A primeira vez

E do vosso primeiro incidente de segurança? Alguém se lembra? No meu caso, se não contar com os bloqueios de terminais aos colegas no Secundário (uma espécie de DoS primitivo…) ou a roleta russa que era meter uma floppy num computador na Universidade e não sair de lá com o Barrotes, foi algures em 1998, quando administrava, entre outras coisas, uma Sun SPARCstation 5. Era, na altura, um dos nossos servidores de DNS e de e-mail e foi só quando deixou de resolver nomes que notei que algo de estranho se passava. Foi então que os “vi”: alguém, a partir da Roménia, tinha conseguido entrar na máquina e posto um bot de IRC a correr que estava a arrasar com o servidor. Foi o “click” que me fez mergulhar no mundo da segurança. Como é que entraram? Como é que me posso proteger? Como é que posso ser alertado quando tentarem novamente? Num curto espaço de tempo devorei tudo o que havia para ler sobre segurança, instalei IDSs, criei honeypots, defini baselines para hardening de sistemas, enfim, todo um mundo novo para o qual fui empurrado e que, tal como a Alice, fui obrigado a compreender para conseguir sobreviver às várias Rainhas de Copas que, disfarçadas de IPs, iam aparecendo.

O momento que estamos a viver com a pandemia é também uma primeira vez, não para um, mas para todos. Tivemos que, num espaço de tempo muito limitado, compreender, adaptar e implementar um novo conceito de trabalho que nos permitisse ter os processos de negócio a funcionar.

A segurança teve, também, que obrigatoriamente entrar na ordem do dia. A mudança do paradigma de funcionamento das empresas, cuja face mais visível foi a adoção maciça do teletrabalho, obrigou a um conjunto de investimentos, nomeadamente no que diz respeito ao reforçar das infraestruturas de VPN e de MFA, à adoção de soluções cloud-based e ao focar na segurança do endpoint através de, por exemplo, soluções de EDR (Endpoint Detection and Response).

A boa notícia é que, apesar de haver sempre uma primeira vez para tudo, aquilo que eram as melhores práticas em 1998, também são hoje aplicáveis. Na realidade, as salvaguardas que temos de ter, já as conhecemos desde sempre, e mais, estão bem definidas em standards e regulamentos, desde a família ISO 27000, aos NIST 800, passando, no nosso caso, pelo Quadro Nacional de Referência para a Cibersegurança do CNCS. Está lá tudo, desde a governação à gestão de risco, da formação à sensibilização, passando por uma panóplia de controlos procedimentais e técnicos que (já) deveriam estar implementados.

O que mudou então de 1998 para 2021? Essencialmente o onde aplicar. Se no passado, o IT estava circunscrito a um ou dois processos de negócio, hoje em dia praticamente todos estão dependentes de alguma forma dos sistemas de informação que, por sua vez, são acedidos a partir de uma panóplia de dispositivos que são controlados por pessoas com mais ou menos conhecimentos em informática ou, em particular, segurança. Para além disso, as redes eram relativamente estanques e apostava-se na segurança do perímetro. Nos tempos que correm, onde está o perímetro? Em casa, na cloud, no wired, no wireless?

Devemos, como sempre, concentrar-nos naquilo que queremos proteger e, em função do nosso apetite ao risco, implementar os controlos necessários. Temos de estar preparados para, em contínuo, avaliar ameaças, venham elas de onde vierem, e da forma mais automática possível, responder em tempo real.

Se 2021 traz mais desafios, sim. Vão acontecer mais ataques aos computadores e redes domésticas, o ransomware e o BEC (Business Email Compromise) vai continuar a crescer, os dispositivos móveis vão continuar a ser alvo de ataques via apps maliciosas nas stores e IoTs e OTs vão continuar a ser um alvo apetecível, ainda para mais quando conjugados com tecnologias emergentes como o 5G.

Mas para uma organização que tenha uma cultura de segurança e tenha assumido uma postura de zero trust, o identificar, proteger, detetar, responder e recuperar, que era válido em 1998, continuará a sê-lo no presente e no futuro.

Conteúdo co-produzido pela MediaNext e pela Layer8