Líderes seniores enxergam a cibernética como o risco número 1; agora vem o trabalho pesado de impor a higiene cibernética em um ambiente complexo
As ameaças cibernéticas agora tomam toda a atenção do setor corporativo.
Estamos no ponto em que alguns CEOs começam a adequar seus hábitos online para protegerem a si mesmos e, consequentemente, as organizações que lideram. Uma pesquisa recente* feita empresa de consultoria PwC com 1,6 mil CEOs do mundo todo descobriu que ataques cibernéticos são agora considerados o principal obstáculo no desempenho corporativo, seguido pela escassez de mão de obra qualificada e pela incapacidade de acompanhar os rápidos avanços tecnológicos.
Como resultado, alguns CEOs admitem que pararam de usar o Twitter e deletaram suas contas no LinkedIn e em outras mídias sociais. Tudo isso para ajudar a diminuir a exposição de suas companhias ao crime cibernético. “Executivos e membros de conselhos administrativos estão muito mais atentos agora à segurança cibernética do que estavam há dois anos”, comenta Jeff Pollard, vice-presidente e diretor de análise na empresa de pesquisa tecnológica Forrester.
A conscientização é um avanço nesse sentido, sem dúvida nenhuma. Mas é apenas um passo bem pequeno. A inércia corporativa ainda é grande. Para muitos diretores de segurança da informação (CISO, do inglês Chief Information Security Officers), ter a atenção do CEO está se mostrando uma faca de dois gumes neste momento, diz Pollard. “Encontramos muitos CISOs dedicando seu tempo explicando quais ameaças são importantes ao invés de explicar por que a segurança cibernética é importante antes de tudo”, explica ele. “Líderes da área de segurança também precisam descobrir como justificar seus orçamentos, que vêm aumentando significativamente ano a ano e, mesmo assim, sem solucionar todos os problemas de segurança”, continua.
Segundo Pollard, esse debate precisa girar em torno de como melhorias específicas podem gerar uma proteção mais robusta. “Líderes precisam mostrar como avanços específicos em segurança colocam a empresa em uma posição mais vantajosa para proteger suas marcas e seus clientes, e não simplesmente dizer o quanto foi gasto e quais projetos foram concluídos”, defende Pollard.
Em resumo, há muito trabalho a ser feito no setor corporativo. E isso começa com um entendimento mais preciso de um desafio que se transforma rapidamente. Aqui está um resumo das principais variáveis em jogo:
Exposições tumultuadas
As pressões externas são incessantes. Danos a empresas e consumidores causados por cibercriminosos continuam a subir em larga escala. As técnicas de hackers testadas e comprovadas continuam sendo altamente eficazes na eliminação de pontos fracos nas defesas de rede herdadas, mesmo em sistemas de segurança em camadas.
Basta perguntar para a MGM Resorts, uma grande rede de hotéis em Las Vegas, que, sem dúvida nenhuma, gastou milhões de dólares em segurança cibernética. Ainda assim, no dia 19 de fevereiro, um fórum hacker postou o roubo de dados pessoais de mais de 10,6 milhões de hóspedes que ficaram nas instalações dos Resorts MGM, em Las Vegas. As suspeitas indicam que os cibercriminosos conseguiram invadir um serviço em nuvem em que a cadeia de hotéis armazenava seus dados. Entre as vítimas estão celebridades, CEOs, jornalistas, políticos e funcionários das maiores empresas de tecnologia do mundo. O bônus por essa lista de clientes VIP da MGM é que nomes completos, endereços residenciais, números de telefone, e-mails e datas de aniversário agora estão disponíveis na Dark Net.
Como parte da corrida para alavancar a nuvem da internet para interagir com funcionários remotos, fornecedores terceirizados e clientes, as empresas abriram infinitos vetores para novos ataques. Os criminosos seguem o fluxo da multidão. Assim, os serviços de nuvem mais famosos se tornam os mais interessantes para sondagem, tanto para hackers white hat (chapéu branco, que seriam uma espécie de mocinhos) quanto para black hat (chapéu preto, os bandidos).
Veja o serviço Zoom, por exemplo. O provedor da famosa ferramenta de videoconferência está se esforçando para lançar uma série de correções de segurança depois que hackers white hat mostraram como a plataforma Zoom contava com um sistema fraco de autenticação, possibilitando que alguém que não havia sido convidado para uma conferência participasse da reunião. Mas não se sabe se algum hacker black hat sabia ou explorava essas brechas. Seja como for, estamos agora na fase em que diversos tipos de cibercriminosos irão, sem dúvida nenhuma, procurar ativamente sistemas Zoom que não foram corrigidos a tempo. E sabemos o que isso quer dizer.
Esse esquema já aconteceu muitas vezes antes. Poucas horas depois da divulgação de vulnerabilidades que precisam de correção em uma VPN empresarial, bandidos entraram em ação. Sabe-se que cibercriminosos apoiados pelo governo iraniano começaram a explorar sistemas de VPN não corrigidos* distribuídos pela Pulse Secure, Palo Alto Networks, Fortinet e Citrix até empresas de TI, telecomunicações, energia e segurança, áreas de importância estratégica para o Irã.
