Essa é uma pergunta bastante frequente e que assombra os pensamentos de muitos executivos. Até mesmo para aqueles que sabem que já tem iniciativas que endereçam questões de segurança em seus ambientes, ficam com dúvidas quanto a elas.
Afinal de contas, são tantas tecnologias, processos e controles de segurança disponíveis para serem implementados, e tecnologias novas não param de surgir no mercado, muitas vezes dificultando ainda mais as decisões para aqueles que precisam dar os primeiros passos ou até mesmo revisar o que já está sendo feito.
Acredito muito numa abordagem que foge um pouco de colocar a tecnologia de proteção como foco. Normalmente, comprar uma determinada tecnologia, sem saber muito bem o que você pretende proteger, controlar ou monitorar com ela, acaba se mostrando um investimento com baixo retorno para sua empresa.
Entendo que uma estratégia que direciona ações para os principais problemas de segurança, aqueles que segundo as principais pesquisas e relatórios de análise de incidentes, são os pontos explorados durante esses ataques.
Também é muito importante analisar o seu contexto de negócio, o tipo de dependência tecnológica que sua empresa tem, quais tipos de informações ela manipula, qual seu nível de dependência de parceiros de negócio para processos críticos.
Ter uma boa visão destes pontos ajuda a direcionar as ações certas, o que endurece a proteção do seu negócio de forma mais assertiva. Por exemplo, se sua empresa trabalha com muitas informações de clientes, as chamadas informações sensíveis, você deve direcionar ações mais robustas para proteção contra o acesso indevido e vazamento destes dados.
Ou então se sua empresa é uma indústria que possui uma planta de produção baseada em equipamentos tecnológicos, que caso fiquem indisponíveis trarão prejuízos diretos ao seu negócio, deve se preocupar com a disponibilidade deste ambiente.
Agora, independente dos fatores citados acima, existe um conceito que acredito ser aplicável a todos os tipos de negócio, e até mesmo à nossa vida pessoal. Falo do que chamamos no mercado de segurança de “Higiene Cibernética”.
Não estamos falando de algum tipo de framework ou metodologia de trabalho para tornar o ambiente da empresa mais seguro, mas sim de um conceito que busca trazer um caminho mais simples e viável para todos.
Focando nos principais controles que deveriam ser implementados por todas as empresas, cito aqui abaixo alguns deles que são quase uma unanimidade quando conversado com especialistas de segurança:
Correção de vulnerabilidades conhecidas
No jargão tecnológico, “patch management”, ou seja, aplicação das correções para vulnerabilidades conhecidas que os fabricantes de tecnologia disponibilizam para seus clientes sempre que uma nova vulnerabilidade que impacta seus sistemas é descoberta.
Se você olhar para seu ambiente tecnológico por completo, provavelmente terá que aplicar correções todos os dias em algum equipamento ou sistema, o que é impraticável. Mas pelo menos periodicamente, a aplicação destas correções deve ser feita, principalmente nos equipamentos que estão expostos diretamente à internet com a maior brevidade viável. Sem falar que, em alguns casos, você nem poderá aplicar determinada correção por conta de incompatibilidades que podem surgir, mas isso é assunto para um outro momento.
Cópias de segurança
Os tão conhecidos Backups. Eles são sua última linha de defesa e resposta para um ataque cibernético que venha a criptografar ou apagar seus dados. Ter uma cópia segura e imutável pode garantir que você consiga recuperar seu ambiente e seus dados.
Mas é bastante importante que você tenha um processo para testar periodicamente se essas cópias realmente estão funcionando como deveriam e que você é capaz de utilizá-las para recuperar seu conteúdo quando necessário.
Controle das permissões de acesso de seus usuários
Temos um conceito em segurança bastante antigo que endereça muito bem esse ponto, é o need-to-know. Isso quer dizer que os usuários devem ter acesso somente àquilo que precisam para exercer suas atividades.
Sabemos que a tentação de liberar acesso completo, o tal administrador, para todos é muito grande e facilita o dia-a-dia, mas essa ação traz um risco muito grande para seu ambiente. Outro ponto importante nesse tema é o bloqueio dos acessos de funcionários ou prestadores de serviço quando estes deixam a empresa. Ter alguém com acesso indevido ao seu ambiente é um risco elevado.
Uso de um segundo fator de autenticação
Os tais tokens, por exemplo. Os bancos já utilizam isso e nos fizeram acostumar com sua utilização sempre que precisamos acessar serviços bancários considerados críticos pela internet. Mas isso teve uma razão, as fraudes.
E, no caso das empresas, utilizar um segundo fator de autenticação para os acessos a seus recursos eleva bastante o nível de dificuldade de uma exploração por ataques do tipo engenharia social.
Afinal de contas, não é tão difícil descobrir as senhas utilizadas para acessos aos nossos sistemas, e caso não haja uma segunda camada de proteção que seja dinâmica e robusta, acessos indevidos acontecerão.
Segurança nos computadores dos funcionários
Principalmente depois que quase todos começaram a trabalhar remotamente, muitas vezes conectados à redes de internet sem o devido nível de segurança. Normalmente, eles são a porta de entrada para os ataques e a saída para os vazamentos de informação, portanto, ter uma solução de segurança robusta nos equipamentos utilizados pelos funcionários se tornou fundamental.
Monitoramento de segurança
Ter um monitoramento mínimo do que acontece em seu ambiente, buscando identificar tentativas de ataque ou comportamentos anormais, é muito importante para tentar se antecipar e não ser surpreendido por um incidente quando este já estiver “finalizado”.
Esse ponto parece bastante complexo, mas hoje em dia, as tecnologias e prestadores de serviço estão bastante preparados para atender a essa necessidade de todos os tipos de empresa.
Conscientização e treinamento
Conscientizar os colaboradores quanto às políticas e boas práticas de segurança aplicáveis à sua empresa é um ponto fundamental dentro de qualquer estratégia de segurança para que todos saibam o seu papel e como devem participar da segurança da empresa. Isso, seguindo o caminho de criação de uma cultura de segurança realmente enraizada em todos da empresa.
Claro que, para algumas empresas, esse tipo de orientação parece básica demais e elas devem ter preocupações mais robustas como uma boa segmentação/segregação de suas redes, tecnologias de proteção bem implementadas para seus servidores, execução periódica de testes de segurança, entre outras proteções mais sofisticadas. Mas mesmo para estas, são temas importantes de serem frequentemente visitados.
E um último ponto que recomendo é: esteja preparado para um incidente cibernético. Pense em como você poderia fazer para recuperar sua empresa caso ela seja atacada e paralisada por um Ransomware, ou como você responderia ao mercado, seus clientes e agências reguladoras no caso de um vazamento de informações. São cenários que muitos pensam que podem não acontecer, mas que todos nós temos que estar preparados.