Gestão de riscos na segurança da informação
Longinus Timochenco, da Stefanini Rafael
OUÇA O ÁUDIO COMPLETO
A gestão da segurança da informação é um fator primordial não só para preservar os dados, mas também porque envolve responsabilidade, gestão, qualidade e preservação das informações no ambiente organizacional.
Uma evolução da tríade clássica da segurança (integridade, confidencialidade e disponibilidade) foi revista e conta, hoje, com seis elementos: confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade.
Um ponto crucial da estratégia empresarial é a gestão de risco da segurança da informação. Esse tema não é apenas uma questão da área de TI, mas uma corporativa e que deve fazer parte da agenda do executivo. O conceito de gestão de risco é o processo de identificação de vulnerabilidade e ameaças envolvendo informações estratégicas para o negócio de uma empresa, bem como as medidas tomadas para mitigar o risco – pesquisas mostram que o fator humano é o maior componente de risco para as organizações.
Existe um ambiente repleto de inter-relações que se permeiam em constante estado de mutação. Neste contexto, destacamos que informação e conhecimento representam patrimônios cada vez mais valiosos e necessários para que as pessoas e organizações compreendam e respondam às mudanças constantes de perfis de riscos. Com o crescente aumento das tecnologias e sua rápida disseminação, os crimes também aumentaram, surgindo a necessidade de manter as informações pessoais e empresariais livres de riscos e perigos que possam danificá-las, para que tenhamos uma informação confiável.
DoT – DDoS of Things
Com um maior volume de dispositivos conectados, os riscos cibernéticos aumentam. É o que chamamos de DoT – DDoS of Things, onde atores mal-intencionados usam dispositivos IoT para criar botnets que alimentam ataques DDoS volumétricos. O DoT está atingindo massa crítica – ataques recentes incentivaram centenas de milhares de dispositivos IoT para atacar tudo, desde grandes fornecedores de serviços e empresas até serviços de jogos, mídia e empresas de entretenimento. Alguns especialistas estimam que teremos 24 bilhões de dispositivos IoT conectados até 2020, desde câmeras e telefones até frigoríficos, carros, campainhas e relógios. E muitos desses dispositivos são fabricados por empresas em que a segurança cibernética não é sua competência principal.
Mas por que a ação dos atacantes (hackers) ainda continua de maneira efetiva, apesar de o mercado contar com soluções robustas e inovadoras? Seguem os principais motivos:
● As empresas focam em seu negócio e entregam produtos com o mínimo de segurança embarcada.
● Na maioria das vezes, a segurança da informação não é estratégica para o negócio, deixando a corporação totalmente descoberta e vulnerável.
● Políticas pouco eficientes ou inexistentes.
● Baixo conhecimento sobre o tema.
● Parque tecnológico desatualizado.
● Parque tecnológico pouco explorado para utilização de seus recursos.
● Baixa integração dos recursos para uma melhor governança.
● Tomada de decisão com base em conhecimento pontual e técnico.
● Falta de atuação preditiva.
● Falta de capacitação e de treinamento periódico para os colaboradores.
Um ataque DDoS consiste na tentativa de esgotar e estressar os recursos de uma rede, aplicação ou serviço, evitando que usuário consiga acessar ambientes on-line. Nos últimos anos, os ataques DDoS ficaram novamente em evidência e mais complexos, uma vez que os cibercriminosos passaram a utilizar táticas mais sutis e capazes de atingir infraestruturas com sistemas de segurança (firewall e IPS). Infelizmente, pecamos no básico por não fazer o dever de casa como deveríamos – e os hackers sabem disso.
Os ataques DDoS são divididos em três categorias:
● Os volumétricos buscam consumir a banda de rede do ambiente da vítima ou ocupar o tráfego de dados entre o ambiente da vítima e o resto da Internet. São ataques que consistem basicamente em um “congestionamento” de rede.
● Os TCPs buscam atingir instâncias de sustentação presentes na infraestrutura, como balanceadores de carga, firewalls e até mesmo os servidores da aplicação. Até mesmo dispositivos de alto desempenho, capazes de sustentar milhões de conexões, podem ser derrubados por esses ataques.
● Por fim, os ataques de camada de aplicação (Application Layer) miram aspectos da aplicação ou serviço na camada mais avançada do ambiente – a chamada Layer-7. São os ataques mais perigosos, pois é possível gerar baixa taxa de acesso com apenas uma máquina, o que dificulta a detecção e combate à ameaça.
Atualmente, os ataques mais sofisticados combinam elementos das três categorias, atacando infraestruturas com ofensivas coordenadas. Esses ciberataques se tornaram populares por sua alta eficiência e dificuldade para serem combatidos.
Apesar de seus efeitos serem apenas de negação de acesso, os ataques DDoS escondem outras ações. Uma delas é a tática de distração contra os times de segurança e rede de TI. Estes ataques podem esconder tentativas de invasão e ameaças mais graves, como a infiltração de programas maliciosos (malware) nas redes, em busca de dados mais importantes de um ambiente ou aplicação.
Nesse sentido, o DDoS representa uma ameaça significativa para a sustentação de um negócio. Sites públicos podem perder audiência e receita (no caso de e-commerce) com cada minuto em que fica inacessível devido a um ataque dessa natureza. À medida que mais empresas ficam dependentes da Internet e de infraestruturas conectadas para suas aplicações e serviços, a disponibilidade se tornou tão importante quanto a eletricidade.
Esta ameaça se estende a diversos setores da economia e não apenas para quem atua na web. Empresas que sustentam seus ambientes de colaboração na nuvem, por exemplo, também podem ser atingidas.
Para evitar consequências graves, existem diversas opções de segurança contra investidas de negação de serviço. Uma solução capaz de mitigar os dados de um ataque DDoS é o CDN – Content Delivery Network, que utiliza uma maior largura de banda para absorver o excesso de acessos e evitar que um ambiente seja derrubado por um ataque. Entretanto, o uso de uma largura elevada de banda tem seus custos.
É fundamental que as empresas estejam atentas às inovações, tendências de mercado e aos bons conceitos de segurança da informação. Porém, o foco maior deve ser nas pessoas. Quanto mais treinadas, melhores e mais rápidas serão as respostas, inclusive para atuar de maneira preditiva. A inovação começa por cada um de nós. Inserir a segurança da informação no dia a dia é viver no mundo digital com credibilidade.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
