Essa semana está rolando um burburinho no Linkedin sobre a notícia de que a Cisco sofreu um ataque Hacker no final de maio deste ano.
Não vamos comentar sobre o ataque em si. Mas nos causa espanto a reação exagerada do tipo: "Nossaaaaaa...Se a CISCO foi hackeada, então ninguém está a salvoooo....".
De verdade, isso não deveria causar surpresa!
Explicamos:
1) Não existe segurança absoluta. QUALQUER empresa, organização ou pessoa está sujeita a ataques, NÃO IMPORTA O QUANTO se tenha investido em segurança da informação. Portanto, a expectativa de nunca sofrer uma invasão é irreal.
2) Tudo o que podemos fazer é REDUZIR OS RISCOS de sofrer um ataque. Note que "reduzir riscos" não é sinônimo de "zerar riscos". Portanto, se eventualmente uma Organização afirmar que conseguiu "eliminar todos os riscos de segurança", ela simplesmente não sabe do quê está falando.
3) O fato de uma empresa como a CISCO sofrer um ataque não significa em absoluto que ela não é uma empresa confiável ou que não tenha níveis apropriados de segurança. O que diferencia boas empresas de outras neste quesito é a sua capacidade de lidar com o incidente (identificar, limitar os impactos, adotar contramedidas e, principalmente, APRENDER a partir do ocorrido), realimentando seu processo de gestão de riscos de segurança.
4) CULTURA DE SEGURANÇA É A CHAVE. Os dados mostram que mais de 90% dos ataques bem sucedidos dependem de uma interação humana (ou "vacilo") do lado de quem está sendo atacado. Ou seja: de nada adianta investir em WAF, IDS/ IPS, DLP, SIEM e etc, se AS PESSOAS forem esquecidas.
A Cisco já veio a público comentar que o ataque não resultou em maiores prejuízos para a Organização, a não ser esse arranhão em sua imagem, e que tomou diversas ações para tratar o incidente. Mas o mais interessante sobre o posicionamento da empresa pode ser resumido assim:
- A Cisco disse que vai usar o incidente como APRENDIZADO para melhorar suas defesas.
Esse é o espírito. Não se surpreendam com ataques, a quem quer que seja. Mas verifiquem se os incidentes levam as Organizações a melhorar suas defesas e avançar na maturidade em segurança da informação.
Vida que segue!
P.S.: O Link para a notícia publicada pelo Linkedin: https://lnkd.in/eXCxFR25
Comments