As empresas brasileiras vêm sofrendo sucessivas tentativas de ataques cibernéticos, muitas delas estampando algumas das principais manchetes do noticiário. Atualmente, segundo levantamento da consultoria alemã Roland Berger, o Brasil é o quinto país que mais sofre ataques e deve registrar cerca 9 milhões de ocorrências neste ano. Diante do aumento do risco, o levantamento "Cybersecurity e Governança em Ambientes Híbridos" publicado pelo IDC em parceria com a TIVIT no primeiro semestre deste ano aponta que 59,7% das empresas da América Latina consideram a cibersegurança uma prioridade estratégica de negócios.
Em meio à possibilidades de arcar com enormes prejuízos causados por conta de ataques como os de negação de serviço (DDoS), que sobrecarregam a operação até interrompê-la, de ransomwares, malwares que encriptam arquivos e documentos sensíveis em troca de resgate, ou pelo simples roubo e vazamento de dados, os investimentos são realizados em diferentes níveis e soluções. Entre as alternativas mais demandadas estão o Centro de Operações de Segurança (SOC, na sigla em inglês), e de Gestão de Eventos e de Informações de Segurança (SIEM).
A prevenção é, sem dúvida, a melhor alternativa para combater os criminosos virtuais. No entanto, não basta contratar as soluções mais modernas do mercado. É preciso entender de fato quais são as vulnerabilidades do sistema e suas necessidades, para adequar a infraestrutura de segurança a um ambiente com a maior segurança possível. A avaliação de segurança, ou security assessment, surge como um primeiro passo essencial nessa tarefa.
O assessment é uma prática consolidada no mercado de tecnologia da informação, especialmente em projetos de transformação digital, para viabilizar a arquitetura necessária para o desenvolvimento do produto desejado. No âmbito da cibersegurança, chegou mais recentemente para desenhar uma arquitetura de segurança robusta, uniforme e evitando "puxadinhos" que dificultam a integração de soluções implementadas aos poucos e podem gerar gargalos nas camadas de proteção.
Com o objetivo principal bater uma fotografia do ambiente do cliente no início do trabalho e retornar com as recomendações que vão levar ao ponto de chegada, a avaliação também ajuda a direcionar o que deve ser priorizado para o alcance dos objetivos, muitas vezes normas de segurança a para obtenção de certificações como ISO 27001, PCI-DSS (para empresas de pagamento) e adequação à Lei Geral de Proteção de Dados (LGPD).
Um ambiente seguro exige mais do que tecnologia de ponta e frameworks de segurança, como NIST e o CIS, precisa também trabalhar processos e pessoas. Afinal, não adianta estabelecer normas que não são executadas como está escrito, ou ainda uma boa política de segurança que não é aplicada na prática ou que não chega ao conhecimento de todos os colaboradores. Tampouco adotar ferramentas sem que os times estejam capacitados para utilizá-las.
Uma das portas de entradas do ransomware e outros malwares são simples ações realizadas por funcionários sem o real entendimento do perigo, como o clique em links suspeitos ou conexão de dispositivos USB infectados. O trabalho remoto, hoje uma realidade, também abre brechas para a intercepção de dados e informações dos usuários.
O assessment é realizado para identificar, em uma visão de 360 graus, se os processos estão de fato sendo executados. Dependendo do escopo, também ajuda a criar políticas de segurança e até mesmo programas de conscientização e capacitação dos colaboradores. O objetivo principal é olhar não só para as tecnologias, mas também para a organização, especialmente em um cenário onde os recursos são finitos.
Quando se trata de segurança, o tempo é um bem valioso. O quick assessment, projeto que dura cerca de duas semanas, contra os dois meses em média de uma assessment padrão, surge como uma alternativa ágil e intensiva para atacar problemas pontuais relacionadas aos vetores de entrada e movimentação lateral, e, assim, conquistar ganhos rápidos, os chamados "quick wins".
O custo médio das empresas com remediação de ataques por ransomware mais do que dobraram no último ano, de 760 mil dólares para 1,8 milhão, segundo levantamento da SOPHOS. Portanto, mais do que nunca, a prevenção é o melhor remédio, e o security assessment é a receita para manter a casa organizada e bem protegida.
André Futuro, head de CyberSec da TIVIT.
