Recentemente, a Agência Nacional de Segurança (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram os top 10 erros de configuração de cibersegurança mais comuns observados nas grandes organizações e a primeira coisa que chama a atenção no levantamento é que todos os erros apontados são relativamente simples de resolver, pois não são exigem uma alta complexidade técnica para a resolução, pelo contrário, fazem parte do “Be à Bá” de qualquer implementação processual de cibersegurança, o que instiga a uma pergunta simples: por que, mesmo aumentando os investimentos em segurança da informação, ainda erramos no “feijão com arroz”?
A resposta para essa pergunta é complexa – embora pareça simples – mas fato é que o board executivo ainda tem dificuldade em se comunicar com times técnicos e isso dificulta a avaliação do trabalho que esse time executa. São raros os executivos que “falam a língua nativa” da segurança da informação e mais raro ainda os técnicos que conseguem intepretar o que é relevante para o negócio e priorizar as atividades com assertividade.
E, não entenda mal, isso não é uma crítica. Nem os/as executivos/as e nem os/as técnicos/as estão errados de não saberem com profundidade o trabalho do outro, pelo contrário, é quase impossível ‘dar conta’ de saber tudo no mundo complexo em que vivemos hoje. Conseguir se manter atualizado em seu próprio campo de atuação já é difícil o suficiente.
É neste aspecto que a diversidade de conhecimentos é importante na hora de montar uma equipe de cibersegurança. A existência de pessoas que funcionam como mediadoras de relações pode ser a chave para o sucesso na implementação de um programa de cibersegurança. E esses mediadores precisam ser dotados de conhecimentos que se diferenciam do mundo técnico, mas não podem ser totalmente afastados dessa vivência operacional.
E como sabemos que é essa uma boa solução?
Voltando ao levantamento da NSA e da CISA, os Top 10 erros mais comuns são:
- Configurações padrão de software e aplicativos
- Separação inadequada do privilégio de usuário-administrador
- Monitoramento insuficiente da rede interna
- Falta de segmentação da rede
- Gerenciamento de patches ruim
- Desvio dos controles de acesso ao sistema
- Métodos de autenticação multifator (MFA) fracos ou mal configurados
- Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
- Má higiene das credenciais
- Execução irrestrita de código
Uma pessoa conhecimentos gerais de segurança da informação consegue interpretar que essa lista traz um diagnóstico evidente: as atividades de cibersegurança das equipes não estão sendo priorizadas – ou acompanhadas – de acordo com as necessidades reais das organizações. E a solução para este problema é a revisão do plano estratégico, tático e operacional do programa de segurança da informação implementado.
É uma leitura simples, mas que nem sempre os times técnicos, focados na implementação de ferramentas/sistemas ou na resolução dos problemas do dia a dia, conseguem parar para analisar e refletir. Daí a importância de profissionais que funcionem como pontes entre o negócio e a operação.
É preciso exergar a segurança além da tecnologia
O Bruce Schneier tem uma frase que traduz essa necessidade: “Security is not a product, but a process” (segurança não é um produto, mas um processo). Isso porque a implementação de um programa de segurança da informação é pautada em quatro pilares centrais: tecnologia, governança, processos e pessoas.
E apesar de todos esses pilares serem igualmente importantes, sempre destaco a importância das pessoas, afinal de contas, são as pessoas as responsáveis por manusear a tecnologia, garantir a governança e realizar os processos. Por isso, é muito importante que o time seja composto por profissionais capazes de garantir cada um desses pilares.
Se a sua empresa busca uma proteção 360° em segurança da informação, é preciso investir na contratação de pessoas com conhecimentos diferentes e que vão enxergar os desafios sob diversas perspectivas. E isso também é válido para contratações que valorizem a diversidade de pessoas, pois isso vai agregar mais valor às soluções implementadas pelas equipes e expandir os resultados alcançados.
Visits: 76
