Os dias em que a segurança cibernética era apenas uma questão técnica ou de nicho a ser tratada por algum pequeno departamento no porão estão muito atrás de nós. Os conselhos agora têm CISOs e CIOs, e ainda há a necessidade de todos os diretores entenderem o impacto do risco de segurança cibernética ao tomar decisões estratégicas de negócios, bem como entender o que perguntar quando uma violação ocorre.
Não entender a natureza da segurança cibernética no ambiente de negócios atual pode ter consequências terríveis. A preparação e o planejamento adequados da diretoria são fundamentais tanto para proteger o negócio, quanto para isolar diretores de responsabilidade. Assim, os gestores devem garantir que o negócio esteja pronto para enfrentar riscos cibernéticos e as possíveis ramificações legais desses riscos, alinhando o perfil de risco cibernético da organização com suas necessidades de negócios.
É claro que não faltam informações por aí sobre segurança cibernética e risco cibernético, mas grande parte dela é baseada em jargões de vendas e marketing peculiares a um fornecedor ou outro, e o que não é muitas vezes direcionado a um público técnico com um nível de detalhes que raramente é relevante para os tomadores de decisão de alto nível. Neste post, cortamos a desordem e cobrimos os fundamentos da gestão de riscos cibernéticos para os diretores, dissipando seis mitos comuns de cibersegurança.
Mito 1: Segurança Cibernética só é necessária para algumas empresas
Muitos acreditam que apenas certos tipos de empresas exigem segurança cibernética e que, se não estão nessa lista, a segurança cibernética não é para elas. Normalmente, essa lista inclui:
empresas de tecnologia
empresas que armazenam dados confidenciais de clientes (PII)
Saúde, infraestrutura e outras organizações legalmente exigidas por lei
Empresas de um determinado tamanho ou valor
A segurança cibernética é fundamental para todas as organizações, independentemente de sua indústria. A onda contínua de ataques de ransomware mostrou que os atacantes são oportunistas e terão como alvo qualquer organização que tenha dados ou sistemas valiosos que possam explorar.
Mesmo as empresas que não armazenam dados confidenciais (PII) podem ser hackeadas ou infectadas com ransomware se seus sistemas não estiverem devidamente protegidos, e o PII não é a única coisa que pode ser roubada ou comprometida em um ataque cibernético. As organizações também podem perder dinheiro, sofrer danos à sua reputação e experimentar outras consequências negativas como resultado de uma violação cibernética.
Da mesma forma, o tamanho não é um fator significativo na avaliação de risco. Qualquer organização, independentemente do tamanho, pode ser um alvo para ataques cibernéticos. As pequenas empresas são frequentemente vistas como alvos mais fáceis porque podem não ter os mesmos recursos para se dedicar à segurança cibernética como organizações maiores. O nível de risco aumenta se a empresa não tomar as precauções necessárias para se proteger.
Todas as empresas, independentemente do tamanho, indústria ou valor, devem ter um plano abrangente de segurança cibernética para se proteger de potenciais ataques.
Mito 2: Software de segurança é tudo o que você precisa para se manter seguro
Há tantas ferramentas no arsenal de defesa da segurança cibernética. Ferramentas como SIEM, SOAR, Firewalls, Antivirus e muitas outras provaram nos últimos anos que não são suficientes para manter as empresas fora dos ciclos de notícias negativas.
O ambiente de trabalho moderno permite aos funcionários mais liberdade do que nunca, com a capacidade de instalar software e ter acesso aos ativos da empresa a partir do ponto final, onde quer que eles possam estar fisicamente localizados.
O esforço de se manter seguro contra o risco cibernético pode começar com a obtenção da ferramenta certa para ver tudo, mas não termina aí. À medida que o cenário de cibersegurança continua a evoluir, as capacidades de defesa também precisam acompanhar o ritmo.
A ideia de proteção total contra ameaças cibernéticas não é real. No entanto, as organizações são melhor atendidas quando seus conselhos promovem uma cultura de conscientização cibernética e integram investimentos em resiliência cibernética com a visão estratégica geral da organização.
Mito 3: Vulnerabilidades de software não são um problema para a gestão de segurança cibernética. Cada software que uma organização usa também pode introduzir vulnerabilidades que facilitam a penetração da rede corporativa.
Alguns exemplos recentes de alto perfil incluem cve-2022-30190 (também conhecido como vulnerabilidade follina), que permite que os atacantes comprometam uma máquina windows simplesmente enviando um documento malicioso do Word, e CVE-2021-44228 (também conhecido como Log4Shell), uma vulnerabilidade em uma biblioteca Log4j apache que a maioria das empresas nem percebeu que estava em sua pilha de software.
Infelizmente, a maior e mais provável fonte de vulnerabilidades em sua pilha de software é provavelmente o próprio sistema operacional. Aqui estão algumas estatísticas preocupantes:
Em 2020, a Microsoft confirmou 1.220 novas vulnerabilidades impactando seus produtos, um aumento de 60% em relação ao ano anterior.
