Segurança Cibernética e sua Carreira. A segurança cibernética é a proteção de sistemas conectados à Internet, incluindo hardware, software e dados, de ataques cibernéticos.
Em um contexto geral de computação, a Segurança da Informação compreende Segurança Cibernética, Segurança Física, Segurança de TI e Segurança de Pessoas – todas são usadas pelas empresas para proteger contra o acesso não autorizado à informação, seja em datacenters e sistemas locais ou em nuvem e quaisquer outros sistemas computadorizados. A segurança da informação, segundo seu modelo clássico é projetada para manter a confidencialidade, integridade e disponibilidade de dados, sendo a Segurança Cibernética um subconjunto com foco no ambiente online.
Além do conceito clássico de Confidencialidade, Integridade e Disponibilidade, gosto de acrescentar conceito modernos como Autenticidade, Legalidade, Auditabilidade e Não Repúdio, pois estes são conceitos que são podem ser relegados a uma subcategoria nos dias de hoje.
Falar de Segurança Cibernética exclusivamente é concentrar em um subconjunto importante da Segurança da Informação, e que cada vez mais toma forma e induzem a criação de leis e regulamentações específicas. Como exemplo podemos citar a Regulamentação 4658 do Bacen e a LGPD, que devido a uma grande preocupação com os vazamentos de dados online e o risco sistêmico dos ataques cibernéticos e do uso de empresas terceirizadas em cloud, vieram regulamentar e normatizar critérios e penalidades sobre a proteção de dados nestes ambientes.
Elementos de segurança cibernética
Garantir a segurança cibernética requer a coordenação de esforços em todo o sistema de informação, que inclui:
- Segurança de aplicativos
- Segurança de cloud
- Segurança de rede
- Recuperação de desastres / planejamento de continuidade de negócios
- Segurança operacional
- Educação do usuário final
Um dos elementos mais problemáticos da segurança cibernética é a natureza em constante evolução dos riscos de segurança. A abordagem tradicional tem sido concentrar os recursos em componentes cruciais do sistema e proteger contra as maiores ameaças conhecidas, o que significa por vezes não proteger os sistemas contra riscos menos críticos.
Para lidar com o ambiente atual, as organizações estão promovendo uma abordagem mais proativa e adaptativa. O National Institute of Standards and Tecnology (NIST), por exemplo, publicou recentemente diretrizes atualizadas em sua estrutura de avaliação de risco que recomendam uma mudança para monitoramento contínuo e avaliações em tempo real.
O Framework do NIST, como ele mesmo define é “uma orientação voluntária, baseada em padrões, diretrizes e práticas existentes para que as organizações gerenciem melhor e reduzam o risco de segurança cibernética. Além de ajudar as organizações a gerenciar e reduzir riscos, ele foi projetado para promover a comunicação de gerenciamento de risco e segurança cibernética entre as partes interessadas organizacionais internas e externas.“
O Framework de Cibersegurança do NIST foi construído em um processo evolutivo inciado em 2013 através da Ordem Executiva 13636 assinada pelo então Presidente Obama em 12 de fevereiro de 2013. A Ordem Executiva delineou vários objetivos para estabelecer uma estrutura de segurança cibernética para ajudar a proteger a infra-estrutura crítica da nação americana. A partir da Ordem Executiva sucederam-se constantes atualizações até chegar à Versão 1.1 do Cybersecurity Framework em 2018.
A estrutura do Framework de Cibersegurança do NIST foi desenvolvida para uso nos setores bancário, de comunicações, defesa e energia, mas pode ser adotada por todos os setores, incluindo governos federal, estaduais e demais empresas do setor provado.
Como resultado dos riscos de segurança, os investimentos em tecnologias e serviços de segurança cibernética estão aumentando globalmente. Em 2017, o Gartner previu que os gastos mundiais com produtos e serviços de segurança da informação chegariam a US$ 83,4 bilhões – um aumento de 7% em relação a 2016, US$ 93 bilhões em 2018. – e que continuaria crescendo nos anos seguintes.
Tipos de ameaças de segurança cibernética
O processo de acompanhar novas tecnologias, tendências de segurança e inteligência de ameaças é uma tarefa desafiadora. No entanto, é necessário proteger as informações e outros ativos contra ameaças cibernéticas, que assumem várias formas.
- O ransomware é um tipo de malware que envolve um invasor que bloqueia os arquivos do sistema da vítima – normalmente por meio de criptografia – e exige um pagamento para descriptografá-los e desbloqueá-los.
