*Por Marco Ribeiro
Passado todo o pavor dos
ataques que ocorreram no mundo todo no dia 12 de maio, agora é hora de
racionalizar. Infelizmente vejo que este foi apenas o primeiro de uma
série de ataques, visto que com os vazamentos de artefatos utilizados pelas
agências de inteligência americanas, temos grandes chances de estarmos diante
de uma nova ameaça tão pior quanto esta primeira. Como já é sabido, ataques de
ransomware já foram usados antes e ataques explorando as vulnerabilidades dos
sistemas Windows não são novos. Então, por que esse ataque teve um impacto tão
grande?
Mesmo com as vulnerabilidades
conhecidas, o sucesso do ataque está no fato das organizações continuarem a
protelar, ou a não tomarem ações adequadas de correção ou mitigação de sua
exposição deixando de atuar continuamente nessas e outras crescentes ameaças.
Em algumas ocasiões acabam passando ilesas porém em algum momento as lições
podem ser dolorosas.
Chegou a hora de reconhecer
que outros ataques cibernéticos tendem a ser cada vez mais sofisticados e mais
frequentes ao longo deste ano. Na prática, as organizações devem voltar sua
atenção a avaliar seu ambiente de tecnologia, principalmente aquelas que contam
com integrações de sistemas embarcados, dispositivos médicos e sistemas de
controle industrial para projetar defesas adequadas e que protejam e preservem
as pessoas e o negócio.
É importante também educar-se
de que, a defesa cibernética, não é uma mera lista de testes e verificações, um
projeto único e pontual, ou um esforço que termina ao alcançarem um certo
marco. A defesa cibernética é um processo contínuo, periódico e quiçá
interminável, de aperfeiçoamento do ambiente de tecnologia para se prevenir e
agir proativamente contra ameaças em rápida evolução.
Pensando nisso, listo abaixo
as principais ações práticas que as organizações devem adotar imediatamente.
- Realizar
um inventário dos ambientes tecnológico da organização, visto que não é
possível proteger infraestrutura, conexões, sistemas, aplicações e
integrações que não conhecemos.
- Garantir
que as atualizações necessárias estejam aplicadas, e que métodos seguros
de desenvolvimento de software e integração de sistemas e ambiente fazem
parte da rotina.
- Para
ambientes críticos que não podem ser atualizados da forma adequada como
dispositivos médicos, sistemas de controle industrial e ambientes legados,
o ideal é implementar controles mitigatórios para protegê-los, tais como
segmentação de redes e filtros de acesso.
- Promover
a cultura e educação dos colaboradores quanto a segurança da informação,
com conscientização adequada, personalizada, e que seja tangível para
todos.
- Garantir que o processo de avaliação de riscos
considere as ameaças cibernéticas mais de uma vez por ano, já que as
ameaças evoluem rapidamente.
- A
organização deve possuir um plano de gestão de crises e resposta a
incidentes robusto e atualizado, revisitado a cada três meses, e realizar
treinamentos e ensaios desse plano através de simulações, como war
games e exercícios teóricos.
- Revisar
os planos de recuperação de desastres e de continuidade dos negócios da
organização.
- Garantir
que as defesas cibernéticas estão adequadas a necessidade do negócio e da
organização, com orçamento adequado para sua manutenção e atualização,
gerenciada por equipe capacitada e habilitada para administrar os
crescentes riscos e ameaças.
O massivo ataque global do
dia 12 é mais um exemplo de que a segurança cibernética é um dos maiores riscos
para as empresas. Devemos nos preocupar em garantir que o ambiente tecnológico
está amparado e protegido com controles amplos de cibersegurança, e que contem
com governança, gestão e monitoramento adequados. Este primeiro ataque é um
“sinal de alerta”, conforme nossa análise, visto que com a quantidade de
“matéria-prima” disponível na Internet, muito mais ainda esta por vir.
*Marco Ribeiro é sócio-diretor de Technology Consulting e Cybersecurity da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.