807 das 1.220 vulnerabilidades foram associadas ao Windows 10, com 107 delas relacionadas à execução de códigos, 105 a transbordamentos, 99 para obter informações e 74 para obter privilégios.
Em 2021, 836 novas vulnerabilidades foram confirmadas, das quais 455 impactam o Windows 10 e 107 permitem a execução de códigos maliciosos.
Embora o gerenciamento de patches seja certamente responsabilidade de sua equipe de TI, os conselhos precisam entender que nenhuma quantidade de patches vai negar o risco de segurança apresentado pelo próprio sistema operacional.
Isso significa que suas organizações devem procurar parcerias com empresas de segurança que possam fornecer uma abordagem holística à segurança. Evite depender do fornecedor só para corrigir tudo, ou para fornecer complementos de segurança para tapar as lacunas.
Desenvolva uma estratégia que visa reduzir o risco diminuindo as dependências e, ao mesmo tempo, integrar facilmente sua solução de segurança com o resto da pilha de software.
Mito 4: Você não precisa se preocupar com ataques da cadeia de suprimentos
Mesmo que uma organização consiga manter seu próprio software seguro, qualquer outro provedor de serviços pode, sem saber, facilitar uma maneira de entrar na rede. Nos últimos tempos, vimos o ataque da cadeia de suprimentos SolarWinds, onde os atacantes foram capazes de comprometer as organizações através da atualização de software do SolarWinds, e o incidente de Kaseya, no qual os atacantes tinham como alvo servidores Kaseya VSA — comumente usados por MSPs e empresas de gerenciamento de TI — para infectar clientes a jusante com ransomware.
Esses ataques são altamente lucrativos para autores de ameaças porque comprometer um elo fraco permite o acesso a um portfólio completo de clientes que usam esse software.
Garantir que você tenha proteção máxima contra ataques da cadeia de suprimentos digitais é uma decisão estratégica que precisa ser tomada no nível do conselho.
Certifique-se de que a estratégia do seu conselho inclui coisas como implantar a solução de segurança certa, desenvolver um plano de Resposta a Incidentes (IR), garantir que as políticas de integridade de aplicativos só permitam a execução de aplicativos autorizados e a condução de uma cultura centrada na segurança cibernética.
Mito 5: Você não pode fazer nada sobre ameaças à segurança cibernética
Embora seja verdade que algumas ameaças estão fora de seu controle, há muitas coisas que você pode fazer para proteger sua organização contra ataques cibernéticos. Implementar medidas fortes de segurança cibernética pode ajudar a reduzir o risco de ser alvo de criminosos cibernéticos.
Também é importante lembrar que, embora seja verdade que você não pode proteger sua organização contra todos os ataques possíveis, existem medidas que as organizações podem tomar para se tornarem o mais seguras possível contra os ataques mais prováveis.
Na grande maioria dos casos, os autores de ameaça são motivados financeiramente, e eles estão procurando vitórias fáceis. Como o animal mais fraco do rebanho, as empresas que não podem se proteger logo serão pegas por predadores cibernéticos.
Implementar um plano abrangente de segurança cibernética, incluindo várias camadas de segurança, ajudará a proteger sua organização da maioria dos ataques.
Mito 6: É impossível treinar funcionários para serem cibernéticos seguros
Embora os funcionários sejam uma parte fundamental da estratégia de segurança cibernética de qualquer organização, não se pode esperar que sejam especialistas em segurança cibernética. As organizações precisam fornecer aos funcionários treinamento e recursos adequados. Isso inclui a conscientização regular dos tipos de ameaças que a empresa enfrenta, passos simples em como identificar coisas como e-mails de phishing ou solicitações incomuns e passos claros para relatar atividades suspeitas. A engenharia social, mais conhecida como a arte sutil de convencer as pessoas a clicar em e-mails de phishing de lança, continua sendo uma das maneiras mais comuns de os cibercriminosos operarem hoje.
Pense nos funcionários como uma ajuda às suas defesas cibernéticas, e garanta que eles não só tenham os meios para relatar qualquer coisa suspeita, mas que eles se sintam seguros e confiantes em fazê-lo.
Conclusão
A segurança cibernética é sobre gerenciar o risco da forma mais eficaz possível. Não há organização no mundo imune a ameaças cibernéticas, mas no cenário de ameaças de hoje, é vital que a segurança cibernética seja entendida como um fator estratégico que deve ser planejado desde o topo da organização. O risco para o negócio é muito grande para começar em qualquer outro lugar.
Se você quiser saber mais sobre como a SentinelOne pode ajudar a gerenciar o risco de segurança cibernética em sua organização, nós podemos realizar uma apresentação e até mesmo uma demonstração da solução. Para isto basta realizar contato através do e-mail contato@asg.com.br, via telefone (51) 3533-8417, Whatsapp: (51) 99340-7861, ou então em nosso site.
Acompanhe a nossa página no Instagram e fique por dentro das novidades.