Embora muitos acreditem que incidentes de segurança da informação sejam sempre causados por ataques sofisticados, a verdade é que a maioria deles são ocasionados por brechas simples que podem passar batido pela equipe de especialistas.
Mesmo com a criação de regulamentos de proteção de dados e normas de orientação que visam ajudar as empresas a otimizar seu plano de segurança da informação, o número de incidentes continua aumentando e gerando manchetes nos jornais ao redor do mundo inteiro. Para os mais leigos, a impressão que fica costuma ser só uma: a de que os atores maliciosos empregam ataques altamente sofisticados com o objetivo de invadir sistemas computacionais e roubar dados preciosos.
A verdade é que as coisas não são bem assim — a maioria dos incidentes ocorrem por erros simples e até bobos, que acabam passando despercebidos pela equipe de segurança da informação. Vários deles estão relacionados com o fator humano, o que torna todo o investimento em ferramental tecnológico inútil perante a um deslize pontual. Existem várias “pequenas brechas” que podem comprometer um plano inteiro de SI, mas, neste capítulo, vamos nos focar somente em quatro deles.
Falta de familiaridade com novas tecnologias
As ameaças cibernéticas evoluem o tempo todo, tal como novos conceitos de defesa e infraestruturas tecnológicas que permitem novos modelos de negócio. Logo, é normal que o stack tecnológico da empresa também sofra mudanças drásticas em curtos intervalos de tempo, com a adoção de novos softwares-como-serviço (SaaS) e soluções de segurança. Contudo, excesso nem sempre significa qualidade — especialmente quando este excesso se torna um fardo de novos conhecimentos para a equipe de SI.
Diversas pesquisas já constataram que um analista costuma utilizar até 40 ou mais ferramentas diferentes em seu cotidiano; um número que leva à tendência de consolidação de soluções a médio e longo prazo. Até lá, porém, a falta de familiaridade com determinadas tarefas, funcionalidades e infraestruturas técnicas pode levar a um olhar desatento para determinadas configurações do ecossistema computacional, por exemplo — o que fatalmente criará um gap que, por sua vez, se torna um risco cibernético.
Falta de gerenciamento de identidade e acesso
Se até poucos anos atrás uma combinação de login e senha era o suficiente para lhe identificar perante um sistema digital, hoje em dia, o crescente número de credenciais roubadas ou vazadas torna tal forma de identificação altamente ineficaz. Não é à toa que o mercado de soluções de gerenciamento de identidade e acesso (identity and access management ou IAM) cresceu tanto em tão pouco tempo — nossa identidade no mundo cibernético se tornou algo altamente valioso.
Em uma era na qual o trabalho remoto é algo comum e os colaboradores acessam recursos críticos remotamente através de uma grande variedade de dispositivos (sejam eles pessoais ou corporativos), ter a capacidade de gerenciar e validar identidades, seja através de análises comportamentais com a ajuda de inteligência artificial ou outros métodos, pode fazer a diferença entre manter seu ecossistema seguro ou permitir que um ator malicioso utilize credenciais furtadas para se passar por um funcionário.
Falta de conscientização do fator humano
De acordo com uma recente pesquisa realizada pela Universidade de Stanford, nos Estados Unidos, nada menos do que 88% dos vazamentos de dados são causados pelo fator humano. Esse fenômeno é compreensível — diferente de um software, que só faz aquilo ao qual ele foi programado, o ser humano pode ser manipulado através de táticas de persuasão que exploram as suas emoções. E, desta forma, colaboradores podem ser incentivados a adotar um comportamento inadequado.
De nada adianta investir em alarmes para a sua residência caso os habitantes não estejam educados a não desativá-los para a entrada de um estranho. Conscientizar e gerenciar o risco humano vai além de simples treinamentos pontuais sobre as ameaças cibernéticas — é necessário trabalhar de maneira contínua para que, a longo prazo, possamos observar a criação de uma cultura interna de proteção à informação. Isso é algo que cada indivíduo fará não apenas no ambiente de trabalho, mas levará para a vida toda.
Falta de atualizações e uso de sistemas legados
Esse é um gap que atinge principalmente empresas de infraestrutura crítica, que tiveram que rapidamente convergir antigas tecnologias operacionais (operational technology ou OT) com tecnologias da informação (TI), adicionando assim conexão a maquinários, sensores e outros dispositivos que não foram inicialmente projetados para tal. Para garantir que nada saia do controle, é crucial ter visibilidade sobre todos esses ativos e monitorá-los constantemente, já que dificilmente podem ser substituídos por algo mais moderno.
Já no caso de ativos que possuem atualizações de segurança disponível, ter um plano de gerenciamento de patches é importante para que vulnerabilidades conhecidas e/ou de dia zero sejam exploradas pelos criminosos cibernéticos.
