Os executivos estão cada vez mais interessados e abertos para ouvir os CISOs, mas esperam destes profissionais um diferente nível de comunicação na hora de se apresentar. A chave é ser claro, objetivo e não pecar
Já alguns meses escrevendo artigos sobre a área de Cyber Security e especialmente sobre a figura do CSO, tenho sido desafiado por alguns amigos e leitores a explorar a lacuna de quais conhecimentos nós, profissionais de segurança, precisamos ter e novas atribuições e responsabilidades, além do jargão técnico de Cyber Security.
Ao mesmo tempo vejo a necessidade do mercado perante a postura destes profissionais no ambiente corporativo, enjaulados em ambientes complexos com diversos tipos de sistemas e aplicações, totalmente diversificado com tecnologia distintas e necessidades de negócios cada vez mais desafiantes. A cada quarter novas metas estabelecidas e prazos extremamente apertados. Diante disso, tenho visto alguns profissionais com dificuldades em suas emoções sofrendo por preocupações e ansiedades. Observe que a minha intenção não é ser um profeta para falar do futuro, mas é tentar conectar a realidade versus com o que podemos fazer de melhor e atingir o nosso objetivo na área de Cyber Security.
Assim como outras áreas, em Cyber Security não deixa de ser a mesma. O perigo do “ego” e “altivez” dos seres humanos pode levar ao desastre, mas tive que aprender a lidar com estes entraves, mas a minha meta sempre foi fazer o melhor naquilo que fui introduzido. Portanto, sempre tive em mente que não importa os obstáculos e dificuldades que terei que enfrentar, mas aonde irei chegar, mantendo sempre uma visão de águia e um propósito na minha carreira.
Por ventura, gostaria de elucidar dois pontos importantes para um profissional de Cybersecurity: i) Como se apresentar ao board, e ii) O que fazer para combater ciberataques. No entanto, se você discernir o contexto saberá que ser articulado para com C-Level é fundamental para sobrevivência, além de saber como se proteger, e para este segundo item, eu gostaria de sugerir o uso do guia fornecido pelo National Cyber Security Centre (NCSC) que irei abordar mais adiante.
Suponha que você tenha apenas cinco minutos para explicar o que é importante e relevante para o negócio e definir a postura de risco da sua organização. Seja objetivo e convincente. Quais técnicas e estratégias usar nesta hora para conquistar o apoio do board? Logo agora que Cyber Security se tornou um tema mais importante para as organizações no que tange o nível de maturidade do processo. Fato que agora é que os executivos estão cada vez mais interessados e abertos para ouvir os CSOs, mas esperam destes profissionais um diferente nível de comunicação na hora de fazer uma apresentação. A chave é ser claro, objetivo e evitar não pecar. Sendo assim esteja pronto para encarar o C-Level e aproveito para ramificar nos pontos abaixo, e se aplicadas podem ajudar na hora certa:
– Sempre tenha como meta: “O negócio é mais relevante” -> O board não quer saber de detalhes técnicos de cibersegurança, mas da real situação da postura de risco, compliance e quanto isso pode impactar na organização.
– Mantenha uma linguagem simples -> Outra vez o board não tem interesse de ouvir uma linguagem técnica, você precisa ser capaz de apresentar uma linguagem objetiva e clara. Ex: “Nossos firewalls bloqueiam todos os ataques de hackers ao nosso Internet Banking”, mas assim; “Nossos controles de segurança garantem um nível elevado de compliance e gerenciamento dos riscos com eficiência em nossos serviços”.
– Métricas claras -> O senior management entende de números e o CSO precisa focar em métricas chaves e fatos relevantes ao negócio, além de informações ricas com gráficos, será mas fácil de entender.
– Esteja preparado para as perguntas -> Os executivos podem não ser técnicos, mas são inteligentes para realizar perguntas difíceis de responder e você precisa estar preparado. Ex: “Quanto estou perdendo em $?” “Quantos clientes estou colocando em risco?”. Tenha em mãos o risco calculado, ou seja, uma análise de risco precisa (quantitativa e qualitativa) é um elemento vital.
– Aprenda a ouvir -> O rei Salomão alerta: “Quanto mais você fala, mais perto está de pecar, se você é sábio, controle a sua língua”. Discernir as informações que o board está interessado em ouvir no próximo highlight é uma oportunidade para entender as iniciativas que pode afetar seus projetos, cuidados com projetos que envolvem altos cultos de segurança e sobre o ROI, redução do staff e problemas com budgets, por exemplo.
