Riscos, vulnerabilidades e Zero Trust: termos-chave para alinhamento entre CISO e conselho

Análise explicativa dos principais termos de cibersegurança que os colegas geralmente interpretam de maneira diferente ou incorreta.

Para implementar programas eficazes de cibersegurança e manter a equipe de segurança profundamente integrada a todos os processos de negócios, o CISO precisa demonstrar regularmente o valor desse trabalho para a alta administração. Isso requer fluência na linguagem dos negócios, porém, uma armadilha perigosa espreita os mais desavisados.  Profissionais de segurança e executivos geralmente usam as mesmas palavras, mas para coisas totalmente diferentes. Às vezes, vários termos semelhantes são usados de forma intercambiável. Assim, talvez não fique muito claro para a alta administração quais são as ameaças que a equipe de segurança está tentando mitigar, qual é o nível real de ciber-resiliência da empresa ou onde o orçamento e os recursos estão sendo alocados. Portanto, antes de apresentar painéis elegantes ou calcular o ROI dos programas de segurança, vale a pena esclarecer essas importantes nuances terminológicas.

Ao esclarecer esses termos e construir um vocabulário compartilhado, o CISO e o conselho de administração podem melhorar significativamente a comunicação e, em última análise, fortalecer a postura de segurança geral da organização.

Por que o vocabulário de cibersegurança é importante para a gestão

As interpretações variadas dos termos representam mais do que uma simples inconveniência, e as consequências podem ser bastante significativas. A falta de clareza em relação aos detalhes pode levar a:

  • Investimentos mal alocados. A administração pode aprovar a compra de uma solução de confiança zero sem perceber que, na prática, isso é apenas parte de um programa mais abrangente, de longo prazo e com um orçamento significativamente maior. O dinheiro é gasto, mas os resultados esperados pela equipe gestora nunca são alcançados. Da mesma forma, em relação à migração para a nuvem, a equipe gestora pode supor, num primeiro momento, que essa solução transfere automaticamente toda a responsabilidade de segurança ao provedor e, então, num segundo momento, o orçamento de segurança da nuvem é rejeitado.
  • Aceitação cega do risco. As lideranças das unidades de negócios podem aceitar os riscos de cibersegurança sem ter uma compreensão completa do impacto potencial.
  • Falta de governança. Sem entender a terminologia, a administração não pode fazer as perguntas certas, ou mesmo as mais difíceis, ou ainda, atribuir as áreas de responsabilidade de forma eficaz. Quando ocorre um incidente, muitas vezes os proprietários de negócios acreditam que a segurança estava inteiramente sob responsabilidade do CISO, enquanto o CISO, na verdade, não tinha autoridade para influenciar os processos de negócios.

Ciber-risco x risco de TI

Muitos executivos acreditam que a cibersegurança é uma questão puramente técnica que pode ser repassada à equipe de TI. Embora a importância da cibersegurança para os negócios seja indiscutível e os incidentes cibernéticos tenham sido classificados como um dos principais riscos para os negócios, pesquisas mostram que muitas organizações ainda não conseguem envolver as lideranças sem perfil técnico nas discussões sobre cibersegurança.

Os riscos de segurança da informação geralmente são tratados de maneira conjunta com as preocupações de TI, como tempo de atividade e disponibilidade do serviço.  Na realidade, o ciber-risco é um risco estratégico de negócios, ligado à continuidade, às perdas financeiras e aos danos à reputação.

Por outro lado, os riscos de TI geralmente são de natureza operacional, afetando a eficiência, a confiabilidade e o gerenciamento de custos. Em linhas gerais, a resposta a incidentes de TI é tratada inteiramente pela equipe de TI. Os principais incidentes de cibersegurança, no entanto, têm um escopo muito mais amplo: exigem o envolvimento de quase todos os departamentos e têm um impacto de longo prazo na organização sob vários aspectos, inclusive no que diz respeito à reputação, conformidade regulatória, relacionamento com o cliente e saúde financeira geral.

Conformidade x segurança

A cibersegurança está integrada aos requisitos regulatórios em todos os níveis, isto é, desde as diretivas internacionais, como NIS2 e GDPR, até as diretrizes do setor para transferência de dados além das fronteiras, como PCI DSS, além de imposições departamentais específicas. Assim, a equipe gestora da empresa geralmente percebe as medidas de cibersegurança como caixas de seleção de conformidade, acreditando que, uma vez que os requisitos regulatórios sejam atendidos, os problemas de cibersegurança poderão ser considerados resolvidos. Essa mentalidade pode ser fruto de um esforço consciente para minimizar os gastos com segurança (a administração acredita que não precisa fazer mais do que o necessário) ou advir de um mal-entendido sincero (a empresa está passando por uma auditoria ISO 27001, por isso não acredita que haja possibilidade de ser hackeada).

Na realidade, a conformidade está atendendo aos requisitos mínimos de auditores e reguladores governamentais em um momento específico. Infelizmente, o histórico de ciberataques em larga escala em grandes organizações prova que os requisitos “mínimos” são chamados assim por um motivo. Para uma proteção real contra ciberameaças modernas, as empresas devem melhorar continuamente suas estratégias e medidas de segurança de acordo com as necessidades específicas de um determinado setor.

