Por trás da segurança

1

Nem sempre combater o cibercrime e manter a segurança da sua empresa é uma operação glamourosa e com apoio da CIA, como no filme que vai ser lançado "Blackhat". Muito pelo contrário, o dia a dia das empresas muitas vezes conta com equipes reduzidas responsáveis pela infraestrutura e suporte e nem sempre há um especialista em segurança da informação para se dedicar ao assunto.

Na prática, e realmente a cada segundo, as empresas ainda são pegas de surpresa no turbilhão do excesso de logs dos diversos ativos de TI. Isso acontece, pois ainda não é prática corriqueira no Brasil investir no monitoramento do ambiente tecnológico nem "escutar" os logs. O entendimento da anatomia do ataque também é uma deficiência, mesmo para os que já monitoram o ambiente. Os ataques são executados por profissionais que entendem de segurança e faz-se necessário o mesmo nível de conhecimento para se detectar e responder às ameaças. Vimos o efeito desta deficiência na denúncia do caso Snowden, onde a NSA entrou e saiu de ambientes críticos do governo brasileiro sem ser percebida.

De acordo com registros do Gartner, em 2014, US$ 71,1 bilhões foram gastos mundialmente com a segurança dos dados. Muitas empresas são altamente equipadas com tecnologia de ponta, investindo grandes montantes em hardwares e softwares, acreditando que isso seja suficiente, quando, na verdade, deram apenas um dos passos necessários à mitigação do risco. A segurança se faz em camadas e as tecnologias de segurança são realmente imprescindíveis como primeira linha de defesa. Porém, além do pilar tecnológico, existe a necessidade de se combinar processos e pessoas para que a segurança atinja o nível necessário às grandes empresas.

Recentemente vimos a Sony ser, mais uma vez, severamente atacada. Desde 2005 a empresa é alvo desse tipo de invasão e mesmo assim parece manter as mesmas práticas de segurança da informação, com baixa eficácia, como foi comprovado. Usuários e senhas, folhas de pagamento, filmes não lançados, e-mails de diretores falando mal de atores, um processo dos funcionários contra a própria empresa que corria em sigilo, o codinome utilizado pelos atores para viagens, entre inúmeras outras informações, vieram a público. A resposta da Sony Pictures não foi investimentos internos para evitar futuros ataques, mas sim ataques DDoS aos sites asiáticos que disponibilizavam o material perdido. Alguns danos podem ser irreparáveis, a perda financeira da empresa é milionária e a perda de valor da marca difícil de calcular.

O primeiro passo para se resolver um problema é reconhecer que ele existe. Em segurança, assim como em outras áreas, o que não é monitorado, não é controlado, e não pode ser efetivamente modificado e aprimorado. Este conceito é mais fácil de ser entendido quando comparamos com a segurança patrimonial. Se um banco, por exemplo, tem várias vulnerabilidades físicas que o deixam suscetíveis a um assalto, ele não pode prescindir de um sistema de monitoramento com câmeras, alarmes, procedimentos e, pessoas que, na presença de uma ameaça, acionem a polícia.

Se a escolha é fazer o monitoramento in house, sem contratar um prestador de serviço, é preciso tratar a construção de um SOC – Security Operation Center – de maneira sistêmica, considerando tecnologias como o SIEM (do inglês Security Information and Event Management), além de um sistema de gerenciamento de alertas, incidentes e chamados. A montagem de um processo de tratamento de todo o ciclo de monitoramento é básico, mas não trivial, e o mais importante é contar com equipes multidisciplinares que entendam a anatomia do ataque, a criação de regras de correlação de eventos, a triagem dos alertas, separando os falsos positivos das ameaças reais, o tratamento dos incidentes, a retroalimentação em regras proativas de mitigação de risco, além é claro, do atendimento ao usuário que, alheio a tudo isto, precisa trabalhar com o mínimo de transparência. Esqueci algo? Sim! Tudo isto precisa ser 24X7, já que criminoso não trabalha no horário do expediente.

Além das questões técnicas, ainda existe a falta de conscientização e conhecimento das áreas de negócio. Apesar do Gartner apontar o risco de segurança como uma das tendências estratégicas de TI mais importantes para 2015, o olhar pragmático das áreas de negócios, que gradualmente passam a ter um controle maior sobre os orçamentos de tecnologia, ainda considera a proteção das informações como um atributo da tecnologia adquirida e se sensibilizam somente quando um risco se transforma efetivamente em fraude.

O alerta vem sendo dado às corporações que ainda resistem a tratar estrategicamente a segurança da informação. A tecnologia está no centro do palco, não é mais uma área meio, como nos anos 80 e 90. Relegar o orçamento de segurança ao segundo plano é tomar um risco desnecessário para a operação da empresa. Os bons profissionais da área pregam que há um nível de segurança em que "o molho fica mais caro que o bife". Mas sejamos conscientes: com o que praticamos no Brasil, nosso bife ainda precisa de muito molho para passar do ponto.

Marcos Bentes, diretor de Desenvolvimento de Negócios da Arcon.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.