O que fazer quando as falhas de cibersegurança parecem inevitáveis
O atual panorama de ameaças faz com que as falhas da segurança de informação pareçam inevitáveis. O perito Peter Sullivan discute algumas formas simples de as empresas reduzirem o risco de uma violação.
As organizações em toda a parte estão corretamente preocupadas com as ameaças de cibersegurança, especialmente no contexto de relatos diários de invasões cibernéticas com roubo maciço de informação e propriedade intelectual, e com o aumento de novos métodos de exploração, incluindo ransomware, ameaças persistentes avançadas e ameaças internas.
Acrescente-se a isso um ambiente operacional em rápida transformação, incluindo a computação em nuvem, a internet das coisas (IoT), o apoio a usuários móveis e remotos, e a exigência de apoiar qualquer dispositivo com capacidade de rede que os usuários tragam para o trabalho, e a questão de como, onde e quais as medidas de segurança específicas a implantar torna-se confusa e difícil de responder.
Numa entrevista de 2014, o antigo diretor do FBI James Comey afirmou: "Existem dois tipos de grandes empresas nos Estados Unidos. Há aqueles que foram pirateados pelos chineses, e aqueles que não sabem que foram pirateados pelos chineses".
Mais de um ano depois, no Fórum Econômico Mundial, em janeiro de 2015, John Chambers, antigo CEO da Cisco, afirmou: "Há dois tipos de empresas: As que foram pirateadas, e as que ainda não sabem que foram pirateadas".
As violações da cibersegurança são inevitáveis, como estas observações parecem indicar? Se a violação da segurança é inevitável, e se a prevenção da violação é verdadeiramente impossível, então será que tentar proteger a informação e os sistemas de informação é uma perda colossal de tempo e dinheiro?
Por mais desanimadoras que sejam estas considerações, se as violações da cibersegurança fossem verdadeiramente inevitáveis, então as organizações não armazenariam propriedade intelectual vital e informação pessoal e financeira em sistemas em rede. Ou isso, ou deve haver alguns benefícios na utilização de sistemas em rede que superem os riscos.
A cibersegurança é um processo de gestão de risco
Mesmo que as falhas de cibersegurança sejam inevitáveis, ainda há coisas que podem e devem ser feitas para proteger a informação. Em qualquer ambiente onde o risco é gerido, há sempre estratégias que podem ser empregadas se os cenários de risco não puderem ser prevenidos ou evitados. De fato, a gestão do risco baseia-se na premissa de que a incerteza em torno de qualquer cenário de risco não pode ser completamente eliminada. Se a incerteza pudesse ser eliminada, o risco também seria eliminado.
Se uma violação da cibersegurança for inevitável, ou se o risco de uma violação da cibersegurança não for zero, há duas estratégias básicas de proteção que podem ser aplicadas. A primeira estratégia consiste em reduzir a probabilidade de ocorrência de uma violação da cibersegurança, e a segunda consiste em reduzir o impacto ou os danos que podem ocorrer quando um cenário de risco de cibersegurança é realizado.
Estas estratégias básicas de defesa são apropriadas para gerir qualquer tipo de risco, incluindo o de cibersegurança. A estratégia geral na gestão do risco de cibersegurança é muito simples.
Em primeiro lugar, são identificados os bens críticos para o funcionamento do negócio. Neste caso, são identificados os elementos de informação que devem ser protegidos. Os recursos de informação podem incluir pessoas, processos e tecnologia, para além de dados brutos.
Em segundo lugar, um processo de avaliação de risco identifica cenários de risco que podem prejudicar a segurança da informação através de divulgação indesejada, modificação não autorizada ou perda de acesso ao recurso de informação. Os componentes de risco são poucos.
O caso geral de uma invasão cibernética de segurança é semelhante a este: Um agente de ameaça explora uma vulnerabilidade e danifica a segurança do recurso de informação. Nesse caso geral, as componentes do risco são a existência de uma vulnerabilidade, uma exploração que aproveita a vulnerabilidade e um agente de ameaça disposto a utilizar essa exploração para prejudicar a segurança do bem.
