Gestão de Riscos: Encontros com cobras e lagartos (anfíbios na verdade!)

GERENCIAR RISCOS É UMA DISCIPLINA QUE REQUER UMA VISÃO REALMENTE HOLÍSTICA. Se você não consegue visualizar o todo, é bem provável que seu trabalho vá por água abaixo, pois dificilmente você vai identificar o relacionamento real entre as possíveis fontes de ameaças, vulnerabilidades, o nível de exposição e apetite de riscos. Sem isso, não é viável projetar controles efetivos e garantir a proteção necessária.

Em meu tempo como consultor, realizar análises de risco sempre foi um trabalho muito divertido que francamente me atraia bastante. Afinal, como um carinha da TI raiz, costumeiramente a maior parte das minhas atividades era sentando em frente a um monitor (ou vários), em um local climatizado. A mudança de ares mais que despertava minha curiosidade.

Nesse ponto, me sinto muito afortunado. Tive a oportunidade que tive de conhecer os mais diversos tipos de negócios e ambientes fabris durante análises de risco: indústria alimentícia, naval, têxtil, metal-mecânica, bancos, hospitais, universidades, grupos varejistas, grandes provedores de serviço de TI, são alguns dos exemplos que me vem a mente.

Durante essas análises, a metodologia mais comum é avaliamos os riscos humanos, naturais, físicos e tecnológicos. Basicamente você entra em contato com todo tipo de situação que seria engraçada se não fosse trágica. Já encontrei uma garrafa de Black Label escondida dentro de um Datacenter (a equipe tinha recebido de um fornecedor e não queria ter que sortear), em outro caso uma empresa resolveu construir uma pista de pouso particular diretamente alinhada com o Datacenter, que ficava a poucas centenas de metros da cabeceira. Reza a lenda que o site de backup ficava na outra ponta da pista, mas ai já seria demais. Em outro local havia um grande depósito de combustível ao lado do.. Dacatencer. É, nessas horas parece que não há exatamente muito amor pela proteção dos dados corporativos.

Uma das situações mais engraçadas foi quando estava realizando um trabalho para uma indústria de geração de energia eólica. A empresa possuía vários sites para seus aerogeradores, que obviamente contavam com infra de TI, em meio a locais razoavelmente inóspitos. Na maioria dos casos a estrutura ficava em meio a dunas, muito calor, compensando por uma bela visão do mar.

Em uma visitas nesses locais, quando fui inspecionar um rack de telecom, um funcionário gritou: PARE! NÃO MEXE NESSE RACK! Eu meio que tomei um susto, estava acompanhado por uma pessoa da empresa e devidamente autorizado a realizar a inspeção. Esse não era o problema. Me explicaram que nas ultimas semanas haviam encontrado vários ofídios no local.

Bem, como profissional de segurança, eu consigo ver o valor de proteção para um ambiente de TI que usa cobras passando em meio aos cabos de rede, mas realmente não acho que seja algo muito prático no momento de manutenções. O engraçado é que em outro site do cliente descobrimos uma infestação de rãs. Sim! Os pequenos sapinhos haviam tomado conta do sistema de ar condicionado local, estavam presentes em todos os racks e ameaçavam causar danos sérios aos equipamentos de TI. Duvida? Segue ai uma pequena evidência do causo:

Sim, são rãs infestando o ar-condicionado e o rack

Enfim, a época, não encontramos exatamente uma solução que fosse além sugerir entrar em contato com o IBAMA e fechar qualquer fresta que desse acesso a tubulação. Ambos locais ficavam em uma área de proteção ambiental e não existia qualquer possibilidade de remover a fauna local ou de usar as cobras para solucionar os problemas com as rãs.

Fica ai a dica, em se tratando de gestão de riscos, TI pode ser o menor dos seus problemas, muitas vezes é preciso um olhar que está fora, muito fora da caixa.

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

Ameaças internas e cibersegurança: quais os impactos reais e controles mais efetivos?

