As três principais razões pelas quais os CISO e os CIO perdem tempo e dinheiro com a cibersegurança

Em resumo, parece que a maioria dos CISO e CIO têm, nos dias de hoje, três desafios principais em comum: falta de visibilidade holística, falsa sensação de segurança e automatização inadequada. A resposta a estes desafios será fundamental para a segurança organizacional e evitará o desperdício de recursos limitados, tanto em termos de tempo como de custos.

Hoje em dia, a maioria das organizações presta muita atenção à cibersegurança. Investem em soluções, mas, muitas vezes, implementam-nas em áreas limitadas dos seus ativos. Além disso, muitas empresas utilizam mais de dez soluções de segurança, geralmente ferramentas independentes, o que resulta em informação fragmentada. Os CISO e os CIO estão conscientes de que isto causa um sério atraso nos tempos de resposta, pois recolher, analisar, avaliar, priorizar, decidir, concordar e responder são passos que atrasam desnecessariamente o processo, o que é inaceitável quando as vulnerabilidades exigem uma resposta imediata.

Quanto maior for a empresa, mais silos existem. Isto deixa muitos ativos fora da vista: computadores portáteis, PC, servidores, impressoras, componentes de rede, dispositivos IoT, sistemas OT, aplicações na cloud, entre outras. Há ainda uma maior falta de clareza sobre a forma como todos estes ativos estão ligados entre si e com o ambiente da rede. Tudo isto leva a uma conclusão: falta de visibilidade holística. Para os CISO e CIO, a primeira ordem de trabalhos é mapear com precisão os seus recursos. Isto significa decompor corretamente todos os ativos, mas, também, deve ficar claro quais são os mais importantes para a organização e quais os processos de negócio, de forma a saber os que merecem os níveis de proteção mais elevados. É, portanto, imperativo enfrentar este desafio fazendo um inventário de todos os ativos conhecidos e desconhecidos e mantendo este conjunto de dados atualizado numa base de dados de gestão de configuração (CMDB).

Por outro lado, praticamente todas as empresas utilizam uma vasta gama de soluções de segurança, como sistemas de deteção e resposta de endpoint (EDR), soluções anti-vírus, firewalls, etc. Contudo, a investigação forense sobre empresas vítimas de ciberataques mostra que esses ataques visam frequentemente um ativo que se acreditava falsamente estar protegido por uma solução de segurança. No entanto, verificou-se que esta solução não estava de modo algum ativada no dispositivo. A investigação forense também mostra que muitas vezes faltam patches para vulnerabilidades que foram expostas durante muito tempo e isto proporciona aos cibercriminosos outro ponto de entrada. Um mapeamento completo dos patches disponíveis e um processo fiável para os implementar reduzirá, portanto, significativamente o risco de intrusão.

A falsa sensação de segurança tem, ainda, outro lado: fadiga de alertas. Isto é, devido ao número crescente de vulnerabilidades e ataques, as equipas de cibersegurança estão sob pressão e, muitas vezes, não dispõem de pessoal suficiente para responder adequadamente. Estas equipas, esgotadas pelas circunstâncias acima enumeradas, recebem frequentemente todo o tipo de alertas de segurança de várias soluções. O que é que acontece? Bem, os sistemas geram tantos alertas de segurança que os colaboradores se tornam insensíveis a eles. Por outras palavras: "As pessoas já não veem o perigo através dos alertas". Como resultado, ignoram estes alertas ou não respondem adequadamente a eles. Isto também contribui para uma falsa sensação de segurança porque, embora as soluções estejam em vigor, os alertas passam despercebidos.

Outro aspeto interessante a mencionar na área da falsa sensação de segurança é o das reinicializações e mudanças de chave de registo. Depois de uma vulnerabilidade ter sido corrigida, o sistema requer frequentemente uma reinicialização ou uma alteração da chave de registo antes de a correção estar totalmente concluída. Não o fazer significa não remediar a vulnerabilidade. Em muitas organizações, contudo, não há controlo para verificar se estas medidas são realmente tomadas e os utilizadores podem acreditar que a vulnerabilidade é corrigida quando ainda está presente.

Chegados aqui, é interessante falar sobre o outro desafio que resta: o da automatização insuficiente. Porque com um entendimento holístico e uma confiança bem fundamentada na segurança, as organizações têm tudo o que precisam para proteger os ativos contra os riscos de vulnerabilidades. No entanto, para melhor perceber isto, os CISO e os CIO devem ser capazes de correlacionar e compreender os seus dados. Para o fazer, o contexto da informação é crítico.

Quando surge uma vulnerabilidade, o contexto para o CISO ou CIO significa responder a perguntas como: que nível de importância tem esta ameaça para a organização, se os cibercriminosos já exploram ativamente a vulnerabilidade, se esta vulnerabilidade está presente em algum dos ativos, se existem patches disponíveis para a remediar, que ações podem ser tomadas para reduzir o risco?

As respostas a estas perguntas encontram-se no contexto da informação, pelo que quanto mais automatizar os processos para obter este contexto, melhor se pode priorizar a correção de ativos. Há dados preocupantes a este respeito, como, por exemplo, que se leva uma média de 194 dias a corrigir vulnerabilidades relacionadas com o ransomware. Com um fluxo de trabalho lógico e automatizado estas margens de tempo seriam uma coisa do passado.

Do mesmo modo, quando se trata de auditorias de conformidade, é vital que o processo de elaboração de relatórios seja rápido e eficiente, pelo que a automatização é novamente fundamental. As auditorias são frequentemente um exercício muito dispendioso e demorado para qualquer empresa, com recolha de dados a partir de diferentes soluções, complexas e propensas a erros. Uma boa automatização acelerará o processo, gerará economias de custos significativas e exigirá menos esforço dos especialistas internos, libertando-os para se concentrarem em tarefas vitais como a aplicação de patches.

A conclusão de todo este artigo é que os CISO e os CIO estão a perder a sua segurança devido a uma falta de visibilidade holística, uma falsa sensação de segurança e uma automatização inadequada. Isto deixa as equipas de segurança e de operações de TI num campo de jogo desigual, de olhos vendados, enquanto os cibercriminosos parecem manter a vantagem e tornar-se cada vez mais sofisticados na sua atividade. É portanto urgente que estes gestores de segurança abordem estas as três áreas, com plataformas e soluções que lhes possam dar a segurança e confiança de que necessitam, reforçar as suas defesas e, ao mesmo tempo, aproveitar ao máximo os recursos limitados e valiosos das suas organizações.