Os cibercriminosos estavam preparados: rapidamente eles lançaram um ataque que procurava VPNs vulneráveis e espalharam malwares que continham uma porta de entrada. Como grandes corporações tendem a se movimentar muito mais lentamente do que grupos cibercriminosos, mesmo empresas que correram para instalar as correções podem não ter feito isso a tempo de impedir ataques, conta o Evangelista de Segurança da Avast, Luis Corrons. A única forma de ter certeza de que essas empresas não contam com portas de entrada ocultas é fazendo uma análise completa de todos os seus terminais e servidores, explica ele.
Fatores complicantes
Esses casos recentes representam apenas uma pequena parte da turbulência que se desdobra diariamente pelo amplo e dinâmico horizonte das ameaças. Por duas décadas, inúmeras ondas de grandes violações deixaram a Dark Net cheia de dados roubados. Esses dados furtados, por sua vez, foram utilizados em todos os tipos de fraudes comerciais, golpes em consumidores, adulteração de eleições e espionagem cibernética.
Já é hora dos CEOs entenderem o que está acontecendo. Claramente, a maior conscientização dos consumidores - sem contar as repercussões negativas desses casos - devem aumentar essa pressão. O desconforto dos consumidores se traduziu no aumento dos regulamentos relacionados à divulgação de violações. Por conta disso, a Europa e outros 47 estados norte-americanos passaram a exigir a divulgação de relatórios de perda de dados. Além disso, muitos estados passaram a exigir certificação das empresas. E acima de tudo isso, líderes políticos do Reino Unido*, Japão* e Califórnia* começam a impor parâmetros de segurança para dispositivos e sistemas conectados à Internet das Coisas (IoT, do inglês Internet of Things), em um sinal claro de que mais padrões de segurança ligados à IoT estão por vir.
"Novas regulamentações acrescentaram uma avaliação adicional por parte dos reguladores e aumentaram as expectativas dos consumidores no que se refere às medidas que as empresas estão tomando para manter seus dados confidenciais em sigilo", diz Ambuj Kumar, CEO da Fortanix, fornecedora de sistemas avançados de criptografia, com sede em Mountain View, Califórnia. "Com dados privados viajando entre data centers, nuvens públicas e computação de ponta, estamos vendo mais executivos seniores repensando sua estratégia de segurança de dados", completa.
Segundo Sandy Carielli, outra diretora de análise da Forrester, alguns deles descobriram que um bom ponto de partida é avaliar a segurança dos aplicativos. “Aplicativos ainda são a forma mais comum de ataque. Então vale a pena verificar como a segurança foi desenvolvida no ciclo de vida do seu software”, avalia Carielli.
É essencial obter um entendimento prático sobre como as vulnerabilidades de aplicativos são corrigidas durante o ciclo de desenvolvimento do software DevOps. Para Carielli, a segurança deve ser considerada desde a etapa inicial, durante a fase de projeto; no meio do caminho, durante o desenvolvimento e teste; e na fase final de produção.
Kumar acredita que é preciso abandonar a velha mentalidade de erguer um perímetro forte ao redor dos dados mantidos nas instalações. A Fortanix está na vanguarda das startups que introduzem tecnologias avançadas projetadas para manter os dados criptografados enquanto se movimentam para frente e para trás através de vários serviços em nuvem. "Ao adotar essa abordagem, a empresa passa a ter mais controle", diz ele. "A empresa mantém as chaves dos dados, e a segurança segue os dados para onde forem.”
Na era do DevOps, em que aplicativos dinâmicos são criados sob a filosofia da “falha rápida”, tornou-se crucial que CEO façam muito mais do que simplesmente parar de tuitar (a “falha rápida” é a noção de se implementar rapidamente um software pouco viável para saber onde ele funciona ou não e, em seguida, corrigir as falhas rapidamente). Nesse ambiente dinâmico, os líderes empresariais precisam ter uma compreensão muito específica e precisa do que constitui uma higiene cibernética robusta - e impor essa higiene cibernética, quando apropriado, em sistemas legados e avançados.
"O maior conselho que posso compartilhar com os CISOs é que eles devem encontrar formas de mostrar como a segurança protege a maneira como a empresa gera receita", conta Pollard, da Forrester. "Esse é o segredo para o sucesso do CISO. Ao proteger os produtos e serviços que sua empresa vende, você encontra maneiras de mostrar como seus esforços contribuem diretamente para o crescimento da empresa. Contribuir para a segurança do produto, ‘protegendo o que você vende’, é o pilar dos CISOs bem-sucedidos à medida que a transformação digital acelera”, conclui.
Será interessante observar quais líderes empresariais irão seguir nessa direção e em quanto tempo. Ficarei de olho.