Ameaça, vulnerabilidade e risco

Esses três termos são frequentemente usados como sinônimos, o que leva a conclusões errôneas feitas pela equipe gestora. Eis o raciocínio: “Há uma vulnerabilidade crítica no nosso servidor? Isso significa que se trata de um risco crítico!” Para evitar o pânico ou, inversamente, a inércia, é essencial usar esses termos com precisão e entender como eles se relacionam entre si.

Uma vulnerabilidade é uma fraqueza, ou seja, uma “porta aberta”. Isso significa que pode haver uma falha no código do software, um servidor configurado incorretamente, uma sala de servidores desbloqueada ou um funcionário que abre todos os anexos de e-mail.

Uma ameaça é algo que pode causar um incidente. A causa pode ser um agente malicioso, um malware ou até mesmo um desastre natural. Uma ameaça é o fator que pode “atravessar aquela porta aberta”.

O risco é a possível perda. É a avaliação cumulativa da probabilidade de um ataque bem-sucedido e o que a organização pode perder como resultado disso (o impacto).

As conexões entre esses elementos são melhor explicadas por meio de uma fórmula simples:

Risco = (ameaça × vulnerabilidade) × impacto

Isso pode ser ilustrado da seguinte forma. Imagine que uma vulnerabilidade crítica com uma classificação de gravidade máxima seja descoberta em um sistema desatualizado. No entanto, esse sistema está desconectado de todas as redes, fica em uma sala isolada e está sendo gerenciado por apenas três profissionais competentes. A probabilidade de um invasor alcançar o sistema é próxima de zero. Por outro lado, a falta de autenticação de dois fatores nos sistemas de contabilidade cria um risco real e elevado, resultante de uma alta probabilidade de ataque e de um possível dano significativo.

Resposta a incidentes, recuperação de desastres e continuidade dos negócios

A percepção da equipe gestora sobre as crises de segurança muitas vezes é simplista. Eis o raciocínio: “Se formos atingidos por um ransomware, bastará ativar o plano de recuperação de desastres de TI e fazer a restauração por meio do backup”. No entanto, combinar esses conceitos e também os processos é extremamente perigoso.

A resposta a incidentes (IR) é de responsabilidade da equipe de segurança ou de contratados especializados. O trabalho dessas equipes é localizar a ameaça, expulsar o invasor da rede e impedir que o ataque se espalhe.

A recuperação de desastres (DR) é uma tarefa de engenharia de TI. É o processo de restauração de servidores e dados de backups após a conclusão da resposta ao incidente.

A continuidade dos negócios (BC) é uma tarefa estratégica para a alta administração. Ela consiste em um plano, ou seja, a maneira como a empresa continuará atendendo clientes, enviando mercadorias, pagando compensações e mantendo o diálogo com a imprensa enquanto os sistemas principais ainda estiverem off-line.

Se a equipe gestora se concentrar apenas na recuperação, a empresa não terá um plano de ação para o período mais crítico de tempo de inatividade.

Conscientização sobre segurança x cultura de segurança

As lideranças em todos os níveis supõem algumas vezes que a simples realização de treinamentos de segurança garante resultados. Eis o raciocínio: “Os funcionários passaram no teste anual, então, agora, eles não clicarão em um link de phishing”. Infelizmente, contar apenas com treinamentos organizados pelas equipes de RH e de TI não será o suficiente. A eficácia requer a mudança de comportamento da equipe, o que é impossível sem o envolvimento da equipe gestora do negócio.

Conscientização é conhecimento. Um profissional sabe o que é phishing e entende a importância de senhas complexas.

A cultura de segurança tem a ver com padrões comportamentais. É aquilo que um funcionário faz em uma situação estressante ou quando ninguém está olhando. A cultura não é moldada por testes, mas por um ambiente onde o relato de erros é seguro, e a identificação e a prevenção de situações possivelmente perigosas são práticas comuns. Se um profissional teme a punição, ele ocultará um incidente. Em uma cultura saudável, um e-mail suspeito será encaminhado para o SOC, ou ainda, alguém que esquece de bloquear o computador receberá um toque do colega, o que acaba gerando um vínculo ativo na cadeia de defesa.

Detecção x prevenção

As lideranças empresariais muitas vezes pensam de forma ultrapassada, como uma “muralha da fortaleza”: “Compramos sistemas de proteção caros, portanto, não deve haver nenhuma maneira de sermos hackeados. Se ocorrer um incidente, isso significa que o CISO falhou”. Na prática, impedir 100% dos ataques é tecnicamente impossível e inviável do ponto de vista econômico. A estratégia moderna é construída sobre um equilíbrio entre a cibersegurança e a eficácia dos negócios. Em um sistema equilibrado, os componentes focados na detecção e prevenção de ameaças funcionam em conjunto.

A prevenção desvia ataques automatizados em massa.