QUANDO O ASSUNTO É CIBERSEGURANÇA TENDEMOS A FOCAR EM COMO NOS PROTEGER DO MUNDO EXTERNO EM DETRIMENTO DAS AMEAÇAS INTERNAS. Não que isso esteja exatamente errado: Ransonwares, ataques de negação de serviço, cibercriminosos em todos os locais do planeta e um número impossivelmente alto de fontes de ameaça e vulnerabilidades que podem expor o ambiente corporativo são o pesadelo para qualquer gestor de segurança da informação.

O problema é quando passamos a minimizar os controles que são direcionados para ameaças dentro de casa, incluindo nossos próprios colegas de trabalho, terceiros contratados ou visitantes. Não é nada interessante pensar que a pessoa que está sentada próximo a você pode estar pronta para cometer um ciberdelito, mas a realidade é que fontes internas podem ser tão ou mais impactantes que ataques externos, afinal, possuem conhecimento adquirido sobre o funcionamento da empresa, seus pontos fortes e fracos, e também credenciais e senhas de acesso válidas, que podem ser usadas como base para ataques extremamente direcionados que muitas vezes passam desapercebidos. Todo bom CISO deve buscar meios para frustrar ameaças internas. Mas qual é a maneira realmente efetiva de encarar esse desafio? Bem, vamos a alguns pontos essenciais:

Passo 1: Reconhecendo os tipos de ameaças internas

O primeiro ponto é bastante obvio, é necessário que você entenda as fontes de ameaça internas. Muitos incidentes de segurança ocorrem de maneira acidental, devido a falta de regras ou conhecimento por parte dos envolvidos. Um dos mais comuns são casos onde um colaborador sai da empresa e leva junto um “backup” dos seus e-mails, planilhas e documentos. Malicia? Imperícia? Imprudência? Não importa, é um vazamento de informações corporativas que podem ir parar nas mãos de concorrentes.

Os casos de incidentes deliberados também não são raros. Tive a oportunidade de prestar consultoria a uma empresa que teve o infeliz caso onde um setor inteiro pediu demissão. Haviam copiado todos os arquivos de projetos estratégicos, abriram uma nova empresa e em seguida venceram uma concorrência de mais de USD 10.000.000 que meu cliente estava trabalhando há mais de dois anos.

Pequenos abusos de privilégio também não são incomuns, especialmente dentro da área de TI. Por exemplo, enquanto é difícil encontrar pessoas que “adoram” seguir o processo de gestão de mudanças, não é nada raro ter conhecimento de casos onde a própria equipe de TI burlou regras e, por exemplo, implantou algo diretamente em produção. Parece algo inconsequente, não é? Até um outro cliente me contar como uma pequena alteração em configurações do seu firewall tornaram o sistema de vendas por cartão de crédito inoperante. Era uma grande empresa varejista brasileira, como a paralisação durou em torno de 2 horas, o montante de vendas perdido superou R$ 20.000.000,00 (sim, o valor foi esse mesmo, não errei na digitação…). Foi um preço bem alto para convencer a direção da necessidade de se implantar um plano de recuperação de desastres e melhorar boas práticas de gestão de serviços de TI.

Por fim, a infeliz realidade é que toda grande organização está sujeita a ter em seu quadro pessoas que são literalmente criminosos. Ocorrências de vendas de informações, sabotagens, espionagem, hacking, fraudes e corrupção são muito mais comuns do que imaginamos e – novamente – em boa parte das vezes não são descobertas a tempo.

Passo 2: Gerenciando riscos internos

Entender as fontes de ameaça é um ponto essencial, mas apenas isso não vai impedir a ocorrência de incidentes. Construir uma boa gestão de riscos é fundamental, assim como entender que o seu escopo deve estar alinhado a realidade da empresa. O que queremos proteger? Quais são os impactos reais que ocorrências de segurança podem causar? Quais são os controles atuais de segurança da informação e o que ainda precisamos implantar para garantir níveis adequados de proteção?