Evidente que as dicas acima são atributos esperados e irão apoiar no seu desafio como um profissional de cibersegurança, mas é lógico que a ausência do conhecimento técnico e a aplicabilidade no mundo real, não adianta em nada. A moeda de valor neste mundo é a experiência e sempre se manter atualizado.
Considerando que você recebe a missão dos executivos para implantar um projeto para se proteger contra Cyber Threats na organização, já existem alguns frameworks que podem lhe auxiliar, como o Cyber Security do NIST, a nova Resolução 4.658 do Banco Central, entre outros. Por hora, depois de estudar alguns frameworks gostei muito da abordagem do National Cyber Security Centre (NCSC), no qual gostaria de ilustrar a metodologia para combater ciberataques dividida em 4 fases: i) Survey, ii) Delivery, iii) Breach e iv) Affect.
Survey
Educar os usuários -> Treinar todos os colaboradores que publicam ou disponibilizam documentos na Internet, cloud, etc. Estes usuários deveriam estar ciente dos riscos e tópicos e trabalhos relativos discutidos no ambiente de trabalho, além do uso de redes sociais sendo um potencial alvo para ataques de phishing.
Delivery:
Defesas no Perímetro de Rede -> Sempre bloquear serviços considerados inseguros e desnecessários (ex: Telnet, SMB, SMTP), ou permitir aceitar o acesso a website somente autorizado. Utilize soluções de appliances de Proxy, threat intelligence, etc.
Proteção contra malware -> Sempre bloquear e-mails maliciosos e impedir que e-mails sejam transferidos de websites. Utilize soluções de anti-malware, antivirus, endpoints monitorando o fluxo de email no servidor de correio.
Política de senha -> Orientar os usuários para não escolherem senhas fracas facilmente de ser adivinhadas e bloquear as contas após um número reduzido de tentativas de ataques. Faça o Awarenes Security Program com os usuários.
Configuração segura -> Restrinja o funcionamento do sistema ao mínimo necessário para a operação do negócio, aplicando-se sistematicamente todos os dispositivos que são usados para realizar negócios. Aplique o conceito de need to know e least privilege em sistemas críticos da organização, assim como no ambiente de cloud.
Breach:
Patch Management -> Aplique patches na primeira possibilidade para limitar a exposição a vulnerabilidade de software conhecidas. Diria que este é o básico que precisa ser bem feito, sugiro a leitura do artigo que escrevi sobre este tema “CSO não ignore a gestão de vulnerabilidades”.
Monitoring -> Monitorar e analisar todas as atividades de rede para identificar qualquer atividade maliciosa ou um comportamento fora do padrão. Tenha um SOC com soluções de IPS, SIEM, DLP, CASB, e um Cyber Security Incident team.
Proteção contra malware -> Assegurar uma proteção de malware dentro do gateway de Internet com a capacidade de detectar e bloquear um código malicioso contra um alvo importante interno, seja um usuário ou aplicação.
Configuração segura -> Remova o software desnecessário e as contas de usuário padrão. Verifique se as senhas padrão são alteradas e se os recursos automáticos que podem colaborar com malware e ransomware capazes de explorar falhas em sistemas e serviços por falta de hardening e configurações de segurança. A Microsoft oferece uma séria de checklists gratuitos para proteger o seu ambiente Windows. Linux e Unix também estão disponíveis na Internet.
Acesso ao usuário -> O controle de acesso de usuário bem mantidos podem restringir os aplicativos, privilégios e dados que os usuários podem acessar. Eu diria que este é um dos pontos mais preocupantes no ambiente de cloud, sendo assim sugiro que defina o conceito de Role Basic Access Control (RBAC) estritamente em todos os níveis de acessos. Além de manter um processo de log review e access review contínuo suportado pela arquitetuta de IAM.
Treinamento do usuário -> Treinar o usuário é extremamente valioso na redução da probabilidade de ataques de engenharia social bem sucedida, entre outros tipos de ataques. Explore e realize anualmente uma campanha de segurança da informação abordando vários tópicos sobre Cyber Security.
Controles de dispositivo – > Os dispositivos dentro do gateway interno devem ser usados para impedir o acesso não autorizado a serviços críticos ou serviços inerentemente inseguros que ainda podem ser exigidos internamente. Esteja atendo aos dispositivos móveis, apps, IRPF, BYOD, IoT, etc.
Fonte: SecurityReport