O Detection and Response ajuda a identificar e neutralizar ataques mais profissionais e direcionados que conseguem contornar as ferramentas de prevenção ou explorar vulnerabilidades.

Atualmente, o principal objetivo da equipe de cibersegurança não é garantir a invulnerabilidade total, mas detectar um ataque em um estágio inicial e minimizar o impacto nos negócios. Para mensurar o sucesso aqui, o setor normalmente usa métricas, como tempo médio de detecção (MTTD) e tempo médio de resposta (MTTR).

Filosofia de confiança zero x produtos de confiança zero

O conceito de confiança zero, que implica “nunca confiar, sempre verificar” para todos os componentes da infraestrutura de TI, há muito tempo é reconhecido como relevante e eficaz para a segurança corporativa. Ele requer a verificação constante de identidade (contas de usuário, dispositivos e serviços) e contexto para cada solicitação de acesso de acordo com a suposição de que a rede já foi comprometida.

No entanto, a presença de “confiança zero” no nome de uma solução de segurança não significa que uma organização pode adotar essa abordagem da noite para o dia simplesmente comprando o produto.
A confiança zero não é um produto que se pode “ativar”, mas sim uma estratégia arquitetônica e uma jornada de transformação de longo prazo. A implementação da confiança zero requer a reestruturação dos processos de acesso e o refinamento dos sistemas de TI para garantir a verificação contínua da identidade e dos dispositivos. Comprar software sem alterar os processos não terá um efeito significativo.

Segurança da nuvem x segurança na nuvem

Ao migrar os serviços de TI para a infraestrutura em nuvem, como AWS ou Azure, muitas vezes existe a ilusão de que ocorrerá uma transferência de risco total. Eis o raciocínio: “Pagamos ao provedor, então, agora, a segurança será uma dor de cabeça para eles”. Esse raciocínio é equivocado e perigoso, pois se trata de uma interpretação errônea daquilo que é conhecido como o Modelo de responsabilidade compartilhada.

A segurança da nuvem é responsabilidade do provedor. Ele protege os data centers, os servidores físicos e o cabeamento.

A segurança na nuvem é responsabilidade do cliente.

As discussões sobre orçamentos para projetos em nuvem e seus aspectos de segurança devem ser acompanhadas por exemplos da vida real. O provedor protege o banco de dados contra acesso não autorizado de acordo com as configurações feitas pelos funcionários do cliente. Se os funcionários deixarem um banco de dados aberto ou usarem senhas fracas, ou ainda, se a autenticação de dois fatores não estiver ativada para o painel do administrador, o provedor não poderá impedir que indivíduos não autorizados baixem as informações: um tipo de notícia muito comum. Portanto, o orçamento para esses projetos deve levar em conta as ferramentas de segurança em nuvem e o gerenciamento de configuração feito pela empresa.

Verificação de vulnerabilidades x teste de penetração

As lideranças geralmente confundem as verificações automatizadas, que se enquadram na higiene cibernética, com a avaliação de ativos de TI quanto à resiliência contra ataques sofisticados. Eis o raciocínio: “Por que pagar aos hackers por um teste de penetração quando executamos o verificador toda semana?”

A verificação de vulnerabilidades analisa uma lista específica de ativos de TI com o objetivo de encontrar vulnerabilidades conhecidas. Para simplificar, é como se um segurança estivesse fazendo a ronda para verificar se as janelas e portas do escritório estão trancadas.

O teste de penetração (pentesting) é uma avaliação manual para avaliar a possibilidade de uma violação no mundo real, explorando vulnerabilidades. Para continuar a analogia, é como contratar um ladrão experiente para tentar invadir o escritório.

Um não substitui o outro, e para entender sua verdadeira postura de segurança, uma empresa precisa das duas ferramentas.

Ativos gerenciados x superfície de ataque

Um equívoco comum e perigoso diz respeito ao escopo da proteção e à visibilidade geral mantida pelas equipes de TI e de segurança. Eis um chavão comum nas reuniões: “A lista de inventário do nosso hardware é precisa. Estamos protegendo tudo o que possuímos”.

Os ativos gerenciados de TI são os itens que o departamento de TI comprou, configurou e consegue visualizar em seus relatórios.

Uma superfície de ataque é qualquer coisa acessível aos invasores: qualquer possível ponto de entrada na empresa. Isso inclui Shadow IT (serviços em nuvem, aplicativos de mensagens pessoais, servidores de teste, etc.), que, basicamente, é qualquer método que os funcionários usam para burlar os protocolos oficiais a fim de acelerar ou simplificar o trabalho. Muitas vezes, são esses os ativos “invisíveis” que se tornam o ponto de entrada para um ataque, pois a equipe de segurança não pode proteger aquilo que desconhece.

Amor, IA e robôs

Por que temos uma relação de amor e ódio com os aplicativos de namoro e o que eles estão fazendo com nossos cérebros? Um emoji pode iniciar uma guerra? É realmente possível imaginar alguém que se case com uma IA? Estamos presenciando como a tecnologia moderna está redefinindo o amor e nossas próprias concepções sobre o tema.

Dicas