Global Report Security Insights 2021

 

 

Onde trabalhar para minimizar

Sabemos que o exercício de estar sempre realizando testes em ambientes, em aplicações e até mesmo em pessoas é um dos procedimentos que ajudam as organizações a mapearem suas fraquezas mais comuns.

 

Manter uma política de segurança bem rigorosa e procedimentos alinhados aos padrões de Segurança da Informação é o primeiro passo para minimizar a exposição dos ativos às ameaças.

 

A informação é essencial no trabalho de prevenção e campanhas de Awareness são sempre bem-vindas, agregando valor à postura de Segurança da organização.

 

  

Treinar toda a equipe é de extrema importância!

 

 

 Algumas ferramentas de mercado ajudam em campanhas educativas realizando testes automatizados de Phishing – tipo de ataque muito utilizado e com grande chance de sucesso – e que muitas vezes é o ponto inicial do ataque (Outros tipos de ataques que usam Engenharia Social também fazem parte).

 

Manter todo inventário do parque tecnológico “em dia”, com seus controles atualizados, monitorados e auditados sempre que possível ajudam na prevenção.

 

São processos básicos exigidos por qualquer certificação de Segurança e que ajudam a ter uma visibilidade sobre o que acontece no seu ambiente.

 

E para finalizar, o mais importante: separar o investimento para garantir que nenhum controle seja perdido por falta de orçamento.

 

Não podemos esquecer de que Segurança da Informação não se trata apenas de conter ameaças digitais e sim todo um processo que cuida de todo o contexto em que os dados são armazenados, processados e manipulados.

 

Portanto, precisamos olhar para todo o Sistema de Informação e seus usuários.

 

Investir em ferramentas, treinamento e profissionais especializados é uma obrigação para quem deseja manter os padrões de certificação aderentes.

 

Segurança da Informação e Privacidade de Dados andam de mãos dadas, dependendo um do outro, e todos dependendo do apoio de quem usa, de quem trabalha e de quem fornece.


Humberto Júnior é Information Security Officer na TNS

Deixe seu comentário, crítica ou sugestão


Ao acessar o nosso site, você concorda com o uso de cookies para analisar e produzir conteúdo e anúncios adaptados aos seus interesses. Leia nossa Política de Cookies.