Todas essas são questões que devem ser respondidas não só uma vez, mas sim periodicamente, afinal a gestão de riscos é um processo contínuo, que vai exigir investimento e disciplina para poder ser realmente efetivo. Existem diversas publicações que podem ajudar CISOS a implantar um bom programa de gerenciamento de riscos, mas como o tema é segurança da informação recomendo particularmente a ISO 27005 em conjunto com o CobiT 5.

Passo 3: Usando a tecnologia para se proteger de ciberameaças

Existem inúmeras soluções focadas na proteção contra as mais recentes ciberameaças. Se você já sabe o que realmente precisa proteger, busque entender como a tecnologia pode trabalhar a seu favor. Machine Learning, IA, ATP, DLP são todas buzzwords que ficam maravilhosas em apresentações no Power Point, mas entenda que soluções tecnológicas devem estar bem alinhadas com a sua gestão de riscos. Afinal, comprar uma ferramenta apenas por que ela aparece como líder no quadrante mágico do Gartner pode ser um péssimo investimento se você não conseguir realizar o tratamento de riscos específicos ao seu cenário atual.

Será que estamos olhando para soluções que pensam somente nos riscos externos? Será que parte dos controles essenciais que usamos em sistemas publicados na internet não são deixados de lado quando são acessados apenas dentro de casa? Como andam suas trilhas de auditoria? Você consegue identificar quem fez o que e quando? Essas são perguntas que devem ser respondidas para tratar ameaças internas.

99% bom funcionário.. mas aquele 1% é cibercriminoso 🙂

Passo 4: Entendendo a importância dos processos para Segurança da Informação

Tecnologia não é o único fator que vai garantir uma boa proteção ao seu ambiente. Criar processos adequados a sua realidade deve ser uma prioridade para a gestão de segurança da informação. Uma boa gestão de identidades pode prevenir muitos casos de vazamento ou abuso de privilégios. Outro ponto interessante é ter um bom alinhamento com o departamento de recursos humanos, e em alguns casos específicos com o jurídico, sobre verificação de antecedentes e saúde financeira de novos colaboradores ou mesmo veteranos que ocupam posições críticas na organização. Esse é um tema delicado, mas um empregado que está passando por uma situação financeira difícil e tem acesso a ativos estratégicos da organização, pode se sentir tentado a cometer fraudes ou mesmo participar em ações de espionagem industrial, venda de informações sensíveis.

Um dos processos mais importantes é o de resposta a incidentes de segurança da informação. Muitas ocorrências passam dias, meses ou mesmo anos até ser descobertas. Nesse caso a única opção é aprender com os erros e assumir o impacto. Idealmente, uma boa gestão de incidentes deve ser efetiva na detecção e resposta de ocorrências de segurança independentemente se a origem é interna ou externa.

O fato é que processos são vivos, precisam amadurecer constantemente e tirar lições aprendidas de desvios e ocorrências impactantes. Mas nada disso vai bastar se sua equipe não estiver adequadamente treinada e disciplinada para seguir cada passo necessário. Processos que não são respeitados tendem a ser contornados e esquecidos, só são realmente lembrados quando algo dá errado, o que é bem provável nesse cenário.

Passo 5: Educando pessoas e mudando a cultura corporativa

Educação e cultura corporativa são os dois pontos relacionados a Segurança da Informação que mais me chamam atenção nos últimos anos. Infelizmente boa parte das vezes ambos são postos de lado justamente por que falta uma percepção real de sua importância como ferramenta disruptiva para criação de um novo patamar de proteção.

Pessoas muitas vezes são vistas como o elo mais fraco na segurança da informação, mas quando adequadamente treinadas e conscientes da importância que possuem na proteção do ambiente corporativo, funcionam extremamente bem como firewalls humanos. O primeiro passo é ter um bom entendimento da atual cultura corporativa buscar o apoio da alta direção na criação de um programa de conscientização sobre segurança da informação.