Muitas vezes ignorado, o fator humano é de suma importância para blindar suas defesas cibernéticas; treinamentos e simulações podem fornecer insumos para a detecção de pontos fracos, possibilitando uma melhor análise de brechas.
Na era altamente digitalizada em que vivemos, as informações fluem rapidamente através das redes digitais e a segurança cibernética tornou-se um dos pilares fundamentais para a sustentabilidade das organizações. No entanto, mesmo com os avanços tecnológicos que proporcionam ferramentas de proteção e sistemas de detecção de intrusões, o fator humano permanece como um dos maiores desafios na defesa contra ameaças cibernéticas.
O gerenciamento do risco humano, que engloba a conscientização contínua dos colaboradores e simulações realistas de ataque para identificar eventuais comportamentos inadequados, emerge como um componente crucial na análise de vulnerabilidades, identificando lacunas na estratégia de segurança das organizações.
Conscientização contínua: fortalecendo a cultura de segurança
A conscientização em segurança da informação deve ser contínua, e não apenas limitada a ações pontuais. E, quando falamos “contínua”, não estamos descrevendo o ato de apenas ensinar aos colaboradores como reconhecer um e-mail de phishing ou criar senhas seguras; é um esforço contínuo para cultivar uma cultura de segurança cibernética dentro da organização.
Isso não apenas requer treinamentos regulares, mas também exige a criação de uma mentalidade que valorize a segurança tanto quanto a eficiência operacional — incluindo conscientizar os funcionários sobre as últimas tendências em cibersegurança, explicar as implicações de suas ações e inculcar boas práticas de proteção.
Quando os funcionários compreendem não apenas a natureza das ameaças, mas também a importância de sua contribuição individual para a segurança geral da organização, eles se tornam a primeira linha de defesa contra ataques cibernéticos.
Simulações de ataque: desafiando a resiliência organizacional
Enquanto a conscientização contínua prepara os funcionários para as ameaças digitais, as simulações de ataque levam essa preparação para o próximo nível. Uma simulação de ataque bem elaborada é mais do que apenas um teste técnico da infraestrutura: é uma avaliação abrangente da capacidade de uma organização de resistir, detectar e recuperar-se de um ataque cibernético simulado.
Durante essas simulações, os profissionais de segurança cibernética emulam as táticas dos atores maliciosos do mundo real, fornecendo à organização insights valiosos sobre suas vulnerabilidades e prontidão.
Essas simulações não são apenas uma verificação de segurança, mas uma oportunidade para aprender. Quando as organizações enfrentam cenários realistas, podem identificar lacunas em seus processos, treinamento e tecnologia. Posteriormente, essas lacunas podem ser endereçadas, reforçando a resiliência organizacional. As simulações não apenas testam a infraestrutura, mas também a eficácia das políticas, a capacidade de resposta dos funcionários e a integração das equipes de segurança.
Integrando abordagens para a análise de vulnerabilidades
A conscientização contínua e as simulações de ataque, quando integradas de forma eficaz, transformam-se em pilares de uma estratégia de segurança cibernética holística. A análise de vulnerabilidades, quando alimentada por insights dessas atividades, torna-se mais precisa e acionável. Identificar brechas não se limita apenas a sistemas e redes; abrange também comportamentos e práticas dos funcionários.
Integrar as informações provenientes da conscientização contínua e simulações de ataque na análise de vulnerabilidades proporciona uma compreensão mais completa das áreas que precisam de melhorias.
Esta abordagem integrada não apenas identifica as vulnerabilidades, mas também prioriza as ações corretivas. Ao entender como os funcionários e sistemas podem ser explorados, as organizações podem direcionar seus recursos para as áreas de maior risco. Além disso, essa integração permite uma adaptação contínua às ameaças. A segurança cibernética não é uma meta estática; é um processo contínuo de aprendizado e aprimoramento.
Investimento no futuro
As organizações não podem se dar ao luxo de negligenciar o fator humano na equação de segurança. Investir no gerenciamento do risco humano não é apenas uma medida preventiva, mas uma estratégia de investimento para o futuro.
Ao criar uma cultura de segurança cibernética, conscientizando continuamente os funcionários e desafiando a organização através de simulações de ataque, as organizações estão fortalecendo suas defesas e se preparando para os desafios que o futuro digital invariavelmente trará.
No cerne desta abordagem está o entendimento de que, em última análise, é o capital humano que forma a espinha dorsal da segurança cibernética empresarial, e ao investir nele, estamos investindo no futuro seguro de nossas organizações.
Com novos modelos de negócio focados no digital e crescimento na interconectividade, as portas de entrada para criminosos cibernéticos também aumentaram consideravelmente; ter visibilidade sobre seus ativos é fundamental para evitar incidentes.
