Identifying Hazards to Better Prepare for Cyberattacks

Identifique perigos para se preparar melhor para ataques cibernéticos

Por Bob Violino

Os diretores de informação devem explorar, se não adotar, uma estratégia de defesa de amplo espectro, uma maneira mais eficaz de abordar a segurança que se concentre nos perigos internos que podem levar a violações dispendiosas.

Qual é o custo? Um incidente de negação de serviço distribuído (DDoS) pode custar a uma instituição financeira US$ 1,2 milhão para se recuperar, em média, em comparação com US$ 952.000 para empresas de outros setores, de acordo com um relatório de 2017 da Kaspersky Lab.

Identifying Hazards to Better
Uma abordagem de amplo espectro defende contra ameaças inesperadas, forçando as organizações a considerar e analisar os perigos existentes.

Algumas empresas, como a fornecedora global de plataformas de entrega na nuvem Akamai Technologies, tornaram a defesa de amplo espectro um componente essencial de seus programas de segurança virtual.

Tradicionalmente, a segurança virtual tem sido baseada em requisitos determinados pela conformidade com normas ou padrões do setor. Consequentemente, as defesas podem não ter tido muito a ver com as ameaças e vulnerabilidades de segurança reais de uma empresa.

"Com essa abordagem, você não olha para o futuro e prevê mudanças no cenário de segurança", explicou Andy Ellis, diretor de segurança da Akamai.

É importante ressaltar que uma estratégia tradicional pode não considerar as ameaças de ransomware ou DDoS mais recentes. Qualquer uma das duas pode destruir uma empresa se esta não estiver preparada para se defender contra elas.

Ampliação das defesas

Uma abordagem de amplo espectro defende contra ameaças inesperadas, forçando as organizações a considerar e analisar os perigos existentes. Muitas vezes, esses riscos são baseados em variáveis que incluem o tipo de empresa, como ela opera on-line, onde está localizada e o acesso que oferece a funcionários, parceiros de negócios e clientes.

Com a defesa de amplo espectro, antes de lançar uma nova aplicação na Web, a empresa primeiro relaciona os possíveis riscos de seguir em frente.

"Um exemplo de perigo seria um banco de dados de aplicações on-line", disse Ellis. “É preciso dar um passo para trás e perguntar-se: "Quais são as perdas inaceitáveis que enfrentamos ao fazer isso?"

Se a aplicação arriscar a exposição de um banco de dados que armazene informações pessoais dos clientes, por exemplo, esta seria considerada uma perda inaceitável, e o projeto não avançaria, a menos que o risco fosse primeiro atenuado.

O ato de lidar com a segurança dessa forma poderia também facilitar para os executivos de segurança convencerem os líderes de negócios sobre a importância da segurança. Em vez de dizer aos executivos de linha da empresa que existe um novo conjunto de defesas, por exemplo, o diretor de segurança da informação detalharia as consequências de uma invasão.

"Pode ser difícil convencer a empresa sobre um firewall para aplicações Web, mas é fácil convencê-las sobre o fato de que é essencial proteger os dados que não queremos expor", disse Ellis. "Essa abordagem permite vincular as ferramentas que você deseja adquirir aos perigos que está tentando atenuar. A chave é concentrar-se no perigo”.

O trabalho dos executivos de segurança e CIOs é garantir que todos os principais riscos sejam cobertos.

Ao fazer um levantamento completo, "é mais provável que você se defenda contra adversários desconhecidos", disse Ellis.

A natureza e a localização do recurso tornam a organização suscetível, independentemente da ameaça, seja ela uma injeção de SQL ou outro tipo de ataque ainda não imaginado.

Desenvolvimento de relações

Uma estratégia de defesa de amplo espectro pode ajudar a obter recursos para iniciativas de segurança. Mas os recursos podem não ser o grande desafio.

"Convencer os parceiros de negócios: eis a parte difícil", disse Ellis.

É preciso explicar para os parceiros de linha de negócios os riscos para empresa. "Para isso, é preciso desenvolver uma relação com os parceiros de negócios, o que pode ser difícil", disse ele.

Cabe ao CIO e ao executivo de segurança liderar a mudança para uma defesa de amplo espectro, instruindo os outros sobre quais são as perdas inaceitáveis.

A ideia de criar uma defesa de amplo espectro ainda é desconhecida de muitas empresas, embora algumas do setor de serviços financeiros já a utilizem há algum tempo, disse Ellis.

O conceito pode funcionar para qualquer tipo e tamanho de empresa, embora as menores, que não dispõem de recursos internos, possam precisar de ajuda para começar. Essa ajuda pode vir de um provedor de serviços de segurança gerenciados.

Ao adotar essa abordagem, segundo Ellis, a organização pode criar um programa de segurança baseado nos riscos reais e mais estreitamente alinhado com aquilo que precisa de proteção.

Bob Violino é escritor freelance sobre negócios e tecnologia cujas áreas de especialização incluem computação em nuvem, segurança cibernética e big data.

Conteúdo relacionado ao CIO