8 Maneiras de Atrair um Ataque Cibernético (e como usar a ISO/ IEC 27001 para evitá-los)

Esse artigo é uma tradução comentada do artigo do Gartner Group

Como muitos, sigo a página do Gartner. Muita informação bacana sobre tecnologia e #segurançadainformação. Me deparei com um artigo excelente, de 2021, que resolvi traduzir e incluir meus comentários de como as recomendações feitas por eles podem ser atendidas através da #iso27001. O link para o artigo original está nos comentários. Omiti a parte inicial e fui direto para os oito pontos. O texto do Gartner compreende a descrição dos oito pontos e uma recomendação de ação feita por eles. Incluí após ação sugerida os meus comentários de como atender isso através do framework da ISO/ IEC 27001.

8 MANEIRAS QUE VOCÊ PODE ESTAR USANDO PARA ATRAIR UM ATAQUE CIBERNÉTICO

Questões culturais e sistêmicas podem estar deixando sua Organização vulnerável.

1. RISCO SISTÊMICO INVISÍVEL

Os negócios tomam decisões diárias que impactam negativamente a sua prontidão para segurança: por exemplo, recusando-se a desligar um servidor para aplicação de atualizações (patching) ou escolhendo manter em funcionamento hardware e software obsoletos para economizar no orçamento. Essas decisões não reportadas levam a uma falsa sensação de segurança e aumentam a probabilidade e severidade de um incidente.

Ação: Reconhecer, reportar e discutir riscos sistêmicos como parte das rotinas de governança em segurança.

Meu comentário: através da implementação do processo de gestão de riscos proposto nos requisitos 6.1.2 e 6.1.3 da ISO/ IEC 27001:2013, combinado com as diretrizes da ISO/ IEC 27005 e o processo genérico de gestão de riscos definido na ISO 31000, conduzido com a participação dos donos dos riscos na Organização, estes “riscos invisíveis” se tornam visíveis e controlados. Não importa se o método de análise de riscos for qualitativo ou quantitativo; o importante é que a visão dos riscos existentes seja a mais ampla possível. As pessoas na Organização também devem ter consciência de que o processo de identificar, reconhecer e tratar um risco de segurança é benéfico, pois leva a uma abordagem proativa na definição e implementação dos controles de segurança. O que NÃO DEVE ser feito jamais é tentar esconder o risco debaixo do tapete.

2. DESCONEXÃO CULTURAL

Executivos não ligados a TI ainda enxergam segurança como algo que “está ali”, como o ar ou a água. Isso significa que ainda não é considerada como parte das decisões de negócio. Por exemplo, é improvável que um líder de negócios requisitando uma nova aplicação inclua “prontidão para segurança” como um requisito.

Ação: Colocar a segurança cibernética em um contexto de negócios de forma que os executivos “não-TI” possam enxergar o impacto de suas decisões.

Meu comentário: Uma das grandes vantagens da ISO/ IEC 27001 é que ela especifica um SISTEMA DE GESTÃO, e como tal possui requisitos para que a Segurança da Informação seja vista de uma perspectiva de negócios com comprometimento direto da Alta Direção; a cláusula 4 – Contexto da Organização, implica em criar sistemáticas para que questões relevantes EXTERNAS (do ambiente de negócios), INTERNAS (incluindo cultura organizacional) e requisitos relevantes de PARTES INTERESSADAS (clientes, fornecedores, colaboradores, terceirizados) sejam considerados no desenvolvimento das abordagens de segurança da informação. A cláusula 5 – Liderança, requer que esse comprometimento da alta direção com a segurança da informação seja demonstrado claramente. Além disso, vale destacar os controles da Norma que levam a colocar SI no contexto de negócios: A.6.1.5 - Segurança da Informação no gerenciamento de projetos (para qualquer tipo de projetos); e o A.14.1.1 - Análise e especificação dos requisitos de segurança da informação (para comprar ou desenvolver sistemas e aplicações).

3. DESPEJAR DINHEIRO NO PROBLEMA

Você não pode comprar uma saída – não importa o quanto você gaste, você não estará perfeitamente protegido contra um ataque cibernético. Ao tentar parar toda atividade arriscada, você provavelmente irá causar danos à capacidade de sua Organização cumprir com suas funções.

Ação: Evite “superinvestimentos” em segurança que elevam os custos operacionais e causam danos à capacidade da Organização em alcançar os seus resultados de negócio.

