Recursos/White Papers

Opinião

Em segurança, a tempestade perfeita existe

Algumas situações, circunstâncias ou atitudes podem agravar drasticamente os riscos de um ciberataque

Cristiano Pimenta *

Publicada em 23 de março de 2017 às 19h46

A expressão "tempestade perfeita" é um calque morfológico (do inglês, perfect storm) que se refere à situação na qual um evento, em geral não favorável, é drasticamente agravado pela ocorrência de uma rara combinação de circunstâncias, transformando-se em um desastre. No universo da cibersegurança, um evento não favorável pode ser tudo aquilo que já sabemos que existe no ambiente tecnológico da organização, e que, no entanto, desprezamos. Vamos a alguns exemplos:

. Senhas compartilhadas

. Acessos administrativos nas estações de trabalho

. Sistemas operacionais desatualizados

. Inexistência de políticas de segurança

. Vulnerabilidades desconhecidas

. Visitantes sem controle de acesso lógico

. Redes que não estão segregadas

. Ativos desconhecidos que foram identificados no inventário e que ninguém, de fato, sabe informar do que se trata

Tal evento não favorável também pode ser “somatizado” pela evolução das ameaças e tendências amplamente divulgadas para o ano, que indicam que as coisas vão piorar.

O surgimento de novas famílias de ransomware amplificando os ataques direcionados, o aumento de ataques de negação de serviços visando comprometer dispositivos móveis e a internet das coisas, a maior sofisticação nos modelos de ataques persistentes, espionagem para dispositivos móveis, plataformas como Adobe e Apple passam a ser cada vez mais exploradas, e para não dizer que tudo são flores, o infernal phishing e e-mails spoofing, que continuam se reinventando todo dia, sempre à espreita de uma falha nos servidores ou desatenção dos usuários. A lista é grande.

storm

Um agravamento drástico desta realidade está alinhado com a baixa disponibilidades de profissionais nas organizações. Além disso, os poucos profissionais existentes são afetados pela falta de investimento em qualificação e, considerando o alto volume de demandas que não tem nada a ver com a proteção do ambiente, vai tornando essa equação ainda mais complexa.

Organizações sem gestão de suas vulnerabilidades tecnológicas, sem equipe com conhecimento ou um serviço especializado para verificação periódica, sem plano de tratamento dos riscos e sem políticas que regulem o uso do ambiente por funcionários e terceiros podem ser mais comprometedores quando circunstâncias não controladas entram em cena, como, por uma determinação da alta direção, seja necessário implementar em um curto prazo canais eletrônicos para suportar uma nova demanda de negócio e os clientes.

O resultado desta equação envolvendo eventos não favoráveis mais agravamento drástico mais circunstâncias não controladas tende a ser caótico e, assim por dizer, um potencial grande desastre. Para que você não seja surpreendido, inicie uma análise sobre quais os eventos potenciais (vulnerabilidades conhecidas e riscos não tratados) que ameaçam a proteção da organização.

Quais são as situações (atitudes, orçamento, restrições, regulações e políticas internas) que agravam drasticamente os riscos? Quais situações que você não controla (novas demandas da alta direção, novas ameaças ao negócio, entre tantas outras situações que podem ocorrer sem a sua previsibilidade)?

Por fim, para reflexão, pode até ser que não consiga fugir da “tempestade perfeita”, mas, ao se preparar melhor, terá maior grau de êxito, encontrando abrigo e proteção adequada para sua organização. E ao vê-la passar, poderá coletar lições aprendidas, realimentando todo o processo de proteção exigido para o negócio. Afinal, não se iluda, você sabe que a encontrará novamente no futuro, mais forte e com mais disposição de causar estragos.

 

(*) Cristiano Pimenta é diretor de serviços da Arcon



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui