Fabrizio Alves
CEO da Vantix
Após dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), um assunto chama a atenção: se, por um lado, ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.
Trata-se de uma faca de dois gumes; afinal, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.
Além de prejudicar a sua imagem, que tem exposta ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrar informações críticas e/ou dados pessoais, automaticamente a empresa também pode ser considerada culpada, de acordo com a LGPD, abrindo, assim, caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior.
Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na dark web. Essa é a motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscar outros alvos fáceis, aplicando o mesmo golpe.
E o assunto cibersegurança é, em geral, bastante complexo, requer muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.
O que fazer, então? Separei alguns pontos:
1º) Rever o básico: muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares, como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching, estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adota processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.
2º) Limitar o acesso dos atacantes: três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções de gestão de acessos privilegiados, antiphishing e a própria modernização do acesso dos usuários remotos, substituindo a tradicional VPN por modelos conhecidos como ZTA, ZTNA ou SDP. Além de autenticação multifator (MFA), para compor um quadro que minimize o acesso dos atacantes, e numa segunda instância a sua capacidade de lateralizar os ataques, i.e, sair de um ponto A para um ponto B dentro das nossas redes.
3º) Executar um diagnóstico situacional: é claro que existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em quatro áreas-alvo pra se atingir ciber-resiliência: 1) proteção da informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) proteção contra ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios; 3) gestão de identidades e acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e por fim, as operações de segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO 27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo as prioridades através de um roadmap tecnológico para a adequação.
4º) Elevar a segurança para uma função estratégica: estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, próximo ou idealmente integrado aos níveis executivos, é chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento na organização. Assim, é fundamental levar informações claras, baseadas em scores de fácil interpretação do grau de segurança atual, bem como resumos executivos das prioridades e dos riscos existentes, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa. As decisões bem-informadas serão extremamente facilitadas com essa cadeia.
5º) Segurança ofensiva e gestão das vulnerabilidades: não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises; testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.