O vírus WannaCry que propagou uma onda de terror mundo cibernético no último dia 12 de maio, evidenciou ao mundo o quão frágil podem ser nossas proteções e o quão vulnerável podemos estar, portanto é importante refletirmos sobre o ocorrido e, como em todas as situações de crise, aprendermos nossas lições.
Este artigo tem a intenção de fomentar a reflexão sobre o nosso estado de proteção, e porque não dizer, de conforto e isolamento. Não queremos que o leitor encerre aqui a reflexão e possa ir ainda mais além, saindo da zona de conforto e enfrentando de frente os dragões que existem dentro da empresa.
Então dito isto vamos ás nossas reflexões:
- Patch Management
Este é um assunto recorrente e crítico em TI, é simples dizer que devemos ter as máquinas com todas as atualizações instaladas, porém é extremamente complexo atendermos a esta condição. Aplicar patches de correções, não é tão simples como parece porque dependemos de testá-los nas inúmeras configurações e aplicativos existentes na organização, por isto, embora a Microsoft na versão do Windows 10, tenha tentado resolver a fórcepts a problemática, nos parece fundamental revisar a política de patch management para a saúde da empresa e deixar nossos interlocutores das áreas de negócios e controles internos cientes que, por melhor que formos, sempre existirá um risco resiliente entre o período de descoberta da vulnerabilidade e a aplicação da correção.
- Continuidade de Negócios
Regularmente notamos que a área de Continuidade de Negócios se posiciona fora estrutura de Segurança da Informação, de longe isto não é um problema e de certa forma é recomendável, o que não se pode é serem tão isoladas uma da outra que na ocorrência de uma crise desta natureza, apenas se afirme “o problema de vírus é com a segurança” . De outra forma, também é importante que se faça distinção entre Plano de Continuidade e Plano de Contingência, pois embora está última esteja contida na primeira ela não substitui ou é suficiente em caso de crises tecnológicas. Uma boa proteção passa pela integração da Segurança da Informação com as áreas de Tecnologia e Continuidade de Negócios.
- Proteção Periférica
A Segurança não se faz em uma única camada de proteção, por isto a implementação de soluções camadas é a que mais traz benefícios a proteção da empresa. isto significa que em casos ameaça de infecção por vírus, o antivírus não é suficiente e proteções adicionais como: firewall, controle de aplicações, proteção de email gateway, proteção de navegação web e outras, devem ser adotadas como práticas de proteção contra infecções e não somente como controle de vazamento de informação. Importante frisar que este conceito certamente alterará a forma com que as soluções são implementadas.
- Disponibilidade
A Segurança é estabelecida no tripé Confidencialidade, Integridade e Disponibilidade (sendo mais atualizado no conceito, acrescentaríamos “Auditabilidade”), porém vemos na prática que a área de Segurança tem sido pressionada a trabalhar soluções para garantir a Confidencialidade das informações, e muito menos a Integridade e Disponibilidade. No entanto ameaças como o WannaCry afetam diretamente a Integridade e a Disponibilidade dos recursos computacionais. O que falar então da “Auditabilidade” ? É hora de revisitar estes conceitos e sua estratégia.
- Arquitetura
Com a recomendação do Banco Central Brasileiro de separar a área de Segurança da área de Tecnologia, devido a evidente conflito de interesses, as empresas, em especial os bancos neste caso, ainda não encontraram uma forma adequada de equacionar esta recomendação. Vemos SI sendo colocadas sob a gestão de RH, de Risco Operacional, de Segurança Física, Jurídico e outras hierarquias, porém todas elas barram nas gestões egocêntricas e falta de preparos dos líderes destas áreas para compreenderem que embora exista uma Segurança de Informação, ainda existe uma Segurança de TI a ser conduzida e implementada, por isto é fundamental que embora SI possa ser movida para fora da área de Tecnologia ela ainda é fundamental nas discussões de arquitetura de redes, servidores e sistemas. Acredito que no caso do WannaCry uma boa contribuição de SI seria a discussão sobre segmentações de rede e arquitetura de compartilhamento e nuvem.
Assim podemos concluir que não existe uma forma única de implementar segurança e fortalecer os controles contra ameaças do tipo ransomware, no caso o WannaCry e suas variações, o importante e fundamental é a integração ampla e ativa dos profissionais de Segurança com as demais áreas de Tecnologia e Continuidade de Negócios. Por último deixamos também o registro que o profissional de segurança deve se atualizar e expandir o seu conhecimento para além dos badalados testes de invasão e “hackeísmo“, Segurança se trata de Confidencialidade, Integridade, Disponibilidade e Auditabilidade.
por MindSec
Be the first to comment