- Malware é qualquer arquivo ou programa usado para danificar um usuário de computador, como worms, vírus de computador, cavalos de Tróia e spyware.
- A engenharia social é um ataque que depende da interação humana para induzir os usuários a violarem os procedimentos de segurança, a fim de obter informações confidenciais que normalmente são protegidas.
- O phishing é uma forma de fraude em que emails fraudulentos são enviados e procuram se passar por e-mails de fontes confiáveis; no entanto, a intenção desses e-mails é roubar dados confidenciais, como cartão de crédito ou informações de login.
O que a Segurança Cibernética pode impedir
O uso dos frameworks de segurança cibernética pode ajudar a prevenir ataques cibernéticos, violações de dados, roubo de identidade e pode ajudar no gerenciamento de riscos.
Quando uma organização tem um forte senso de segurança de rede e um plano efetivo de resposta a incidentes, é mais capaz de prevenir e mitigar esses ataques. Por exemplo, a proteção do usuário final defende as informações e protege contra perda ou roubo ao mesmo tempo em que verifica os computadores em busca de códigos maliciosos.
Um bom programa de Segurança Cibernética considera todas as camadas de negócios envolvidas nos processos da empresa, sempre com o foco em proteger os ativos da empresa e gerar valor ao acionista.
No ataque do ransomware WannaCry que alarmou o mundo pela rapidez com que se espalhou e o alto potencial de danos, vimos muitos países de primeiro mundo sendo afetados, países como Espanha, Inglaterra e Rússia estiveram entre os mais afetados, o Brasil foi o quinto mais afetado pelo ataque. temos notícias de empresas como a Telefônica teriam sido seriamente afetadas nestes países.
Não temos dúvidas do alto investimento em tecnologia de segurança e monitoração de ataques que estas empresas tem realizado ao longo dos anos, por isto é improvável que buscar apenas mais investimentos fechará todas as portas de nossa empresa para os ataques, discordar desta afirmativa é o mesmo que considerar que a empresas afetadas não possuem sistemas de ponta na proteção de seus ambientes digitais.
Consideramos que o problema encontra-se combinada na forma de investimento, na educação dos usuários e na conscientização dos executivos de que 100% de Segurança, além de impossível, é muito caro, talvez inviável, para a empresa.
Pesquisas nos apontam que a maioria dos ataques de ransomwares acontecem por e-mail fontes que exploram o elo mais fraco da segurança que é o usuário. A partir daí o código malicioso explora as vulnerabilidades existentes nos sistemas
Por isto, investir pesadamente em sistemas de detecção, monitoração e controle de executáveis, por si só, não garante que o ambiente esteja salvo das ameaças.
Carreiras em segurança cibernética
À medida que o cenário de ameaças cibernéticas continua a crescer e as ameaças emergentes, como a Internet das coisas, exigem habilidades de hardware e software, estima-se que existam 1 milhão de empregos de segurança cibernética não preenchidos em todo o mundo. Profissionais de TI e outros especialistas em informática são necessários em tarefas de segurança, como:
- Diretor de segurança da informação (CISO): esse indivíduo implementa o programa de segurança em toda a organização e supervisiona as operações do departamento de segurança de TI;
- Engenheiro de segurança: esse indivíduo protege os ativos da empresa contra ameaças com foco no controle de qualidade dentro da infraestrutura de TI;
- Arquiteto de segurança: esse indivíduo é responsável por planejar, analisar, projetar, testar, manter e suportar uma infra-estrutura crítica de uma empresa; e
- Analista de segurança: esse indivíduo tem várias responsabilidades que incluem o planejamento de medidas e controles de segurança, a proteção de arquivos digitais e a realização de auditorias de segurança internas e externas.
À medida que as ameaças cibernéticas se tornam mais incessantes e maliciosas, o trabalho de um CISO e sua equipe de especialistas é cada vez mais difícil, e o desafio de proteger os dados corporativos, de clientes e funcionários, juntamente com a propriedade intelectual, torna-se ainda mais desafiador.
As pessoas contratadas para estes cargos devem entender como reagir durante uma crise cibernética, a fim de ajudar a mitigar quaisquer danos e gerenciar a estratégia de segurança corporativa, juntamente com o suporte e interação com o C-Level.