Mudar a forma como pessoas pensam e agem é bem mais demorado do que alterar uma configuração ou implantar uma nova tecnologia, mas no longo prazo o resultado é muito mais significativo. Um programa de conscientização efetivo vai garantir que um nível adequado de educação seja entregue a todos os níveis corporativos: Colaboradores que são apenas usuários de sistemas devem ter noções das políticas e procedimentos adotados pela empresa, assim como conhecimento básico dos principais conceitos de segurança. Executivos devem estar cientes de ameaças mais avançadas/direcionadas como ataques de engenharia social e spear phishing. A equipe de segurança deve receber níveis adequados de treinamento em todas as tecnologias adotadas. E por último, mas nem um pouco menos relevante, todos devem estar cientes das consequências de se violar regras ou mesmo tentar cometer ilícitos, a organização nunca deve ter medo – e precisa ser extremamente clara – sobre como serão aplicadas sanções e punições.

Seguir esses passos garante que todas ameaças internas estarão contidas? Infelizmente não, toda boa gestão de riscos parte do princípio que certas ameaças não são completamente eliminadas, o importante é garantir níveis apropriados de tratamento aos riscos e se você adotar as recomendações acima, com certeza, é isso que vai acontecer.

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

IoT na Saúde: A sua segurança não é exatamente o que o doutor receitou!

NÃO SE ASSUSTE! Ok, você pode se assustar um pouco, é normal! Riscos em IoT (internet das coisas) não é exatamente uma novidade, mas marca-passos, bombas de insulina, desfibriladores e qualquer outro tipo de equipamento médico inteligente e interconectado representam uma das mais atemorizantes fontes de ameaça no cenário atual de cibersegurança.

A preocupação mais óbvia é com a proteção do paciente que pode ser vítima, por exemplo, de uma bomba de insulina hackeada, usada para dispensar uma dose literalmente fatal, ai não tem backup que dê jeito. A segunda grande preocupação é com a infraestrutura tecnológica de grandes hospitais e centros de saúde, que se tornam cada vez mais vulneráveis devido a quantidade de conexões, usualmente inseguras, de hardware médico embarcado com uma infinidade de sensores e monitores.

Iot, Cibersegurança e medicina

IoT na medicina: Estamos seguros?

Esse tipo de conexão insegura pode muito bem ser usado como uma porta de entrada para disseminação de códigos maliciosos ou sequestro de informações sensíveis como, por exemplo, registros médicos. Por enquanto ainda não existem registros de ciberataques fatais a pacientes, mas em 2016 não faltou exemplo de hospitais comprometidos com ransomwares.

Como esse cenário não é novo, seguimos com a vã esperança que as empresas que fabricam dispositivos médicos estejam atentas as boas práticas de cibersegurança. Preciso mesmo dizer que isso ainda não acontece? Pois é.

O atual nível de exposição de equipamento médico é bem fácil de ser comprovado. Faça uma busca simples no Shodan usando termos como “cardiologia” ou “radiologia”. É bem fácil encontrar alguns exemplos aqui do Brasil. Se você expandir a busca para termos em inglês, bem é estimado que pelo menos 40.000 equipamentos americanos estejam expostos atualmente. É difícil acreditar que todos sejam realmente seguros.

Iot, Cibersegurança e medicina

Shodan.io: Busca por cardiologia

Iot, Cibersegurança e medicina

Shodan.io: Busca por radiologia

Acredito que nem todo mundo pense em uma máquina de tomografia ou equipamentos similares como plataforma de  disseminação de um ataque, mas quando você descobre que uma parte significativa desses equipamentos ainda usa sistemas operacionais como Windows XP ou Windows Server 2003, fica fácil imaginar por que ataques como o MedJack usavam malware literalmente ancião para atacar especificamente dispositivos hospitalares.