Meu comentário: Se uma análise e tratamento de riscos de segurança for conduzida de maneira efetiva à luz das cláusulas 6.1.2 e 6.1.3, a Organização será capaz de priorizar os riscos que precisam ser “atacados” primeiro. Isso faz com que os recursos necessários sejam usados de forma mais racional e em linha com as necessidades do negócio, algo para o quê a ISO 27001 também descreve processos de gestão (cláusula 7.1 – Recursos, em linha com a cláusula 5.1 – Comprometimento da direção). Além disso, a cláusula 7.3 - Conscientização, especifica a necessidade de a Organização conscientizar seus colaboradores em todos os níveis a respeito da Política de SI da Organização, de como cada um pode contribuir para a eficácia da gestão da SI e das consequências de não conformidades com os requisitos de SI - sem dúvida o melhor investimento que pode ser feito!

4. CISO COMO UM “ZAGUEIRO”

Se os CISO’s e gerentes de segurança são tratados como (e agem como) “zagueiros” da Organização, isso cria uma cultura de “não”. Por exemplo, eles podem bloquear a liberação de uma aplicação crítica devido a preocupações de segurança sem considerar os resultados do negócio que aquela aplicação suporta.

Ação: Posicione a “segurança” como a função que equilibra a necessidade de proteger com a necessidade de fazer os negócios fluírem.

Meu comentário: A função “segurança da informação” nas organizações precisa ser independente, para que suas decisões não sejam afetadas por outros interesses que possam expor a Organização a riscos desnecessários. Por exemplo, não adianta um “departamento de segurança” responder para a área de operações de TI; frequentemente essa combinação resulta em uma área de segurança ineficaz, pois não há liberdade e nem autoridade organizacionais para tomada de decisão independente. Por outro lado, de nada adianta um CISO com autoridade, porém radical, que bloqueia todas as iniciativas em nome da segurança da informação. A ISO/ IEC 27001, em sua cláusula 5.3, determina que a Alta Direção atribua papéis, autoridade e responsabilidades pela segurança da informação, implicando que isso resulte em funções capazes de implementar este equilíbrio entre negócios e segurança. Além disso, novamente voltamos à gestão de riscos: assumir um risco, na esperança de conquistar uma oportunidade, é uma das decisões possíveis a uma Organização. Em outras palavras: Nem 8 nem 80.

5. VIÉS ERRADO PARA A RESPONSABILIZAÇÃO (ACCOUNTABILITY)

“Responsabilização” deveria significar que uma decisão de aceitar um risco é defensável perante as principais partes interessadas. Se “responsabilização” significa que alguém será despedido se algo der errado, ninguém irá se engajar.

Ação: Recompense aqueles que tomam as decisões que melhor equilibram a necessidade de proteger com a necessidade de fazer os negócios fluírem.

Meu comentário: Minha vó sempre me dizia: “Tudo em excesso faz mal. Até água”. O mesmo vale para a segurança da informação: não adianta querer ser radical e impedir que qualquer decisão que implique na aceitação de um risco de maior nível seja tomada ou, caso venha a ser tomada, seja passível de punição em vista da materialização do risco. Feito de forma responsável e consciente, o processo de aceitar um risco é até necessário para que a Organização não perca a sua ousadia e a sua capacidade de inovar, ou como diz aquela famosa frase de Star Trek, “audaciosamente ir aonde nenhum homem jamais esteve”. “Aceitar” um risco é uma das opções de tratamento de riscos, conforme definido na ISO 31000, e faz parte do processo de gestão de riscos determinado pela ISO/ IEC 27001.

6. DECLARAÇÕES DE APETITE AO RISCO MAL FORMULADAS

As Organizações criam declarações de alto nível genéricas sobre seu apetite ao risco, que não suportam a boa tomada de decisão. Evite prometer se envolver apenas em atividades de baixo risco, pois isso pode criar um risco sistêmico invisível.

Ação: Crie mecanismos que permitam a aceitação de riscos dentro de parâmetros definidos.

