POSICIONAMENTO da TIVIT sobre novo vazamento de dados. Após a divulgação do novo vazamento de dados publicados no Pastebin, a TIVIT nos enviou o seguinte posicionamento:
“A TIVIT comunica que as informações publicadas na data de hoje, 08.01.2019, são provenientes do mesmo incidente de segurança ocorrido e noticiado em dezembro de 2018. Trata-se, portanto, apenas de uma publicação de informações relacionadas ao incidente anterior. Os clientes envolvidos já foram notificados e as ações cabíveis foram tomadas em comum acordo com eles. Reforçamos que não houve nenhum tipo de invasão aos data centers da empresa, das redes de acesso da TIVIT ou de nossos clientes”
fonte: setor de comunicações da TIVIT
Independente de ser um segundo ataque ou segundo vazamento, o fato é que mais dados de clientes da TIVIT foram publicados, quanto mais ainda está nas mãos dos ofensores deste evento?
O importante é que sabemos que a TIVIT, incluindo nossos colegas da área de Segurança da Informação, devem estar trabalhando muito para descobrirem a origem e garantir que novos eventos não aconteçam, enquanto isto estamos atentos aos eventos que nos cegam externamente.
Mitigando o Risco
Nossa visão é que para diminuir o risco de ocorrência iguais a da TIVT, é necessário planejar adequadamente o investimento é fundamental para a redução de risco cibernético da empresa ou em terceiros.
Embora tenhamos observado um contínuo crescimento dos ataques cibernéticos, muitas empresas continuam tratando a Segurança da Informação de forma desestruturada, sem prioridade e não baseada no risco de segurança.
Na minha leitura, embora seja certo a falta de investimento financeiro e de recursos na área, acredito que parte do problema é devido à falta de planejamento adequado da área. No escasso budget a prioridade acaba sendo a compra de softwares de proteção, atualização ou mesmo automatização de processos, porém estrategicamente deveríamos começar nosso investimento pelo Security Risk Assessment.
Pesquisa de Segurança da Informação de 2018 da PwC, que pesquisou mais de 9 mil executivos de negócios e tecnologia em todo o mundo, descobriu que mais de um quarto (28%) não sabe quantos ataques cibernéticos sofreram no total e um terço também não sabem como eles ocorreram. Enquanto alguns incidentes de segurança são o resultado de atacantes de alto nível usando técnicas avançadas para disfarçar suas atividades, a grande maioria dos casos são causados por falhas de segurança comuns e podem ser facilmente evitadas com uma melhor governança e controle de processos.
Talvez o passo mais importante que uma organização possa tomar para melhorar sua segurança é realizar uma avaliação de risco de Segurança da Informação completa. Isso é crucial para entender onde as maiores vulnerabilidades dentro da organização estão, bem como quais potenciais ameaças externas podem estar enfrentando. Qualquer empresa tentando criar uma estratégia de Segurança da Informação sem este conhecimento simplesmente estará jogando dinheiro fora.
Esta abordagem certamente diminuirá os erros básicos no gerenciamento de segurança que permitem ataques e levam a violações acidentais.
Uma avaliação de risco abrangente deve levar em consideração os domínios da ISO 27001:
- Política de Segurança
- Organizando a Segurança da Informação
- Segurança em Recursos Humanos
- Gestão de Ativos
- Controle de Acessos
- Criptografia
- Segurança Física e do Ambiente
- Segurança nas Operações
- Segurança nas Comunicações
- Aquisição, Desenvolvimento e Manutenção de Sistemas
- Relacionamento na Cadeia de Suprimentos
- Gestão de Incidentes de Segurança da Informação
- Gestão da Continuidade de negócios
- Conformidade
Desta forma, avaliar somente os quesitos de TI ou não incluir uma avaliação dos serviços prestados por terceiros deixaria uma brecha importante (os cliente da TIVIT que o digam), pois sabemos que os atacantes utilizam-se de técnicas de Engenharia Social pra burlar os controles tecnológicos e muitos dos maiores incidentes que noticiamos aqui no Blog Minuto da Segurança tiveram como origem prestadores de serviços.
Com isso em mente, uma avaliação minuciosa não é uma tarefa pequena, e geralmente requer uma grande quantidade de planejamento e preparação para executar.
Devido a complexidade e o detalhamento requerido, as empresas precisam basear suas avaliações em torno de um framework de avaliação de risco, se possível incorporando elementos e características internas da empresa para que os resultados sejam adequados.
Uma opção para a avaliação de risco é uma combinação baseada na ISO 27001, combinada com Cobit ou NIST, 800-53 e o NIST Cybersecurity Framework (CSF)
Para saber mais fale com MindSec . A MindSec atua com clientes na realização do Security Risk Assessment, na criação do Maturity Model e na criação do planejamento estratégico, consulte nosso representante contato@mindsec.com.br
Por: Kleber Melo - Sócio Diretor & Consultor da MindSec Segurança e Tecnologia da Informação.
Veja também:
- Novo Vazamento de Dados na TIVIT
- Vaza dados e senhas de clientes da TIVIT
- POSICIONAMENTO TIVIT sobre vazamento de dados de clientes
- O que aprendemos com o vazamento da TIVIT ?
- Censura Chinesa treina jovens a buscar conteúdo proibido online
- +2,4 milhões de dados de usuários do gerenciador de senhas do Blur foram expostos on-line
- Dados de 120 Milhões de brasileiros é exposto na internet
Deixe sua opinião!