Organizações de todos os setores da economia vêm, nos últimos meses e anos, enfrentando cenários desafiadores para garantir a viabilidade dos seus negócios, e boa parte destes desafios convergem em questões relacionadas com a segurança da informação.
No relatório 2021 CIO Agenda: A Brazil Perspective o Gartner aponta a segurança e a proteção de dados (especialmente sob a ótica da LGPD) como uma das principais dentre as várias preocupações que as organizações no Brasil precisam ter neste ano.
A preocupação é especialmente justificada pelo atual cenário “com a pandemia empurrando definitivamente os processos de negócios para operar em redes descentralizadas”. Neste contexto, programas capazes de abordar a segurança e a proteção de dados se tornaram obrigatórios por uma série de motivos, dentre os quais destaca-se o trabalho remoto.
A mobilização de times para ambientes fora do perímetro original das organizações trouxe uma revisão do próprio conceito do que é o perímetro a ser monitorado e protegido. Essa realidade tende a permanecer no pós-pandemia, no qual a habilitação e a produtividade remota dos colaboradores será parte integral dos planos de muitas empresas.
Essa mudança no conceito de “perímetro” traz claras implicações de segurança: operação em ambientes com deficiências do ponto de vista do desempenho e da privacidade, compartilhamento de redes domésticas com dispositivos IoT como TVs, câmeras, dentre outros, passíveis de vulnerabilidades.
Além disso, é preciso considerar a própria migração de operações (sistemas, ferramentas, etc) para ambientes em nuvem e a crescente necessidade de fornecer serviços capazes de suprir uma demanda cada vez mais digital, em um contexto de mudanças nas relações de consumo.
Considerando todos estes fatores, a cada novo incidente fica cada vez mais claro que a cibersegurança deve cada vez mais ser um fator determinante nas decisões estratégicas e operacionais para garantir que o “próximo normal” não se torne a “próxima fonte de risco”.
Diariamente as organizações precisam lidar com diferentes ameaças cibernéticas, de modo que CISOs, CIOs e equipes de segurança têm como um dos principais desafios identificar e corrigir vulnerabilidades que possam ser exploradas por essas ameaças. Estas, por sua vez, podem estar em qualquer ativo, incluindo hardwares, equipamentos, aplicativos, dispositivos pessoais, periféricos, redes, etc.
Neste processo, algumas dúvidas e preocupações se destacam:
1) Como ampliar a cobertura de proteção dos ativos existentes numa organização de forma contínua e eficiente?
2) Como manter (e elevar) a eficiência e autonomia operacional das equipes de segurança cada vez mais sobrecarregadas com tantos alertas e projetos?
3) Como identificar e priorizar quais vulnerabilidades colocam o negócio em risco?
4) Como medir o sucesso ou fracasso de um projeto de segurança? Que métricas podem ser usadas para esse fim?
No centro das questões apresentadas acima estão as vulnerabilidades.
E ,como sabemos, vulnerabilidades são brechas que podem ser exploradas por cibercriminosos para obter acesso não autorizado a computadores, servidores, e outros assets da organização, a fim de atingir seus objetivos.
Lidar com estas vulnerabilidades (e responder às questões colocadas anteriormente) requer uma abordagem proativa das iniciativas de segurança.
Monitorar todo o ambiente de TI e identificar possíveis falhas de segurança que podem comprometer a continuidade dos negócios requer projetos de segurança que promovam a melhoria contínua. Ao considerar que os sistemas da companhia estão constantemente em risco, é evidente que um plano estruturado de gerenciamento de vulnerabilidades e conformidades culmina em processos mais ágeis, eficientes e seguros.
O NIST – National Institute of Standards and Technology define Gestão de Vulnerabilidade como sendo um recurso ISCM (Information Security Continuous Monitoring) que identifica vulnerabilidades [Common Vulnerabilities and Exposures (CVEs)] em dispositivos que provavelmente serão usados por invasores para comprometer um dispositivo e usá-lo como uma plataforma para estender o comprometimento à rede.
Trata-se de um processo cíclico que envolve uma série de etapas, a saber:
Planejar – etapa onde é definida a arquitetura, customizações, como e quando serão realizadas as varreduras nos ativos da organização.
Revisar Escopo – etapa onde se define e/ou revisa o escopo dos ativos onde serão executadas as varredura;
Executar Varredura – execução das varreduras conforme planejado. Após a execução da varredura é publicado o conjunto de informações (vulnerabilidades e não conformidades) para correção:
Priorizar – Processo de priorização baseado em severidade das vulnerabilidades e criticidade dos ativos (riscos).
Corrigir – Etapa de correção das vulnerabilidades e não conformidades;
Validar – Etapa de validação das correções realizadas.
Por tudo isso, é possível considerar a Gestão de Vulnerabilidade como algo prioritário para as empresas pelo potencial de reduzir os riscos de um incidente, ainda que não seja possível reparar tudo (no que se refere às vulnerabilidades), é viável reduzir significativamente as ameaças ao priorizar esforços na gestão de riscos.
Como dissemos no início deste artigo, as exigências trazidas pela LGPD do ponto de vista da proteção dos dados estão no topo das prioridades dos negócios no Brasil. Esta, no entanto, não é a única regulação que estipula regras de segurança no país – a depender do negócio, organizações precisam adequar suas operações a uma série de práticas.
Aplicamos o conceito de conformidade em Cibersegurança, quando afirmamos que um ativo está em conformidade com alguma regra e/ou melhores práticas de segurança (Hardening) ou alguma regra estabelecida por alguma entidade (PCI, NIST, entre outras).
O termo compliance vem do inglês “to comply” e significa estar em conformidade. Na prática, o compliance tem a função de proporcionar segurança e minimizar riscos de instituições e empresas, garantindo o cumprimento dos atos, regimentos, normas e leis estabelecidos interna e externamente.
Prevenção de ameaças de forma proativa:
Avaliar e gerenciar proativamente os riscos apresentados por fraquezas aumenta consideravelmente a segurança do seu negócio
Eficiência operacional
Eleva a eficiência e autonomia operacional das equipes de segurança, cada vez mais sobrecarregadas com tantos alertas e projetos
Agilidade na tomada de decisão
Gerar vantagem competitiva para o negócio, assim como obtenção de dados estratégicos para as tomadas de decisão relacionadas à segurança.
É fundamental contar com parceiros com expertise técnica que ofereçam produtos, serviços e conhecimento para identificar possíveis brechas de segurança na organização.
A Tempest Security Intelligence é a maior empresa brasileira especializada em cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 390 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas de todos os portes de setores como serviços financeiros, varejo e e-commerce.
Pesquisando e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!