Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama atenção: se por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista pelos cibercriminosos como excelente fonte de renda.
Trata-se de uma faca de dois gumes, afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.publicidade
Além de prejudicar a sua imagem, que tem expostas ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa também pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.
Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates, acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.
E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise. publicidade
O que fazer, então? Separei alguns pontos:
1) Rever o básico
Muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adota processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.
2) Limitar o acesso dos atacantes
Três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, anti-phishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além de autenticação multifator (MFA), para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, i.e., sair de um ponto A para um ponto B dentro das nossas redes.publicidade
3) Executar um diagnóstico situacional
É claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas alvo pra se atingir “ciberresiliência”:
1) Proteção da Informação: aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas;
2) Proteção contra Ameaças: defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios;publicidade
3) Gestão de Identidades e Acessos: controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros;
4) Operações de Segurança: envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção.
Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades, através de um roadmap tecnológico para a adequação.publicidade4) Elevar a segurança para uma função estratégica
4) Elevar a segurança para uma função estratégica
Estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem informadas serão extremamente facilitadas com essa cadeia.
5) Segurança ofensiva e gestão das vulnerabilidades
Não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises, testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.