Um ataque cibernético pode pegar qualquer empresa de surpresa. Dependendo da rapidez e eficiência com que a equipe de segurança e o CISO respondem, pode definir o grau de quanto dano é causado à reputação da empresa e e o impacto financeiramente. Quando a equipe de segurança é preparada e alinhada com outros profissionais de tecnologia, de negócios e com o C-Level, é possível minar alguns dos efeitos negativos do ciberataque.
Segundo o ISC2, o deficit de mão de obra de cibersegurança está em ritmo acelerado e deverá atingir 1,8 milhões em 2022 – um aumento de 20% desde 2015. 35% dos trabalhadores na América do Latina acreditam que esta falta de mão de obra é devido à falta de pessoal qualificado e 45% acreditam que os líderes não compreendem as necessidades da área.
67% dos respondentes da pesquisa do ISC2 da América Latina reportam número insuficiente de profissionais na área de Segurança da Informação, por isto existe uma lacuna importante que pode ser explorada por que quer crescer na carreira, ao mesmo tempo existe um desafio grande para as empresas a fim de manterem seus profissionais mais talentosos. (veja: Segurança Cibernética sofre com Baixa Qualificação e Retenção de Talentos)
Planejar é preciso
Como resultado para que possamos aumentar a resiliência e a maturidade da Segurança Cibernética, e por que não da Segurança da Informação, precisamos considerar que planejar adequadamente o investimento e estar antenado e em constante aprendizado profissional são fundamentais para a redução de risco cibernético e para aproveitar as melhores oportunidades da carreira de especialista de segurança.
Embora tenhamos observado um contínuo crescimento dos ataques cibernéticos, muitas empresas continuam tratando a Segurança da Informação de forma desestruturada e não prioritariamente.
Na minha leitura, embora seja notório a escassez de investimento financeiro e de recursos na área, acredito que parte do problema é devido à falta de planejamento adequado da área. No entanto, o escasso budget da área e a falta de preparo dos profissionais, principalmente quanto a visão das necessidades de negócios, acaba focando os investimentos na compra de softwares de proteção, atualização ou mesmo automatização de processos, porém estrategicamente deveríamos começar nosso investimento na ampliação da nossa visão profissional e pelo Security Risk Assessment.
Pesquisa de Segurança da Informação de 2018 da PwC, que pesquisou mais de 9 mil executivos de negócios e tecnologia em todo o mundo, descobriu que mais de um quarto (28%) não sabe quantos ataques cibernéticos sofreram no total e um terço também não sabem como eles ocorreram. Enquanto alguns incidentes de segurança são o resultado de atacantes de alto nível usando técnicas avançadas para disfarçar suas atividades, a grande maioria dos casos são causados por falhas de segurança comuns e podem ser facilmente evitadas com uma melhor governança e controle de processos.
Talvez o passo mais importante que uma organização possa tomar para melhorar sua segurança seja investir na qualificação de seus profissionais, valorizar e reter seus talentos realizar, bem como investir em uma avaliação de risco de Segurança da Informação completa. Isso é crucial para entender os gaps de formação, conhecimento da equipe, bem como onde as maiores vulnerabilidades dentro da organização estão e quais ameaças potenciais internas e externas a empresa pode estar enfrentando.
Qualquer empresa tentando criar uma estratégia de Segurança da Informação sem este conhecimento simplesmente estará jogando dinheiro fora. Acredito que esta abordagem certamente diminuirá os erros básicos no gerenciamento das equipes de segurança e na proteção da informação, que possibilitam ataques e levam à violações acidentais ou propositas.
Por: Kleber Melo - Sócio Diretor da MindSec e HRO da CYB3R Security Operations
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Funcionários acreditam que a empresa não tem propriedade exclusiva sobre os dados
- Mulheres ganham espaço em Cybersecurity
- Hackers podem ignorar o Windows Lockscreen em sessões de RDP
- G-SUITE armazenou senha de usuários corporativos em claro por 14 anos
- 50.000 servidores MS-SQL, PHPMyAdmin infectados na campanha Nansh0u
- A hora de racionalizar as camadas de proteção de segurança
- Japan restringe capital estrangeiros em indústrias de tecnologias nacionais
- Estudo aponta que 23,2 Milhões usam 123456 como senha e outros 7,7 Mi usam 123456789
- Laptop com 6 malwares é leiloado por US $ 1,2 milhão no EUA
- Dados de 49 Milhões de usuários do Instagram expostos online
- Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos
- CEOs ganham mais após empresas sofrerem Ciberataques
- Vulnerabilidade de execução remota de código “Wormable” crítica no Windows RDP
Deixe sua opinião!