Nesse cenário geral de violação da cibersegurança, a única coisa que pode ser controlada por um gestor de segurança de rede é a existência da vulnerabilidade na rede. Portanto, o último passo na gestão do risco de cibersegurança é o processo de identificação e eliminação ou reparação de vulnerabilidades.
O ideal é que, uma vez identificada uma vulnerabilidade, ela seja eliminada. A eliminação de uma vulnerabilidade também suprime todos os cenários de ameaça onde essa vulnerabilidade é explorada, reduzindo a probabilidade de exploração a zero.
Dar prioridade ao risco de cibersegurança
Uma vez que for entendido que gerenciar a segurança cibernética é gerenciar riscos, não há razão para que o risco de segurança cibernética não possa ser gerenciado usando os métodos de gerenciamento de risco usados em todos os outros lugares.
No seu âmago, a gestão do risco é um instrumento de apoio à decisão. Uma vez identificados todos os cenários de risco de cibersegurança relevantes, a tarefa de apoio à decisão é dar prioridade à ordem em que os cenários de risco identificados são corrigidos.
A priorização da atividade de mitigação do risco de cibersegurança é importante se não houver recursos suficientes para lidar com todas as vulnerabilidades identificadas; a priorização também é valiosa mesmo que haja recursos suficientes para solucionar as vulnerabilidades, porque a compreensão do impacto potencial é fundamental.
Resultado vs. impacto
As vulnerabilidades são geralmente priorizadas pelo impacto potencial para a organização se os cenários de risco que exploram essa vulnerabilidade forem concretizados. Se o potencial impacto for o elemento de priorização, é importante compreender qual é o impacto.
Quando uma vulnerabilidade é explorada, há algum resultado indesejado, tal como divulgação indesejada, modificação não autorizada ou perda de acesso ao bem de informação atingido pela exploração da vulnerabilidade. O impacto é o que acontece como consequência de um resultado indesejado.
Por exemplo, se os registos de saúde cobertos pelas regras de privacidade ou segurança da HIPAA forem roubados, o resultado é a divulgação de informação, mas o impacto para a organização poderia incluir os custos da notificação obrigatória da violação e o potencial de multas e penalidades civis que poderiam chegar aos milhões de dólares.
A priorização da mitigação da vulnerabilidade por potencial impacto pode ser feita de várias formas. Uma ferramenta de priorização geralmente usada é o Common Vulnerability Scoring System (CVSS), que fornece um quadro para a compreensão das características e impactos das vulnerabilidades das tecnologias de informação. A Base de Dados Nacional de Vulnerabilidade, mantida pelo Instituto Nacional de Padrões e Tecnologia (NIST), fornece pontuações CVSS para quase todas as vulnerabilidades conhecidas.
Mesmo que as pontuações CVSS sejam utilizadas como base para priorizar a reparação do risco de cibersegurança, é fundamental que as organizações se certifiquem de que este método faz sentido para elas. Por exemplo, se uma determinada vulnerabilidade receber uma classificação CVSS de baixa ou média gravidade, muitas organizações optarão por não remediar essa vulnerabilidade.
Mas o que dizer da organização que tem muitos sistemas, incluindo sistemas de missão crítica, com essa vulnerabilidade? Essa organização precisa compreender que o impacto potencial para ela não está bem representado pela classificação CVSS, que pode ser muito mais elevado que a classificação CVSS e que a organização deve corrigir a vulnerabilidade.
Conclusão
Mesmo que seja verdadeiro que as violações de cibersegurança são inevitáveis, nem tudo está perdido. O que está realmente sendo dito é que não é possível eliminar completamente a incerteza em relação às falhas de segurança informática.
A maneira tradicional de gerir a incerteza é através da gestão do risco. Uma vez entendido que gerir a cibersegurança é gerir o risco, não há razão para que o risco de cibersegurança não possa ser controlado utilizando os métodos de gestão de risco que são utilizados em qualquer outro lugar.
