Implementando cibersegurança desde o zero

Quando ainda não se implementou cibersegurança ou mesmo se começou a investir nela, várias perguntas surgem. Como começar? Que padrões utilizar? Que controles escolher? A tecnologia que eu escolhi realmente me protegerá dos ataques atuais?

O conceito de cibersegurança não é novo, apesar da palavra ser amplamente conhecida há pouco tempo, e ela pode ser definida como segurança da informação: proteger e gerenciar o risco relacionado com a infraestrutura computacional e a informação armazenada por essa infraestrutura, ou seja, a Matrix. 😉

Para além da responsabilidade de implementar a cibersegurança, as empresas têm que adquirir consciência de segurança, todas as equipes devem saber que o risco é real, devem crer. Se não creem que a cibersegurança é necessária, ou melhor fundamental, lamentavelmente não haverá orçamento suficiente destinado a essa frente de trabalho. Em 2019, causa estranheza que ao mesmo tempo passo em que consumimos informação através dos nossos smartphones, de um canal totalmente digital (a internet) e através do qual vejamos notícias aos montes de ataques e incidentes, ainda seja necessário desenvolver consciência. Mas confiem em mim, desenvolver a consciência é o primeiro passo. Afinal, crer é poder.

Um recurso muito utilizado para se vender segurança é através do medo, fornecedores utilizam sem cerimônia frases como “isso acontecerá, caso você não invista em segurança”, “se você não comprar minha tecnologia estará totalmente exposto”. Na ElevenPaths pensamos que a melhor ferramenta é a educação e este é o nosso foco de atuação, nos concentramos em ensinar sobre as ameaças atuais e como sua empresa pode mitigar, prevenir e responder quando ocorre um incidente.

Uma ferramenta que indicamos para educar é o site Information is Beautiful, um portal popular com várias pesquisas transformadas em infográficos, ou como o site costuma chamar, “a arte da visualização dos dados”. O nosso blog também é um repositório em que você pode encontrar diferentes posts sobre investigações relacionadas a falhas de segurança, não deixe de ler o texto sobre a palestra apresentada por nossos colegas Jaime e Pablo na RootedCON 2019.

Análise e Gestão
Em cibersegurança, esses conceitos devem andar sempre de mãos dadas, um tratando de aspectos mais técnicos como, por exemplo, vulnerabilidades e o outro mais de gestão, ou, por exemplo, os riscos.

Vamos focar neste último, para começar a implementar a cibersegurança é necessário que se tenha bem claro qual é o contexto geral de segurança da informação na companhia. Você pode assistir à palestra sobre Análise de Riscos que foi parte da primeira temporada do nosso 11Paths Talks.

Uma vez que entendamos o contexto geral da cibersegurança, podemos começar a implementá-la, mas como? Hoje em dia é possível encontrar muitos padrões, modelos de trabalho, metodologias e melhores práticas sobre a adoção de cibersegurança. É sempre mais seguro utilizar os mais reconhecidos e, a nosso ver, é primordial que você entenda e aplique o Framework de Cibersegurança do NIST (que acaba de cumprir 5 anos), já que ele trata das fases básicas mais importantes: identificar > proteger > detectar > responder > recuperar.

Esse modelo conta com padrões, diretrizes e boas práticas para gerenciar os riscos relacionados à segurança da informação e foi criado com foco prioritário ao Marco de Segurança Cibernética dos EUA que visa garantir a resistência e infraestrutura crítica e outros setores para a economia e segurança nacional do país.

Uma iniciativa que também recomendamos é o Secure Control Framework, que tem a missão de funcionar como um catalisador para a forma com que os controles de privacidade e cibersegurança são aplicados nas camadas estratégica, operacional e tática de uma organização, independentemente de seu tamanho ou indústria. Basicamente a ferramenta é um portal na internet que agrupa mais de 100 padrões, ISO, controles, frameworks etc., ao selecionar o padrão são mostrados quais controles implementar de maneira integral.

Continuaremos desenvolvendo esse assunto no segundo post da série, não perca e, enquanto isso, te convidamos a acessar a 5ª temporada do ElevenPaths Talks.