Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama atenção: se por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista pelos cibercriminosos como excelente fonte de renda.
Para Fabrizio Alves, CEO da Vantix, trata-se de uma faca de dois gumes, afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.
“Além de prejudicar a sua imagem, que tem expostas ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa também pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD)”, esclarece Alves. Por isso, ele explica que as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.
Gangues cibernéticas
Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates, acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.
E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.
O que fazer, então? O especialista separou alguns pontos:
1) Rever o básico
Muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adota processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.
2) Limitar o acesso dos atacantes
Três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, anti-phishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além de autenticação multifator (MFA), para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, i.e., sair de um ponto A para um ponto B dentro das nossas redes.
3) Executar um diagnóstico situacional
É claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas alvo pra se atingir “ciberresiliência”:
1) Proteção da Informação: aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas;
2) Proteção contra Ameaças: defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios;
3) Gestão de Identidades e Acessos: controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros;
4) Operações de Segurança: envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção.
Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades, através de um roadmap tecnológico para a adequação.
4) Elevar a segurança para uma função estratégica
Estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem informadas serão extremamente facilitadas com essa cadeia.
5) Segurança ofensiva e gestão das vulnerabilidades
Não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises, testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.
Comentários estão fechados.