Sete dicas para otimizar a segurança dos dados

Javvad Malik, Security Awareness Advocate da KnowBe4 – texto original em inglês pode ser acessado aqui

As violações de dados continuam, os ataques de phishing estão aumentando e as pessoas responsáveis pela segurança da informação acordam suando frio algumas vezes por ano, preocupadas com a possibilidade de serem as próximas vítimas.

O setor provavelmente não será capaz de chegar a um consenso sobre o que é “corrigir a segurança”, mas isso não significa que não podemos tomar medidas para otimizá-la. Muitas vezes, na sequência de uma violação, descobrimos que não é a falta de ferramentas ou informações que contribuíram para o evento, mas os recursos disponíveis não foram efetivados adequadamente.

Embora não exista uma abordagem única, aqui estão sete dicas que você pode usar para otimizar a segurança dos dados hoje.

Comece com o porquê

A menos que você esteja administrando um negócio focado em segurança, é provável que a segurança dos dados seja apenas uma função para apoiar o negócio. Portanto, é crucial entender o que é a organização, o que realmente a faz ganhar dinheiro e, portanto, descobrir o que precisa ser protegido.

Profissionais entendem o que é segurança, como é feita a segurança, mas eles realmente entendem o porquê?

Quando um CIO foi questionado sobre seu trabalho dentro de uma organização específica, sua resposta foi: “Meu trabalho é ajudar a vender mais cerveja”. Pense no que sua função de segurança está fazendo para a organização e se você está ajudando a vender mais do produto proposto.

Para entender melhor o conceito, é útil assistir ao TED Talks de Simon Sinek.

Se sabemos o ‘porquê’ – então o ‘como’ e ‘o que’ ficam mais claros.

Concentre-se no problema principal

Entre todas as tecnologias e métodos para solucionar diferentes ameaças, pode ser fácil ignorar o simples fato de observar a fonte dos seus problemas. Isso significa observar a porta de entrada que os atacantes encontram para investir contra a organização.

Por exemplo, o phishing é uma fonte de problemas – pode levar a ataques de ransomware, outros malwares, fraudes de CEO, entre outros. Ao focar nisso como problema principal, muitas ameaças em potencial podem ser tratadas previamente.

A complexidade é o inimigo aqui, porque ela pode ocultar a fonte dos problemas e dificultar que os profissionais escolham quais controles devem ser efetivados. Simplificar sistemas não é uma tarefa fácil – e a equipe de segurança não pode fazer isso isoladamente da organização.

Contudo, simplificar a propriedade de segurança é um bom começo. Ter várias ferramentas não é uma resposta viável, e muitos dados são inúteis se não temos a capacidade de fazê-los ter sentido.

Gerencie sinais de alerta

À medida que os ataques aumentam, a partir de fontes externas e internas, é inevitável que fatos passem despercebidos nos sistemas de prevenção – portanto, os controles de detecção de ameaças precisam ser efetivados. Mesmo em empresas de médio porte, o número de alertas gerados em vários sistemas pode rapidamente sobrecarregá-los.

Embora possa ser tentador investir na correlação de todos os logs e percorrer os alertas, a alternativa é entender os sistemas organizacionais e ativar apenas alertas para atividades e sistemas críticos. Isso está relacionado ao entendimento das fontes de problemas e à simplificação da arquitetura geral. Ter menos alertas, porém mais focados e de melhor qualidade, pode permitir que as organizações passem mais tempo focadas naquilo que realmente importa.

Os honeytokens podem ajudar a reduzir o ruído no ambiente. Quando executados corretamente, os alertas gerados pelos honeytokens são de alta qualidade e podem identificar atividades maliciosas.

Uma boa arquitetura do sistema também pode ajudar no gerenciamento e na redução de alertas. Por exemplo, projetar fluxos de comunicação simples entre componentes pode ajudar a identificar onde o tráfego está se comportando de maneira incomum – como o movimento lateral por hackers em seu sistema.

Engaje a comunidade

Ter recursos limitados não significa necessariamente aceitar que você precisa fazer tudo sozinho. Há uma infinidade de recursos disponíveis que podem ajudá-lo a maximizar o benefício da segurança dos dados.

Por exemplo, não ter um orçamento de treinamento não significa que sua equipe não pode ser treinada. Existem vídeos e blogs do YouTube que podem ser acessados de graça (ou por um baixo custo). Como alternativa, participar de conferências e eventos pode ajudar a aumentar o conhecimento de sua equipe.

Também existem muitos padrões publicamente disponíveis e documentos de melhores práticas – economizando o tempo e o esforço necessários para criá-los você mesmo.

Por fim, está disponível uma ampla variedade de ferramentas de código aberto que podem ser personalizadas para atender às necessidades específicas da sua organização.

Invista em marketing

A educação do usuário, a partir de treinamentos de conscientização em segurança, e o apoio de executivos e acionistas da organização são desafios comuns que muitos departamentos de TI e infosec enfrentam. Uma das razões para tal é que essas equipes geralmente tentam vender a segurança (ou assustar as pessoas).

No entanto, o marketing precisa ser feito de outra maneira. Para divulgar as metas de segurança, a mensagem entregue ao público-alvo deve ser tão impactante que será responsável pelas mudanças comportamentais ao longo do tempo. Mudar comportamentos é a chave para melhorar a eficiência da segurança dentro de uma organização. Quanto mais conhecimentos os colaboradores e stakeholders tiverem em segurança da informação, menores as chances de se oporem a iniciativas sobre o assunto, de serem vítimas de golpes ou de adotarem comportamentos que comprometem a segurança.

Confira alguns dos diversos recursos disponíveis na KnowBe4.

Diminua os impactos

Quando se trata de segurança, otimizar as operações diárias é apenas parte da batalha. Os verdadeiros desafios ocorrem quando ocorre um incidente.

Cintos de segurança, airbags e zonas de deformação programadas nos veículos não param um acidente de carro, mas reduzem o impacto e aumentam as chances de sobrevivência dos passageiros.

Da mesma forma, as equipes de segurança da informação podem executar controles e medidas para reduzir o impacto de uma violação. Por exemplo, a arquitetura de sistemas de maneira segmentada pode minimizar a quantidade de dados que um possível invasor pode obter.

Os componentes críticos também devem ser projetados com tolerância, para que possam ser reconstruídos com rapidez e frequência.

O planejamento inicial pode ajudar a tornar mais fácil a recuperação após um incidente. Estabelecer um plano de comunicação com colaboradores, parceiros, acionistas e clientes antes de um vazamento de dados ajuda a evitar erros no calor de um incidente.

Garantia

Uma vez que todos os sistemas, tecnologias e processos de segurança tenham sido efetivados, é vital que eles sejam testados para garantir que estão funcionando conforme projetado. Testes de penetração, ou exercícios dos red teams, são práticas comuns em grandes organizações.

Além desses, testes menores podem ser realizados internamente para verificar a eficácia dos controles. Copiar grandes quantidades de dados em mídia removível, conectar-se a dispositivos não corporativos ou adivinhar detalhes de login são maneiras fáceis para testar se a segurança está operando de acordo com o esperado.

Solicite uma demo: KMSAT

O treinamento de conscientização em segurança é essencial para permitir que você e sua equipe de TI se conectem com os usuários e os ajudem a tomar as decisões de segurança corretas o tempo todo. Não temos uma solução, treinamento contínuo e phishing simulado são necessários para mobilizar os usuários como sua última linha de defesa. Solicite uma demonstração da plataforma da KnowBe4 e veja como isso pode ser fácil!


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*