O certo e o errado da segurança cibernética nas empresas
Nos antigos filmes de faroeste, uma cena muito comum era de uma fileira de carroças viajando tranquilamente por plácidas paisagens até que, de repente, após um sinal de alerta, todas se fechavam em um círculo defensivo e todos os seus ocupantes, das crianças aos idosos, começavam a atirar para todos os lados.
Esta imagem às vezes me vem a mente, quando, em aulas ou palestras, as pessoas parecem ficar entediadas com o assunto das boas práticas e das normas, esperando ansiosamente pelo momento em que será falado algo sobre ataque e defesa cibernética. Como se a segurança cibernética se resumisse a um bang-bang entre o perímetro de defesa da rede da empresa e os lugares (endereços IPs) de onde vieram os sinais ameaçadores (pacotes TCP/IP com padrões usados em ataques).
Existem, é verdade, as técnicas de detecção e resposta a incidentes, mas, mesmo elas, são embasadas no planejamento de controles de monitoração, identificação, contenção e resolução que precisam estar funcionando para proteger contra violações de segurança ou de privacidade. Não há espaço para improvisos.
Empresas despreparadas têm muito poucas chances de responder eficazmente a um incidente, seja um causado por problemas de confidencialidade, integridade ou disponibilidade com causas internas, seja ele decorrência de uma ameaça externa.
E os incidentes ocorrem. É muito pouco provável que uma empresa nunca seja surpreendida por falhas sistêmicas, erros operacionais, panes em equipamentos, quedas de links e de energia, problemas ambientais, ações mal intencionadas de usuários de sua infraestrutura de TI, fraudes, vírus ou algum tipo de ataque externo pela Internet.
A diferença entre uma empresa preparada e uma despreparada é no tamanho do rombo financeiro que ficará após o incidente. Sem falar nas consequências legais quando forem causados danos a terceiros, como, por exemplo, as previstas na Lei Geral de Proteção de Dados (LGPD).
A preparação de uma empresa depende naturalmente de suas características, do ramo de negócios em que se encontra, da forma com que conduz seus negócios, mas, existem práticas seguidas internacionalmente que se adaptam aos contextos específicos de cada caso e podem ser seguidas.
A principal delas é o levantamento dos riscos existentes e a identificação das medidas de tratamento apropriadas. Políticas de segurança e privacidade, treinamento e conscientização, procedimentos de controle de acesso, regras de uso aceitável dos ativos da informação, procedimentos de proteção dos dispositivos móveis, medidas contra malwares, procedimentos de backup e de descarte, arquitetura segura de rede e outras similares estão entre estas medidas.
Independente do tamanho da empresa, isto deve ser feito, pois ser pequena não torna nenhuma organização imune aos incidentes. Recursos humanos apropriados devem ser alocados para a tarefa, seja na forma de funcionários especificamente contratados para atender a gestão de segurança da informação e privacidade, seja de prestadores de serviços capacitados.
Quando comento a necessidade de que as empresas de médio ou grande porte tenham uma equipe de segurança da informação interna, mesmo que esta equipe seja reduzida e apenas gerencie os recursos terceirizados, argumentam comigo que há poucos profissionais de segurança da informação e privacidade no mercado. Independente do argumento ser ou não verdadeiro, não considero a eventual falta de profissionais como um empecilho, eles podem ser formados. Se for o caso, escolha pessoas capazes para a tarefa e lhes dê a motivação e os recursos para se formarem.
A formação ideal é multidisciplinar, não basta serem conhecedores de tecnologia, bons desenvolvedores ou bastante hábeis no uso das ferramentas, precisam ser capazes de entender os processos de negócios e suas dependências da tecnologia, devem ter a capacidade de imaginar e analisar cenários adversos no uso dessa tecnologia, bem como alguma noção sobre o comportamento humano.
Essa formação se obtém através de um esforço contínuo de aprendizado e vivência prática. Não é apenas um diploma ou certificado, mas um histórico e vontade de construir uma carreira.
Não é uma formação inacessível, pode ser conseguida paulatinamente, há bons cursos disponíveis, inclusive gratuitos. Vídeos e outros materiais de referência estão disponíveis na Internet e há grupos nas redes sociais dedicados aos vários aspectos da segurança da informação e privacidade. Há uma família bastante abrangente de normas técnicas de segurança da informação e privacidade editadas pela ABNT (são as normas com o código NBR ISO 27nnn).
Outro erro muito comum que transparece nas perguntas que me fazem é quanto ao custo da segurança da informação e privacidade. O problema nesta questão é que o termo de comparação normalmente usado pelo interlocutor é falho. Comparam-se os investimentos e gastos recorrentes de segurança com outros custos administrativos da empresa, esquecendo-se de que o valor da segurança é mensurado pelos riscos que ela minimiza.
Vou ilustrar com um caso recente e de grande repercussão na mídia: em 2021 um ataque pela Internet levou à paralisação da operação de um grande oleoduto americano, causando prejuízos astronômicos e a declaração de estado de emergência pelo governo do país.
É verdade que um incidente em uma de nossas empresas normalmente não para um país, mas, é contra o risco de paralisação da entrega dos bens e serviços que deve ser medido o custo da segurança.
Outra questão muito recorrente que me colocam nas palestras, é que a empresa do interlocutor não tem e até hoje não precisou da segurança da informação e da privacidade, por que deveria se preocupar agora? A resposta é bastante simples, o mundo mudou e continua mudando.
Estamos cada vez mais conectados, usando cada vez mais dispositivos móveis, passando nossos sistemas para a nuvem, tratando cada vez mais dados, adotando cada vez mais softwares inteligentes e dependendo cada vez mais de canais eletrônicos para a divulgação e venda de nossos produtos e serviços. Em termos de riscos, estamos assumindo cada vez mais riscos.
Enfim, segurança cibernética não é sinônimo de bang-bang cibernético. Pelo contrário é uma disciplina que requer preparação e recursos adequados. Sua empresa não vai ser salva se fechando em um círculo defensivo improvisado e atirando para todo o lado no momento do apuro.
Autor: Carlos Alberto Iglesia Bernardo
Sobre o Autor:
Graduado em Engenharia Elétrica pelo Instituto Mauá de Tecnologia (IMT). Consultor em segurança da informação, proteção de dados e gestão de riscos na IT Secure. Atua há 38 anos na área de Tecnologia da Informação, com vivência na estruturação, gestão de áreas técnicas e condução de projetos de infraestrutura e segurança da informação. Membro da comissão de estudo de segurança da informação, segurança cibernética e privacidade da ABNT (CE-021 000.027). Relator do projeto de tradução da norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade. Coordenador do curso de pós-graduação em Boas Práticas, Normas e Compliance em Segurança Cibernética do IMT. Professor em cursos de aperfeiçoamento profissional em segurança da informação, proteção de dados pessoais e gestão de riscos pela ABNT, Fundação Vanzolini, TI Exames e IT Secure.
Fonte da imagem: Banco de Imagens Pixbay – Autor Phillippe Verdier
