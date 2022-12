Nas últimas três décadas, as ameaças à segurança da informação evoluíram, tornaram-se mais sofisticadas e automatizadas, incorporando tecnologias de dissimulação e furtividade, entre muitas outras, para atingir seus objetivos. Os defensores da segurança cibernética também tiveram que evoluir, desenvolvendo soluções e ferramentas para detectar ameaças com base em comportamentos anômalos em processos ou redes, integrando inteligência de ameaças e muitas outras tecnologias para proteger as informações da empresa e do usuário.

O que, aparentemente, não evoluiu muito é a questão da conscientização, da cultura de segurança em todos os níveis de uma organização. Os usuários continuam sendo enganados, buscando continuamente burlar as políticas para usar os aplicativos que desejam nos computadores corporativos, e parecem não entender totalmente a relevância de seguir as regras estabelecidas por TI, Sistemas, Segurança, Recursos Humanos e/ou Jurídicos . E isso é algo que continua acontecendo globalmente.

Não surpreendentemente, o especialista em segurança cibernética Chris Krebs comentou durante um almoço com a mídia que é importante criar e reforçar uma cultura de segurança cibernética em toda a organização. “Todo mundo faz parte da equipe para ter sucesso”, disse ele.

Christopher Krebs é um profissional de segurança cibernética e gerenciamento de riscos. Ele foi consultor sênior do secretário assistente de segurança interna e trabalhou no setor privado como diretor de segurança cibernética da Microsoft. Em março de 2017, foi nomeado conselheiro do Secretário de Segurança Interna dos Estados Unidos. Meses depois, foi nomeado subsecretário de Infraestruturas de Proteção. Em 2018 foi nomeado diretor da recém-criada Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, sendo demitido durante o governo de Donald Trump, logo após as eleições presidenciais de novembro de 2020. Atualmente, Krebs lidera a consultoria Krebs Stamos Grupo com Alex Stamos, ex-CSO do Facebook. Ele também é consultor de segurança em empresas como Rubrik e SentinelOne.

Foi precisamente em um evento para clientes e prospects do SentinelOne que Chris Krebs enfatizou a importância de uma cultura de segurança e colaboração como primeira linha de defesa contra os ataques cibernéticos de hoje. “É necessária uma abordagem mais agressiva para o gerenciamento de identidade, para monitorar quem está em sua rede e o que eles fazem. E, migrando para a nuvem, estratégias para salvaguardar os ativos e gerenciar os dispositivos”, disse.

Em última análise, trata-se de empresas capazes de detectar anomalias, agir contra elas, interrompê-las e colocar dispositivos em quarentena ou fora da rede rapidamente, e tudo o que foi dito acima, com transparência, acrescentou Krebs.

O especialista explicou que o gerenciamento de identidades e dispositivos faz parte de uma abordagem mais ampla, como a confiança zero, que engloba 5 pilares:

“Você precisa organizar uma estratégia em torno desses cinco pilares, e isso será uma boa base para uma estratégia de segurança”, disse Krebs. Ele acrescentou que deve começar com liderança, cultura de conscientização, gerenciamento de ativos e identidade e recuperação.

O papel do governo na segurança

Durante o almoço com a mídia, realizado no âmbito do evento SentinelOne na Cidade do México, Chris foi questionado sobre a posição e o apoio dos governos em relação ao tema da segurança cibernética, ao qual respondeu que, além dos orçamentos reduzidos, faltam de colaboração entre as áreas internas e os diversos órgãos governamentais.

No caso específico dos EUA, e dada a sua experiência no setor, Chris acrescentou: “não existe uma abordagem estratégica, holística e coordenada no Congresso dos EUA para gerir os requisitos de TI; em vez disso, é investido em determinadas áreas e isso leva a mais estruturas para gerir os sistemas de governo.”

Krebs acrescentou que existem muitos fornecedores atendendo a mais de 100 agências governamentais nos EUA, e cada agência tem seu próprio CISO, com seus próprios desafios de gerenciamento de recursos, bem como conflitos de liderança. “Quando os fornecedores abordam, podem não dar a devida atenção e no final tudo se resume, como em qualquer lugar, a uma questão orçamentária”, disse.

Além disso, a questão do sourcing ou aquisição de produtos e/ou serviços no governo costuma ser burocrática e beneficia alguns fornecedores de tecnologia e grandes integradores de sistemas – algo que definitivamente não é um problema exclusivo do governo americano. Krebs disse que se concentrou em promover um modelo de serviço compartilhado para os principais serviços -como e-Mail- onde você não precisa de centenas de contratos para cada agência, mas de um punhado de pessoas centralizando solicitações, monitoramento e resposta. “Podemos simplificar a abordagem tecnológica, reduzir os custos de investimento… mas vários relatórios sobre violações foram coletados e mostrados, e eles não geraram interesse [dos funcionários públicos], mas foram descartados. Acho que você precisa de pessoas com experiência em segurança cibernética no Congresso para escalar a questão", disse ele.

Krebs já havia falado sobre a dificuldade de trabalhar com o governo americano, durante sua palestra no Black Hat 2022, em agosto. Nessa apresentação, o especialista disse que as pequenas melhorias nas operações cibernéticas do governo não são suficientes para evitar as crescentes ameaças. "Ainda é difícil para as organizações do setor privado saber com quem trabalhar. É o FBI? É a CISA? É o Departamento de Energia? É o Tesouro? Ainda é muito difícil trabalhar com o governo e a proposta de valor Não é tão claro quanto deveria ser", disse ele.

Durante sua palestra na Black Hat, Krebs explicou os quatro papéis principais do governo: consumidor, executor, advogado e facilitador. Do lado do consumidor, Krebs defendeu que o governo use seus fundos maciços para investir de forma mais agressiva em ferramentas do setor privado, embora não economize tanto no custo: "O preço mais baixo tecnicamente aceitável não pode ser o modelo de compra e saída". ”, alertou então.