Cristiane Dias: A cibersegurança é “responsabilidade de toda a organização e não apenas da TI” (com vídeo)

Cristiane Dias, Head of CyberSecurity no setor de utilities brasileiro, levou até ao palco da 2.ª edição da IT Security Conference o seu conhecimento sobre o reforço da resiliência cibernética das organizações, com especial enfoque no processo de resposta a incidentes.

“Ao longo da minha carreira, eu já sofri três incidentes cibernéticos em três empresas diferentes”, arranca Cristiane Dias. “O que tinha de comum nas três empresas era que o básico não era seguido”.

“Nos três incidentes não existia o conceito de MFA em todos os ambientes, não existia o conceito de mínimos privilégios e muitos ambientes estavam sem atualizações por conta de ausência de janela de manutenção pela área de operações”, revela.

É com base na sua experiência de defesa contra atividades cibercriminosas que Cristiane Dias centrou o seu keynote no processo de recuperação no período pós-incidente, dividido em duas fases principais: a “fase tática” e a “fase estratégica”.

Fase tática

No que à fase tática diz respeito, a “primeira coisa a determinar” é o “impacto”, uma vez que uma empresa “não consegue mitigar um incidente se não sabe [que] ativos foram impactados”. Desta forma, é “importantíssimo determinar a presença do atacante”, sendo que este poderá estar a “rodar scripts” sem o conhecimento das organizações.

A criação de “um plano de restauração”, onde são delegadas “exatamente as responsabilidades aos teams”, é um passo importante do processo de recuperação. “Não adianta fazer tudo ao mesmo tempo”, afirma. “As equipas técnicas têm uma vontade muito grande de fazer tudo, mas quem faz tudo ao mesmo tempo não consegue concluir”.

“Defina os responsáveis e documente as ações”, acrescenta Cristiane Dias, onde está deverá estar estipulada a “timeline” dos eventos. Um erro frequente no pós-incidente é “não [saber] exatamente a data e a hora que aquela atividade foi executada”.

Fase estratégica

“Mantenha o negócio informado”, alerta Cristiane Dias. A profissional revela que, no primeiro incidente que enfrentou, “ficámos dez dias indisponíveis”, enquanto no ataque seguinte, já numa organização diferente, “ficámos uma semana”. Por sua vez, “na última empresa, ficámos 23 horas indisponíveis”. 

O “sucesso na defesa contra o último incidente” assenta em dois fatores-chave: “lições aprendidas e um plano de comunicação eficiente”. “As equipas não se conseguem focar num plano de resposta a incidentes se a todo o momento o telefone das equipas não para de tocar com alguém a querer saber quando o sistema vai voltar”, alerta.

Neste sentido, a profissional revela que “uma das coisas que funcionou bem foi a cada hora nós tínhamos um comité de comunicação para o negócio”, em que era dado o “status da última hora das ações do team em relação à resposta ao incidente”.

Criar “pares para validação” e formalizar “uma ocorrência nos órgãos locais” são outras ações destacadas. “Se as empresas não formalizarem, o governo não tem como ter consciência da quantidade de incidentes cibernéticos que ocorrem no país”, acrescenta.

Cristiane Dias ressalva também a importância de realizar “o report final do incidente”, com informações sobre “quais foram as ações, quem foram os teams que executaram tais ações, quais os planos de mitigação, qual o downtime de cada sistema”.

Lições aprendidas

Aprender com os incidentes é uma etapa fundamental para fomentar a ciber-resiliência das organizações. Relativamente à vertente tática, “não adianta chegar, criar um comité de crise, [recuperar] a empresa em 23 horas, se não tem uma governança depois disso porque vai ser novamente atacado”, adverte.

É importante também criar “playbooks, workbooks e casos de uso aderentes ao seu negócio” para o SOC e o MSS. “Nas três empresas, duas delas tinham um SOC de empresas grandes”, explica Cristiane Dias. “Nenhum dos dois SOC identificou a presença do atacante que já estava pelo menos há 15 dias. Nós tínhamos a falsa sensação de que estávamos seguros”.

Validar a estrutura de DevSecOps, estender o processo de table top “a todos os níveis”, adotar os conceitos de DRP e threat hunting para ter conhecimento sobre “o que os criminosos na deep, na dark web estão a falar da sua empresa”, bem como realizar testes e explorações externas blackbox “a cada três meses” e “sempre que subir um novo sistema” devem ser procedimentos frequentes das organizações, segundo Cristiane Dias.

“Reforce o processo de hardening e baseline de segurança”, recomenda também Cristiane. “Durante os três incidentes, o que tínhamos em comum é muitas GPO a rodar na camada de AD e algumas conflituando entre elas”, o que contribuía para a “falsa sensação de segurança porque uma estava a anular a outra”.

Nos ambientes legados, “crie o conceito de segregação”, que é “fundamental para que os sistemas core business não fossem atacados e conseguíssemos voltar em 23 horas, por conta da segregação de OT com IT”.

É ainda necessário reforçar “os controlos com os teams internos”, uma vez que “a grande maioria das vulnerabilidades vem de teams com privilégios elevados que não tratam essas credenciais de forma adequada”.

No que diz respeito à vertente técnica, Cristiane Dias indica que é necessário atualizar “o mapa de risco da organização” e reforçar “o plano de adequação curto, médio e longo prazo”, criando uma “timeline com investimentos para isso”. 

Além disto, é essencial compreender que o conceito de segurança é uma “responsabilidade de toda a organização e não apenas da TI”, sendo importante criar “programas de consciencialização de todos os níveis”.

A criação de “metas departamentais de segurança”, ligadas à “participação de lucros”, e alinhar a cibersegurança “com a estratégia de negócio” são outras ações apontadas pela profissional. “Não existe uma empresa 100% segura”, enfatiza.

Antes de concluir o seu keynote, Cristiane Dias deixa uma mensagem para o público: “o crime cibernético é extremamente organizado. Que nós CISO e líderes de segurança também tenhamos esse mindset de união, de compartilhamento de informações, respeitando a confidencialidade de cada empresa”.

A IT Security Conference volta a 10 de outubro de 2024!