Chegamos ao final de 2024 e as empresas ainda continuam sem resiliência cibernética! Quais as razões para esta miopia?
Antonio Celso Ribeiro Brasiliano, PhD,
Doctor of Philosophy in International Security Sciences, pela Cambridge International University, Inglaterra, Reino Unido.
Presidente da Brasiliano INTERISK.
Novembro/Dezembro| 2024
As pesquisas internacionais dos últimos 3 anos ainda insistem em enfatizar que os responsáveis pela segurança cibernética consideram que suas empresas não possuem um nível de resiliência adequada. Ou seja, grande parte das empresas de todos os segmentos ainda possuem brechas abertas, de tal forma que um hacker estruturado consegue passar por cima das barreiras implantadas.
Na verdade, precisamos procurar entender esta problemática crônica. Se o responsável pela segurança cibernética não consegue acesso aos decisores, sempre há um nível acima para colocar filtros, de tal modo que as empresas nunca terão a real posição da sua segurança cibernética. O que existe então é uma brecha entre o real e o proposto. Pior, os executivos C-Level consideram que suas estratégias de segurança cibernética estão alinhadas com as estratégias de negócio. Não estão, por uma questão de metodologia.
Então vamos listar três temas que considero motrizes para que este problema continue sendo de alta criticidade:
Primeiro Tema: Metodologia de Riscos
Os gestores de segurança cibernética não estabelecem uma priorização das áreas críticas de negócio, ou seja, não estudam sua cadeia de valor, para saber, dentro da cadeia de valor, quais são os processos de maior relevância estratégica e aí, sim, conhecer os sistemas que suportam esses processos. O que acontece no mercado, e isto é uma realidade, é a área de TI e Cibernética priorizarem os sistemas com seus próprios BIA’s, sem procurar saber com as áreas de negócio se aqueles sistemas são de fato estratégicos para o processo de negócio. Com esta dicotomia, com este gap, já temos um grande desalinhamento estratégico. A metodologia prevê que se estabeleçam, pelo lado da segurança, 3 premissas estratégicas:
-
Conhecer o núcleo duro da empresa, suas joias da coroa: o que de fato é importante proteger. O que o hacker vai querer da sua empresa para negociar o sequestro ou a criptografia. Sem esta primeira premissa, toda a avaliação de riscos, vulnerabilidades e ativos críticos será míope. Terá um defeito de nascença;
-
Conhecer a intenção do hacker, saber quais são as áreas, processos, informações e sistemas que suportam este ciclo que o agressor poderá querer atacar para negociar. Ter ciência do denominado Efeito Final Desejado (EFD) é a segunda premissa. Estabelecer o EFD não é estudar ameaças, mas sim conhecer os perfis, motivações e modus operandi do agressor. É mais profundo. Necessita de um processo de monitoramento contínuo por indústria e segmento de mercado para que a equipe de segurança esteja preparada;
-
A terceira premissa é o fechamento do ciclo: se já sei o que defender e de quem me defender, posso elaborar uma estratégia de segurança coerente com a relação custo-benefício. Não condizente com os princípios da Segurança Cibernética é instalar inúmeros sistemas de proteção, visando cobrir a superfície de ataque em sua totalidade. Isso, infelizmente, é o que acontece na maioria das vezes. Temos sistemas demais, sem integração entre eles, o que redunda no segundo tema.
Segundo Tema: Estratégia de Segurança Cibernética
A estratégia de segurança cibernética só será eficaz, cumprindo as premissas de prevenção e, principalmente de resiliência, se soubermos o que, onde e como implantar. Os CISOS reclamam que, em face dos desafios e das pressões de tempo, as ferramentas e processos existentes na área cibernética já não são mais adequados na nova era em que vivemos. Pergunto então: por que eles mantêm ainda estes dispositivos aplicados se afirmam que são ineficazes? Há uma incoerência em manter algo, sabendo que não irá resistir ao embate com o hacker. Devem ter a coragem de dizer que os sistemas atuais de suas empresas não são eficazes, identificar os riscos e as suas consequências e levar este relatório para os decisores. Outro ponto muito importante é o volume de informação relacionado aos alertas. Como as ferramentas não possuem uma plataforma única, os alertas são individuais e acabam dificultando as priorizações. Em média as equipes recebem 2.169 alertas de vulnerabilidades em aplicativos por mês, o que nos fornece 72 alertas por dia, isso só no que se refere a aplicativos. A grande maioria desses alertas são falsos positivos. Conhecem a estória do Pedrinho e do lobo? Pois é, este é o mesmo caso. Outros problemas que dificultam a boa estratégia cibernética: software “poliglota”, que usa um número cada vez maior de tecnologias de terceiros. A solução é integrar e automatizar. Sem isso, continuaremos a apanhar dos hackers, como bem demonstram as estatísticas.
Terceiro Tema: Estrutura Organizacional
Os colaboradores das empresas são os vetores mais comuns de ataque. Eles continuam sendo o elo mais forte e também o mais fraco da corrente cibernética. Por esta razão temos sempre que levar em conta dois grandes riscos relacionados ao fator humano:
-
Erro humano: falha no desempenho técnico, por questões de formação ou por desgaste emocional, muitas vezes motivado por pressão psicológica. Então há necessidade de a área cibernética desfrutar de uma estrutura compatível e de um programa de formação sólido. A empresa deve investir no profissional. Não há outro jeito, é preciso treinar, principalmente na capacidade de liderança, frente a situações de crise;
-
Fator Humano: é a falta de sensibilização dos colaboradores diante das táticas dos hackers em busca de brechas para penetrar na rede. Aí incluímos o treinamento por phishing, por exemplo. E temos de aceitar que as chances de sucesso são favoráveis ao hacker, pois basta um único colaborador da empresa aceitar um link malicioso para o ataque ser materializado. É desigual? Sim, mas temos que gerir este risco da melhor maneira possível. Por esta razão, focar na cultura de segurança cibernética é o aspecto mais importante. Muitas vezes eu, como consultor, vejo que o problema está nas pessoas, desde o nível de liderança até o chão de fábrica, onde há falta de sensibilização. Para resolver este gap, o treinamento de sensibilização é a solução: um programa contínuo, visando gerar a cultura de segurança adequada.
Há ainda o problema do lugar da segurança cibernética no organograma. Se ela não estiver em condições de reportar para o CEO e também para o Conselho de Administração, a empresa terá sempre filtragem, o que levará a uma grande miopia. A banda da segurança cibernética deve ser larga, a ponto de ter relação aberta com os decisores.
Os três temas que acabei de descrever acima são, de acordo com a minha experiência, os maiores problemas que as empresas devem enfrentar. Estes três problemas juntos e integrados exercem uma motricidade muito grande, potencializando a vulnerabilidade das empresas diante de ataques cibernéticos.
Espero que possamos transpor estes três desafios, pois eles constituem a mola mestra que que dá origem e energia aos ataques cibernéticos.
Boas festas e um ótimo 2025 para todos nós!!
Sorte e sucesso para todos!!