Segurança Cibernética: 5 Passos para Estar Seguro em um Mundo Perigoso

Postado em 5 de mar. de 2018 por Antonio Plais

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign – Tradução autorizada

As ameaças de segurança cibernética estão aumentando cada vez mais. É comum se dizer que existem dois tipos de organizações: aquelas que sabem que foram atacadas, e aquelas que não sabem disso ainda. Para mitigar o risco e o dano associado com a segurança cibernética, é importante saber como avaliar estes riscos e melhorar suas defesas através da segurança-por-desenho. É importante, também, planejar o que fazer se (e quando) as coisas saírem dos trilhos.

Garanta a conscientização por toda a organização

Na maioria das organizações, a conscientização das gerências de nível superior em relação às ameaças cibernéticas tem crescido em função dos numerosos incidentes com grande impacto ocorridos nos últimos tempos. O custo associado com ransomware, vazamento de informações e outros problemas pode facilmente chegar à casa das centenas de milhões.

No entanto, a segurança cibernética ainda é vista apenas como um problema técnico, que deve ser lidado pelo Diretor de TI e sua equipe. Uma forma garantida de acordar toda a Diretoria para a conscientização da segurança cibernética é a conformidade regulatória. Nestes casos, a Direção pode ser pessoalmente responsabilizada pela não-conformidade, de forma que existe uma forte motivação para tomar ações. Novas regulações sobre privacidade de dados, como a LGPD, são apenas um exemplo onde preocupações de segurança e privacidade chegaram até a sala da Diretoria. Regulações regionais e específicas de um setor, como a Lei de Privacidade HIPAA, dos Estados Unidos, para o setor de cuidados de saúde, ou a regulação NYDFS para Segurança Cibernética, para o setor financeiro em Nova York, são outros exemplos.

Na maioria das vezes, a gerência se sente como um animal sob a luz dos faróis quando o assunto é ameaça cibernética. Eles vêm o perigo, mas não sabem o que fazer frente a estas ameaças. A extensão e a profundidade destes problemas pode, realmente, parecer incompreensível e não solucionável. Para ajudar a gerência a superar esta paralisia, você deve apresentar soluções, não apenas problemas. Arquitetos corporativos estão posicionados de forma única para contribuir para estas soluções.

Figura 1: Mapa de Calor de Vulnerabilidades, mostrando o nível de ameaças vs as medidas de controle mitigatórias

Enquanto os arquitetos corporativos tentam construir padrões e processos de segurança cibernética, você precisa envolver e informar não apenas a gerência, mas também todo o resto da organização. Nós temos publicado uma série de postagens relacionadas com a comunicação sobre segurança da informação, incluindo uma discussão sobre segurança da informação na Diretoria, fornecendo dicas sobre como envolver seu negócio e endereçar o que realmente funciona para construir a conscientização da segurança. Para mais informações sobre como mitigar apropriadamente os riscos cibernéticos e de informação, consulte-as.

Alinhe o gerenciamento de risco e segurança com a estratégia do negócio

Para gastar seu dinheiro de forma inteligente, você precisa investir na segurança onde ela realmente conta – ou seja, onde ela é estrategicamente importante. Você deveria, desta forma, classificar seus ativos a partir da perspectiva da sua estratégia, levando em consideração a conformidade regulatória e outras orientações. Qual o valor destes ativos, não somente em termos financeiros, mas em um sentido mais amplo? Por exemplo, proteger o valor da propriedade intelectual ou dados sensíveis à privacidade pode ser crucial para a continuidade do seu negócio ou essencial a partir de uma perspectiva de conformidade regulatória. Tal classificação ajuda você a decidir suas prioridades de investimento e evitar gastar demais em medidas relativamente pouco importantes ou ineficazes.

Infelizmente, a maioria das organizações não tem uma conexão clara entre a sua estratégia e seus ativos. Uma sólida arquitetura corporativa, relacionada com a motivação e direção estratégicas, bem como com a implementação dentro da organização, fornece o “tecido conjuntivo” que você precisa. O Bizzdesign Enterprise Studio fornece o suporte integrado para descrever a estratégia, a arquitetura, os processos, os sistemas e os dados que você precisa para criar esta linha de visão.