Meu comentário: Levando em consideração meus comentários em relação aos itens 1 e 5 do artigo do Gartner, complemento dizendo o seguinte: defina um bom processo/ procedimento para a gestão de riscos de segurança (de novo, olhamos aqui para os requisitos 6.1.2 e 6.1.3 da ISO/ IEC 27001, com o suporte da ISO/ IEC 27005 e ISO 31000). Isso inclui a definição de critérios claros para: a) decidir em quais momentos ou circunstâncias a aplicação do método é oportuna; b) decidir quais são os níveis de risco puro resultantes da análise que podem ser aceitos pela Organização, ou que devem ser tratados. A minha recomendação é utilizar três faixas para classificação dos níveis de risco resultantes: a faixa “verde”, que é a dos riscos que podem ser aceitos sem nenhuma necessidade de ação, considerando ou não os controles existentes (são os riscos “baixos”); a faixa “amarela”, em que a decisão de aceitar o risco ou de tratar o risco, considerando os controles existentes e novos controles que podem ser implementados, depende de uma decisão gerencial (são os riscos “médios”); a faixa “vermelha”, que resulta na obrigatoriedade de tratar o risco, seja considerando os controles existentes ou implementando novos controles. Esse tipo de risco idealmente não deve ser aceito e, caso o seja, deve ter essa decisão formalizada pela alta direção (um instrumento utilizado para isso é a “carta de aceitação do risco”). Depois de analisar os riscos à luz dos controles existentes, da implementação de novos controles ou da sua simples aceitação, chegamos ao risco residual, que normalmente leva a níveis de risco inferiores àqueles que foram registrados na fase de análise dos riscos puros (também chamados de riscos inerentes). Dessa forma, a aceitação de riscos pode ser feita de maneira clara e controlada pela Organização.

7. EXPECTATIVAS SOCIAIS IRREAIS

Quando acontece um incidente de segurança digno de ir parar nas manchetes, a sociedade só quer saber de cabeças rolando. Embora isso não seja justo, é o resultado de décadas tratando a segurança como uma caixa preta. Ninguém entende como isso realmente funciona e como resultado, quando um incidente ocorre, a suposição é que alguém deve ter “pisado na bola”. No entanto, a sociedade não vai mudar até que as organizações e os departamentos de TI comecem a tratar e falar sobre segurança de forma diferente.

Ação: Seja claro sobre equilibrar a necessidade de proteger com a necessidade de manter os negócios rodando, ao invés de esperar para ser um bode expiatório.

Meu comentário: outro dia desses eu comentei aqui no Linkedin a notícia de que a Cisco tinha sido hackeada e um dos pontos que levantei foi o seguinte: não existe segurança absoluta. Nenhuma Organização está 100% protegida. Portanto não é uma questão de SE ela irá sofrer um ataque bem-sucedido, mas de QUANDO isso vai acontecer. A expectativa de NUNCA sofrer um ataque, portanto, é irreal. As boas Organizações, aquelas que possuem segurança forte, no máximo conseguem adiar por longos períodos a ocorrência de um ataque e limitar o impacto resultante. E como elas fazem isso? Implementando de forma diligente um bom processo de gestão de riscos de segurança da informação (olha ele aí de novo!). Além disso, o cumprimento dos requisitos 4.1 e 4.2 da ISO/ IEC 27001 (análise das questões internas e externas e dos requisitos e expectativas das partes interessadas) assegura uma abordagem estratégica para a SI.

8. FALTA DE TRANSPARÊNCIA

Alguns Conselhos e executivos seniores simplesmente não querem ouvir ou reconhecer que a segurança não é perfeita. As apresentações da diretoria estão repletas de boas notícias sobre o progresso que foi feito em segurança, com pouca ou nenhuma discussão sobre lacunas e oportunidades de melhoria. Conhecemos até uma empresa que decidiu passar o tema segurança para sua assessoria jurídica, para que as discussões se tornassem restritas.

Ação: Para enfrentar os desafios, executivos de TI e executivos de fora da TI devem estar dispostos a entender e conversar sobre as realidades e limitações sobre como a segurança funciona.

Meu comentário: O fato é que a segurança da informação, até bem pouco tempo atrás, sequer era tema tratado nos níveis mais altos da Organização; era um tema mais operacional e menos estratégico. Isso mudou e com a mudança vieram algumas constatações típicas de processos novos e que ainda não alcançaram maior grau de maturidade. Uma das formas de trazer o tema para as preocupações do Board e dos demais C-Levels é implementar, mais uma vez, os requisitos da ISO/ IEC 27001:2015. A Seção 5 da Norma – Liderança – inclui, entre outros elementos, a exigência de que a Alta Direção demonstre o seu compromisso com a gestão da segurança da informação. Isso inclui, mas não se limita a: a) alinhar a gestão da SI com o direcionamento estratégico da Organização; b) integrar os requisitos da gestão da SI com os processos da Organização; c) assegurar a disponibilidade de recursos para a gestão da SI; e por aí vai. Mais uma vez, parece que a implementação e a certificação de um Sistema de Gestão de Segurança da Informação com base na ISO/ IEC 27001 responde muito bem pela estruturação de um framework tanto estratégico (requisitos de gestão) como operacional (objetivos de controles e controles) para a Gestão da SI.

Quer saber mais? Estamos preparados para capacitar, implementar e acompanhar a certificação ISO/ IEC 27001 em sua Organização!