Para o ambiente corporativo hospitalar a solução é bem conhecida, razoavelmente simples, mas talvez não seja algo exatamente fácil de implantar. Com um bom programa de gestão de riscos, você pode identificar todos os equipamentos vulneráveis e quais seriam os tratamentos adequados. O problema vai ser conseguir o apoio de fabricantes para o desenvolvimento de atualizações e correções.

Se o sequestro de informações médicas já é algo extremamente delicado, imagine que um cracker literalmente “roubou” seu coração marca-passo e está exigindo uma “doação” de bitcoins nas próximas horas para não te enviar um ataque cardíaco remoto? Não é uma situação nada agradável. Acesso wireless, monitoramento remoto, NFC, são todas conveniências que beneficiam o paciente, permitem que profissionais de saúde façam ajustes sem procedimentos invasivos, mas sem proteção adequada, se tornam pontos de alta exposição que podem literalmente acabar com vidas.

E quando o alvo for você? Será que é sensato confiarmos nossa existência aos escassos controles de segurança dos equipamentos médicos inteligentes instalados em nosso frágil e já debilitado corpo? Pelo menos por enquanto, não consigo acreditar que seja uma boa ideia. Que tal um pouco de Segurança em Camadas?

Iot, Cibersegurança e medicina

Seu corpo, suas regras de segurança!

Download gratuito: Ferramenta do NIST de excelência em cibersegurança!

SABER É METADE DA BATALHA. Essa frase (que ouvi a primeira vez vendo G.I Joe / Comandos em ação!) pode até soar como o mais velho dos clichês, entretanto não deixa de ser uma recomendação bastante prudente, especialmente quando lidamos com disciplinas estratégicas como gestão de serviços de TI, governança, continuidade de negócios e cibersegurança.

gijoe

Em termos de publicações e boas práticas, as opções são bem diversificadas. O próprio Cobit 5 é bem abrangente e, quando falamos de Segurança da Informação o processo DSS05 Manage Security Services e suas práticas são uma ótima opção para medirmos a maturidade ou mesmo melhorarmos a gestão da segurança da informação como um todo.

cobit5dss05racichart
Cobit 5 – Enabling processes – DSS05 RACI Chart

Agora, se o seu foco é ter um bom entendimento de como anda a cibersegurança na sua organização, uma publicação razoavelmente recente do National Institute of Standards and Technology (NIST) vai chamar sua atenção!

O Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita para auto avaliação. Mesmo ainda estando em rascunho (a última versão publicada pelo NIST é de setembro de 2016) o conteúdo bastante maduro e efetivo.

A ideia básica é fornecer às organizações um meio prático para compreender melhor a efetividade dos esforços de gestão de riscos de cibersegurança, ajudando líderes das organizações a identificar oportunidades de melhoria com base nas suas necessidades e objetivos de cibersegurança, bem como em suas maiores necessidades, objetivos e resultados organizacionais.

Com a auto avaliação do Baldrige Cybersecurity Excellence Builder é possível:

  • Determinar atividades relacionadas à cibersegurança que são essenciais para a estratégia do negócio e prestação de serviços críticos;
  • Priorizar investimentos na gestão do risco de cibersegurança;
  • Determinar a melhor forma para garantir que colaboradores, clientes, fornecedores, e demais parceiros estejam conscientes de riscos e de segurança e cumpram seus papéis e responsabilidades na cibersegurança;
  • Avaliar a efetividade no uso de normas, diretrizes e boas práticas de cibersegurança;
  • Avaliar os resultados dos esforços de cibersegurança; e
  • Identificar prioridades de melhoria.

A abordagem é bastante pragmática e fácil de ser seguida, mas é importante lembrar que – como qualquer tipo de auto avaliação – os resultados devem ser avaliados criticamente por uma por alguém com razoável experiência no assunto, para evitar que ocorram falhas no entendimento.

nist01 nist02

Conforme mencionado, o Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita e pode ser obtida clicando AQUI.

Ponto importante: O guia está em consulta pública, comentários e sugestões podem ser enviados para BaldrigeCybersecurity@nist.gov

Bom proveito!

Fontes:

https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence