Cinco lições importantes de cibersegurança para CEO

As medidas de segurança da informação são muito mais eficazes quando apoiadas pela alta administração. Como conquistar esse suporte?

A segurança da informação não é nada menos do que estressante: a busca constante por possíveis incidentes e horas cronicamente longas são agravadas pela batalha sem fim com outros departamentos que veem a cibersegurança como um incômodo desnecessário. Na melhor das hipóteses, eles tentam não pensar nisso, mas em casos especialmente graves, se esforçam para evitar qualquer coisa relacionada à segurança da informação. Como resultado lógico, 62% dos principais gerentes entrevistados pela Kaspersky admitem que mal-entendidos entre os departamentos de negócios e de cibersegurança levaram a sérios incidentes. Para mudar as atitudes de toda a empresa em relação à segurança, é vital obter o apoio do mais alto nível – do conselho de administração. Então, o que dizer ao seu CEO ou presidente, já que eles estão sempre ocupados e provavelmente raramente com vontade de pensar no assunto? Aqui estão cinco palestras didáticas e digeríveis para continuar repetindo nas reuniões até que a gerência sênior entenda a mensagem.

Ensine cibersegurança à equipe – e comece pelo topo

Qualquer treinamento requer confiança no professor, o que pode ser difícil se o aluno for o CEO. Estabelecer uma ponte interpessoal e ganhar credibilidade será mais fácil se você começar não com a estratégia, mas com a cibersegurança pessoal da alta administração. Isso afeta diretamente a segurança de toda a empresa, pois os dados pessoais e senhas do CEO costumam ser alvo de golpistas.

No caso, por exemplo, do escândalo do final de 2022 nos EUA, quando hackers invadiram a rede social VIP Infragard, usada pelo FBI para informar confidencialmente CEOs de grandes empresas sobre as ciberameaças mais graves. Os invasores roubaram um banco de dados com endereços de e-mail e números de telefone de mais de 80.000 membros e o colocaram à venda por US$ 50.000. Armados com essas informações de contato, aqueles que as compraram poderiam ganhar a confiança dos CEOs afetados ou usá-las em ataques BEC.

Com isso em mente, é fundamental que a alta gestãp use autenticação de dois fatores com tokens USB ou NFC em todos os dispositivos, tenha senhas longas e exclusivas para todas as contas de trabalho, proteja todos os dispositivos pessoais e de trabalho com software apropriado e mantenha a vida digital do trabalho separada da pessoal. Em suma, as dicas usuais para o usuário cauteloso – mas reforçadas pela consciência do custo potencial de um erro. Pela mesma razão, é importante verificar novamente todos os e-mails e anexos suspeitos. Alguns executivos podem precisar da ajuda de alguém da área de segurança da informação para lidar com links ou arquivos particularmente suspeitos.

Uma vez que a gerência tenha aprendido as lições básicas de segurança, você pode orientá-la gentilmente no caminho de tomada de uma decisão estratégica: treinamento regular de segurança da informação para todos os funcionários da empresa. Existem requisitos de conhecimento diferentes para cada nível de funcionários. Todos, incluindo os funcionários da linha de frente, precisam assimilar as regras de ciber-higiene mencionadas acima, bem como dicas sobre como responder a situações suspeitas ou fora do padrão. Os gerentes — especialmente os de TI — se beneficiariam de uma compreensão mais profunda de como a segurança é integrada ao desenvolvimento do produto e ao ciclo de vida de uso, quais políticas de segurança adotar em seus departamentos e como tudo isso pode afetar o desempenho dos negócios. Por outro lado, os próprios funcionários de Infosec devem estudar os processos de negócios adotados na empresa para ter uma ideia melhor de como integrar sem problemas as proteções necessárias.

Integrar a cibersegurança na estratégia e nos processos da empresa

À medida que a economia se digitaliza, o cenário dos cibercrimes se torna… mais complexo. Com isso, a regulamentação se intensifica e o gerenciamento de riscos digitais está se tornando uma tarefa completa e complexa, em nível de diretoria. Existem aspectos tecnológicos, humanos, financeiros, jurídicos e organizacionais nisso, então os líderes de todas essas áreas precisam estar envolvidos na adaptação da estratégia e dos processos da empresa.

Como podemos minimizar o risco de um fornecedor ou contratado ser hackeado, já que podemos nos tornar um alvo secundário em tal cenário? Quais leis em nosso setor regem o armazenamento e a transferência de dados confidenciais, como informações pessoais dos clientes? Qual seria o impacto operacional de um ataque de ransomware que bloqueia e apaga todos os computadores e quanto tempo levaria para restaurá-los a partir de backups? O dano à reputação pode ser medido em dinheiro quando um ataque a nós se torna conhecido por parceiros e pelo público? Que medidas de segurança adicionais tomaremos para proteger os funcionários que trabalham remotamente? Estas são as questões que os serviços de segurança da informação e os especialistas de outros departamentos devem abordar, apoiados em medidas organizacionais e técnicas.

É importante lembrar à alta direção que “comprar este [ou aquele] sistema de proteção” não é uma bala de prata para nenhum desses problemas, pois, segundo várias estimativas, entre 46% e 77% de todos os incidentes estão relacionados ao fator humano, desde a não conformidade com regulamentos e funcionários mal-intencionados até a falta de transparência de TI por parte dos contratados.
Apesar disso, as questões de segurança da informação sempre vão girar em torno do orçamento.

Invista adequadamente

O dinheiro para a segurança da informação está sempre em falta, enquanto os problemas a serem resolvidos nessa área parecem infinitos. É importante priorizar de acordo com os requisitos do setor em questão, com as ameaças mais relevantes para sua organização e com potencial de causar mais danos. Isso é possível em praticamente todas as áreas — desde o fechamento de vulnerabilidades até o treinamento de pessoal. Nenhum pode ser ignorado e cada um terá suas próprias prioridades e ordem de precedência. Trabalhando dentro do orçamento alocado, eliminamos os principais riscos e passamos para os menos prováveis. É uma tarefa quase impossível classificar as probabilidades de risco por conta própria, portanto, você precisará estudar [TI placeholder]relatórios de cenários de ameaças[/TI placeholder] para seu setor e analisar os vetores de ataque típicos.

As coisas ficam realmente interessantes, é claro, quando o orçamento precisa ser aumentado. A abordagem de orçamentação mais madura é aquela baseada nos riscos e no respectivo custo da sua atualização e mitigação, mas é também a mais trabalhosa. Exemplos reais — de preferência da experiência dos concorrentes — desempenham um importante papel de apoio nas discussões da diretoria. Contudo, eles não são fáceis de serem obtidos, e por isso é comum recorrer a vários benchmarks que dão orçamentos médios para uma determinada área de negócio e país.

Considere todos os tipos de riscos

As discussões sobre segurança da informação geralmente se concentram demais em hackers e soluções de software para derrotá-los. Mas as operações diárias de muitas organizações enfrentam outros riscos que também dizem respeito à Infosec.

Sem dúvida, um dos mais prevalentes nos últimos anos tem sido o risco de violação das leis de armazenamento e uso de dados pessoais: GPDR, CCPA, LGPD e similares. A prática atual da aplicação da lei mostra que ignorar tais marcos legais não é uma opção: mais cedo ou mais tarde o regulador imporá uma multa e, em muitos casos – especialmente na Europa – estamos falando de somas substanciais. Uma perspectiva ainda mais alarmante para as empresas é a imposição de multas com base no volume de vazamentos ou tratamento inadequado de dados pessoais; portanto, uma auditoria abrangente dos sistemas e processos de informação com vistas à eliminação passo a passo das violações seria muito oportuna.

Várias indústrias têm seus próprios critérios ainda mais rígidos, em particular os setores financeiro, de telecomunicações e de saúde, bem como operadores de infraestrutura crítica. Os gerentes dessas áreas devem monitorá-las regularmente visando melhorar o cumprimento dos requisitos regulamentares em seus departamentos.

Responda corretamente

Infelizmente, apesar dos melhores esforços, os incidentes de cibersegurança são praticamente inevitáveis. Se a escala de um ataque for grande o suficiente para atrair a atenção da diretoria, isso quase certamente significa uma interrupção das operações ou vazamento de dados importantes. Não apenas a segurança da informação, mas também as unidades de negócios devem estar prontas para responder, de preferência por meio de exercícios. No mínimo, a alta administração deve conhecer e seguir os procedimentos de resposta se quiser ter um resultado favorável. Existem três passos fundamentais para o CEO:

  1. Notificar imediatamente as partes principais sobre um incidente; dependendo do contexto: departamentos financeiro e jurídico, seguradoras, reguladores do setor, reguladores de proteção de dados, aplicação da lei, clientes afetados. Em muitos casos, o prazo para tal notificação é estabelecido por lei, mas caso não seja, deve ser previsto em regimento interno. O bom senso determina que a notificação seja imediata, mas informativa; ou seja, antes de notificar, devem ser coletadas informações sobre a natureza do incidente, incluindo uma avaliação inicial da escala e as medidas adotadas para resposta imediata.
  2. Investigue o incidente. É importante tomar diversas medidas para poder avaliar corretamente a escala e as ramificações do ataque. Além de medidas puramente técnicas, pesquisas com funcionários também são importantes, por exemplo. Durante a investigação, é vital não danificar as evidências digitais do ataque ou outros artefatos. Em muitos casos, faz sentido trazer especialistas externos para investigar e consertar o incidente.
  3. Elabore um planejamento com cronograma de comunicações. Um erro típico que as empresas cometem é tentar ocultar ou minimizar um incidente. Mais cedo ou mais tarde, a verdadeira escala do problema surgirá, prolongando e ampliando os danos – de reputação a financeiros. Portanto, a comunicação externa e interna deve ser regular e sistemática, entregando informações consistentes e de uso prático para clientes e funcionários. Eles devem ter uma compreensão clara de quais ações tomar agora e o que esperar no futuro. Seria uma boa ideia centralizar as comunicações; ou seja, nomear porta-vozes internos e externos e proibir qualquer outra pessoa de exercer essa função.

Comunicar assuntos de segurança da informação para a gerência sênior é bastante demorado e nem sempre recompensador, então é improvável que essas cinco mensagens sejam transmitidas e levadas a sério em apenas uma ou duas reuniões. A interação entre o negócio e a Infosec é um processo contínuo que requer esforço mútuo para entender melhor um ao outro. Somente com uma abordagem sistemática, passo a passo, realizada de forma regular e envolvendo praticamente todos os executivos, sua empresa pode ganhar vantagem sobre os concorrentes na navegação do cibercenário atual.

Dicas