Analise suas vulnerabilidades e riscos

Ataques cibernéticos estão se tornando cada vez mais sofisticados, usando uma combinação de técnicas digitais, físicas e de engenharia social. Um exemplo comum é o assim chamado “ataque da maçã na beira da estrada”. Um possível invasor “acidentalmente” deixa um pen-drive USB em um lugar público, tal como o estacionamento da empresa. Algum empregado pega o pen-drive, e grandes são as possibilidades de que ele não resistirá à curiosidade e irá conectá-lo ao seu PC. Surpresa: o pen-drive está infectado com algum malware que infecta o PC e envia informações sensíveis para o invasor.

Com o Enterprise Studio, você pode capturar e visualizar vários aspectos de risco e segurança da sua organização. Isto ajuda você a visualizar os perigos, riscos e medidas mitigatórias em relação à sua arquitetura, estratégia de negócio e ativos, como um todo, de forma que você possa realizar uma avaliação de conformidade e riscos verdadeiramente baseada na estratégia e no valor de negócio. Você pode medir e visualizar o impacto potencial destes riscos e usar estas percepções para priorizar os investimentos em medidas de mitigação como parte do seu próximo passo. Nós escrevemos anteriormente sobre análises de conformidade e segurança, caso você esteja procurando por orientações adicionais nesta área.

Adote uma abordagem de segurança por desenho

As vulnerabilidades não deveriam ser tratadas após o fato, especialmente não apenas aplicando alguma medida de segurança imediata não planejada, como colocar um novo firewall. Ao invés de definir uma arquitetura de segurança separada, você deveria desenvolver uma arquitetura segura e endereçar os riscos proativamente na arquitetura e no desenho através de todos os níveis da sua organização, desde as pessoas e responsabilidades até os processos e tecnologia.

Você também precisa levar em consideração a posição da sua organização em um ecossistema mais amplo. Manter a sua casa em ordem pode não ser suficiente. Por exemplo, se você confia extensivamente em algum parceiro externo, a segurança deles pode ser crucial para as operações do seu próprio negócio. Algumas organizações tentam confiar em contratos e acordos para lidar com isso, mas isto pode ser insuficiente. Legalmente, você pode ser tornado responsável por um vazamento que aconteça, digamos, em um parceiro externo. Regulações como a LGPD explicitamente declaram que a sua organização continua responsabilizável pelo processamento de informações sensíveis e sigilosas, mesmo se você contratar alguém para fazê-lo para você. Em alguns casos, você pode, inclusive, precisar auditar seus parceiros para garantir a conformidade.

Em uma abordagem de segurança por desenho, você prioriza os investimentos em segurança com base no valor dos seus ativos e nas vulnerabilidades que você tiver identificado nas etapas anteriores. Você calcula o valor de negócio e o impacto dos projetos de segurança e usa isso para fazer a priorização das medidas de TI. Você pode usar nossa funcionalidade de gerenciamento de portfólios para decidir onde gastar seu orçamento mais efetivamente.

Assuma que você está comprometido

Nenhuma quantidade de medidas de segurança irá torná-lo 100% seguro, de forma que é melhor você estar preparado para agir quando as coisas saírem dos trilhos. Muitas organizações se desesperam para saber o que fazer quando eles são atacadas, porque eles não sabem que partes da organização ou dos sistemas podem ter sido afetados.

Criar planos de contingência baseados em percepções claras em relação à estrutura e às operações da sua organização é essencial. Modelos atualizados da sua arquitetura, processos, sistemas e dados pode ser uma enorme ajuda para a avaliação de quanto um problema pode se espalhar, e em que pontos você deveria agir rapidamente para limitar o impacto de uma falha de segurança.

Mas lembre-se de um dito de Eisenhower:”Planos não são nada; planejamento é tudo”. Nada vai sempre completamente de acordo com os planos, mas o desenvolvimento em si de tais planos tornará claro o que você precisa saber, o que é desconhecido, e onde você deve atualizar seu conhecimento sobre o funcionamento e estrutura da sua organização. Conectar o Enterprise Studio com ferramentas como CMDBs (Sistemas de Gerenciamento de Infraestrutura), que gerenciam e monitoram a realidade operacional, ajuda a garantir que você está usando os melhores e mais atualizados dados disponíveis.

Finalmente, toda esta informação precisa estar rapidamente acessível para a “linha de frente” da sua organização. O portal Bizzdesign Horizzon oferece uma ótima solução para isso, fornecendo visões e painéis de controle fáceis de usar para os vários tipos de usuários, desde os executivos tomadores de decisões até os gerentes operacionais e pessoas no chão-de-fábrica.

Para saber mais sobre como o Bizzdesign Enterprise Studio pode ajudá-lo a tornar realidade a segurança por desenho, entre em contato com a Centus Consultoria ou solicite uma demonstração.

* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.