Vamos falar um pouco sobre cibersegurança nas organizações?

Muitas vezes o assunto parece estar muito distante da maioria dos gestores, porém, especialmente na atualidade, é de extrema relevância para o resultado das empresas.

De maneira geral, termos como ROI (Retorno sobre o investimento), Valuation (Avaliação da empresa ou do negócio) e Business Plan (Plano de negócios da empresa) permeiam o dia a dia das organizações, mas Segurança Cibernética não é um deles.

Para este, aplica-se o ROSI (Retorno sobre o investimento em segurança). Contrariamente ao ROI, que foca no lucro gerado, o ROSI vincula-se à mitigação dos riscos monetários de maneira genérica.

Neste viés, o grande desafio dos profissionais de TI das empresas é levar ao gestor as informações qualificadas para que se decida pela realização de investimentos de infraestrutura e de treinamento na área de segurança. Um desafio aparentemente acessório é equilibrar o montante do investimento ao risco identificado, neste caso a interação com as equipes de planejamento estratégico e análise de risco é mandatória.

Como contribuição, o CIS (Center of Internet Security) vem elaborando ao longo do tempo o que se chamou Controles CIS, que refletem o conhecimento combinado de especialistas de diversas esferas e funções que afetam e são afetadas pelas ameaças cibernéticas no mundo. Os Controles CIS estão na sua 8ª versão e enunciam 18 práticas mitigadoras dos riscos cibernéticos, mas podemos elencar 5 delas que são capazes de prevenir 85% de todos os riscos conhecidos, sendo:

• O inventário e controle dos ativos corporativos: este controle foca em todos os dispositivos corporativos, sejam eles móveis e portáteis, dispositivos de rede, computacionais ou não, dispositivos de IoT, que estejam conectados fisicamente à infraestrutura ou virtualmente quando remotos ou em ambiente de nuvem. É fundamental identificar todos estes dispositivos para poder monitorá-los e protegê-los, bem como identificar aqueles não autorizados para que possam ser removidos ou remediados.

• Inventário e controle de ativos de software: neste caso devem ser identificados, rastreados e corrigidos todos os softwares da organização, sejam sistemas operacionais ou aplicações, de forma que só os autorizados sejam instalados e executados. Ainda, que aqueles não autorizados sejam impedidos de serem instalados e, caso sejam, possam ser encontrados e removidos ou remediados.

• Configuração segura de ativos corporativos e softwares: visa a personalização de dispositivos e softwares para as necessidades de segurança da organização, envolvendo a configuração, atualização de sistemas operacionais e aplicações, e implementação de políticas de segurança de rede.

• Gestão de contas: controle muito vinculado a um dos principais pilares da segurança da informação, a disponibilidade. Neste controle utilizam-se processos e ferramentas para atribuir e gerenciar as credenciais de acesso das diversas modalidades de contas, garantindo a disponibilidade aos recursos que o usuário necessita acessar.

• Gestão contínua de vulnerabilidades: consiste na avaliação e rastreamento de vulnerabilidades em todos os ativos corporativos que acessam a infraestrutura, tendo íntima relação com os inventários de ativos corporativos, sejam eles relacionados aos dispositivos ou aos softwares.

• Conscientização sobre segurança e treinamento de competências: todos os controles anteriores visam a infraestrutura de maneira geral. Já este coloca o foco nas pessoas que são os usuários desta infraestrutura para que a organização cumpra o seu objetivo de produção de bens ou serviços gerando lucro. À medida que os sistemas ficam mais seguros o elo mais fraco desta corrente torna-se o usuário, sendo crítica a sua preparação para o uso seguro dos ativos corporativos com o fim de mitigar os riscos de segurança cibernética para a empresa.

Para finalizar, pode parecer que esse artigo foi direcionado aos profissionais de TI, mas não.

Estes profissionais já têm estas informações como um “livro de cabeceira”, mas os demais colaboradores das organizações, independente da posição que ocupam, independente delas serem públicas ou privadas, fazem parte desta equação que tem como resultado maior ou menor risco cibernético.

É para este público que direciono os conhecimentos que aqui foram expostos, sendo realizado um esforço para a simplificação de termos para que sejam acessíveis à todos.

Este foi um ensaio para um conjunto de publicações que pretendo fazer. Me falem nos comentários o que acharam e proponham assuntos que eventualmente interessem para a realidade de vocês ou se gostariam de detalhes sobre as práticas do Controle CIS.