Recentemente, a Agência Nacional de Segurança (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram os top 10 erros de configuração de cibersegurança mais comuns observados nas grandes organizações e a primeira coisa que chama a atenção no levantamento é que todos os erros apontados são relativamente simples de resolver, pois não são exigem uma alta complexidade técnica para a resolução, pelo contrário, fazem parte do “Be à Bá” de qualquer implementação processual de cibersegurança, o que instiga a uma pergunta simples: por que, mesmo aumentando os investimentos em segurança da informação, ainda erramos no “feijão com arroz”?

A resposta para essa pergunta é complexa – embora pareça simples – mas fato é que o board executivo ainda tem dificuldade em se comunicar com times técnicos e isso dificulta a avaliação do trabalho que esse time executa. São raros os executivos que “falam a língua nativa” da segurança da informação e mais raro ainda os técnicos que conseguem intepretar o que é relevante para o negócio e priorizar as atividades com assertividade.

E, não entenda mal, isso não é uma crítica. Nem os/as executivos/as e nem os/as técnicos/as estão errados de não saberem com profundidade o trabalho do outro, pelo contrário, é quase impossível ‘dar conta’ de saber tudo no mundo complexo em que vivemos hoje. Conseguir se manter atualizado em seu próprio campo de atuação já é difícil o suficiente.

É neste aspecto que a diversidade de conhecimentos é importante na hora de montar uma equipe de cibersegurança. A existência de pessoas que funcionam como mediadoras de relações pode ser a chave para o sucesso na implementação de um programa de cibersegurança. E esses mediadores precisam ser dotados de conhecimentos que se diferenciam do mundo técnico, mas não podem ser totalmente afastados dessa vivência operacional.

E como sabemos que é essa uma boa solução?

Voltando ao levantamento da NSA e da CISA, os Top 10 erros mais comuns são:

  1. Configurações padrão de software e aplicativos
  2. Separação inadequada do privilégio de usuário-administrador
  3. Monitoramento insuficiente da rede interna
  4. Falta de segmentação da rede
  5. Gerenciamento de patches ruim
  6. Desvio dos controles de acesso ao sistema
  7. Métodos de autenticação multifator (MFA) fracos ou mal configurados
  8. Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
  9. Má higiene das credenciais
  10. Execução irrestrita de código

Uma pessoa conhecimentos gerais de segurança da informação consegue interpretar que essa lista traz um diagnóstico evidente: as atividades de cibersegurança das equipes não estão sendo priorizadas – ou acompanhadas – de acordo com as necessidades reais das organizações. E a solução para este problema é a revisão do plano estratégico, tático e operacional do programa de segurança da informação implementado.

É uma leitura simples, mas que nem sempre os times técnicos, focados na implementação de ferramentas/sistemas ou na resolução dos problemas do dia a dia, conseguem parar para analisar e refletir. Daí a importância de profissionais que funcionem como pontes entre o negócio e a operação.

 É preciso exergar a segurança além da tecnologia

O Bruce Schneier tem uma frase que traduz essa necessidade: “Security is not a product, but a process” (segurança não é um produto, mas um processo). Isso porque a implementação de um programa de segurança da informação é pautada em quatro pilares centrais: tecnologia, governança, processos e pessoas.

E apesar de todos esses pilares serem igualmente importantes, sempre destaco a importância das pessoas, afinal de contas, são as pessoas as responsáveis por manusear a tecnologia, garantir a governança e realizar os processos. Por isso, é muito importante que o time seja composto por profissionais capazes de garantir cada um desses pilares.

Se a sua empresa busca uma proteção 360° em segurança da informação, é preciso investir na contratação de pessoas com conhecimentos diferentes e que vão enxergar os desafios sob diversas perspectivas. E isso também é válido para contratações que valorizem a diversidade de pessoas, pois isso vai agregar mais valor às soluções implementadas pelas equipes e expandir os resultados alcançados.

Autor

  • Larissa Lotufo

    Larissa Lotufo atua há mais 10 anos no mercado de negócios digitais, contribuindo com informação descomplicada e estratégica sobre legislação, segurança da informação e proteção de dados pessoais. Prêmio MVP E-commerce Brasil 2019. Leitura Recomenda do STF 2020. Já realizou publicações em mais de 10 livros e ebooks nacionais e internacionais, publicou diversos artigos em jornais e portais, além de ministrar palestras e treinamentos sobre cibersegurança, negócios e diversidade.

    View all posts

Views: 80