Após o rápido período de transformação digital vivenciado nos últimos anos, passamos a viver em uma era de alta conectividade, na qual a tecnologia permeia todos os aspectos da nossa vida pessoal e profissional. A transformação digital trouxe inúmeros benefícios, tornando as operações mais eficientes, melhorando a experiência do cliente e impulsionando a inovação com modelos de negócio disruptivos.
No entanto, a transição acelerada também trouxe uma série de desafios, principalmente no que diz respeito à segurança da informação. Um dos aspectos cruciais para a proteção dos dados e ativos de uma organização é o mapeamento da sua superfície de ataques, tanto nos ambientes locais quanto remotos. A falta de visibilidade nessa área pode acarretar em riscos significativos à segurança da informação e causar sérios incidentes.
O que é a superfície de ataques?
No setor, chamamos genericamente de “superfície de ataques” todo o conjunto de pontos de entrada e vulnerabilidades que podem ser explorados por criminosos cibernéticos para acessar informações sensíveis ou prejudicar as operações da empresa, seja invadindo ambientes restritos, disseminando códigos maliciosos e até mesmo utilizando engenharia social para realizar fraudes.
Isso inclui não apenas os dispositivos e sistemas internos, mas também os externos, como sites, aplicativos, redes sociais e os servidores em cloud — cada vez mais comuns em infraestruturas modernas. Mapear essa superfície é essencial pois, sem uma compreensão eficaz de todos esses pontos de exposição, é impossível implementar medidas de segurança que realmente serão capazes de frear as ações maliciosas.
Infelizmente, a transformação digital ampliou bastante a superfície de ataques das organizações. Antes, as empresas tinham um ambiente de TI mais controlado e limitado, com servidores físicos e redes internas. Hoje, com a migração para a nuvem, a proliferação de dispositivos móveis e a crescente interconectividade, essa superfície se tornou vasta e complexa.
Se uma empresa não sabe onde estão todos os seus ativos e como eles estão configurados em termos de segurança, ela está vulnerável a uma série de ameaças.
Os riscos de “trabalhar no escuro”
Um dos principais riscos da falta de visibilidade é a exposição a vulnerabilidades não corrigidas. A cada dia, novas brechas de software são descobertas e os fornecedores disponibilizam patches de segurança para corrigi-las. Se uma empresa não sabe quais sistemas e aplicativos estão em uso e não acompanha as atualizações disponibilizadas, está deixando “buracos” que serão usados em ataques.
Indo além, trabalhar no escuro dificulta a detecção de atividades suspeitas. Os invasores muitas vezes se movem silenciosamente dentro da infraestrutura de uma organização, e, se a empresa não monitora todos os seus ativos de forma eficaz, é mais provável que essas atividades passem despercebidas. Isso pode resultar em violações de dados que só serão detectadas quando já é tarde demais.
Isso dialoga com as preocupações com a conformidade regulatória. Além da Lei Geral de Proteção de Dados (LGPD), muitos setores têm normas específicas rígidas que exigem a proteção de informações sensíveis, como informações financeiras e clínicas. Sem um mapeamento adequado da superfície de ataques, as empresas podem estar em desacordo com essas regulamentações, sujeitas a multas, sanções e danos à sua reputação.
Primeiros passos
Tantos riscos nos levam à pergunta: como uma organização pode começar a mapear sua superfície de ataques de maneira eficaz? Primeiramente, é essencial realizar uma avaliação abrangente de todos os ativos e sistemas em uso. Isso inclui servidores, dispositivos de rede, aplicativos, bancos de dados e qualquer outro elemento que possa ser uma porta de entrada para invasores.
Em seguida, é importante classificar esses ativos de acordo com sua importância e o nível de sensibilidade das informações que eles contêm ou processam. Isso permite que a organização priorize suas ações de segurança, concentrando-se nos ativos mais críticos. Neste ponto, as evoluções em automação desempenham um papel fundamental no mapeamento e na gestão da superfície de ataques, mantendo um inventário preciso.
Além disso, é fundamental implementar um monitoramento contínuo e análises frequentes de segurança, permitindo a rápida detecção de atividades suspeitas e respostas imediatas a incidentes.
Em suma, mapear a superfície de ataques é uma parte essencial da estratégia de segurança de qualquer organização no pós-transformação digital. A falta de visibilidade nessa área pode levar a vulnerabilidades não-corrigidas, detecção tardia de ameaças e não conformidade regulatória.
Portanto, é fundamental que as empresas dediquem tempo e recursos para entender e proteger completamente seu ambiente digital. Somente assim poderão aproveitar ao máximo os benefícios da transformação digital sem comprometer a segurança de seus dados e ativos.