Errar é humano, mas para causar um desastre você precisa de computador, rede e ajuda. O trinômio pessoas, processos e tecnologia vale para o bem e para o mal. Os grandes incidentes de cibersegurança decorrem de vários movimentos, com muito “workflow” e colaboração – se supõe erro ou omissão não apenas em um ponto, mas em diversos pequenos descuidos que dão as condições para o golpe de finalização.

Tudo é importante e a forma de escalonar as prioridades, para caber no possível, depende de uma avaliação de riscos e impacto peculiar a cada um. Em alguns casos, a urgência pode ser proteger o dado em si, com ênfase em proteção contra vazamento e violação de privacidade (DLP e gestão de chaves criptográficas). A segurança do endpoint (EDR) pode ser o ponto sensível para quem já tem bem resolvida a centralização de aplicações e os controles de acesso. No e-commerce, prevalece a segurança de aplicações e banco de dados como ponto de constante atenção. E tem ainda a questão do skill de segurança e das condutas dos colaboradores. Sempre depende…

Mesmo que empresas do mesmo segmento apresentem necessidades semelhantes, não existe um guia definitivo de cibersegurança. O que serve como uma boa referência são alguns clichês recorrentes nas histórias tristes dos CISOs; das medidas que todos sabem ser mandatórias e são sucessivamente postergadas para terça que vem.

Sistemas ignoram demissões – grande parte dos incidentes de malware e vazamento são causados por descuidos com os serviços de diretório e controle de identidade e acessos. Desativar as senhas de funcionários desligados ou qualquer usuário cuja relação tenha expirado tira do repertório dos cibercriminosos os insiders mais vulneráveis, por descompromisso ou mesmo por ressentimento.

Usuários privilegiados e administradores; grandes poderes, responsabilidade compartilhada – o nirvana do atacante é assumir as prerrogativas do root, ou dos tomadores de decisão. Há hoje serviços de PAM (gestão de acessos privilegiados), que criam esquemas de elevação de privilégios, dando acesso às funções críticas necessárias a determinada operação. Essas autorizações podem passar por um workflow, inclusive com processos offline (fora do perímetro hackeável), para usar o elemento humano como a camada intransponível (por exemplo, submeter a autorização a um código de um gerente ou outro corresponsável, conforme a justificativa do usuário para aquela operação).

Customizar e reduzir o escopo do EDR – as atuais plataformas de EDR (Detecção e Resposta no Endpoint) são centrais em praticamente todas as operações. Antes disso, contudo, uma recomendação consagrada entre os CISOs é rever as configurações de fábrica de todos os endpoints. A dificuldade é que não existe um modelo genérico para definir o que deve e pode ser removido (Telnet, RDP etc.), embora haja formas de automatizar as reconfigurações para perfis de usuários. É importante destacar que “todos os endpoints” inclui os servidores, inclusive as máquinas físicas ou virtuais em nuvem. (Os modelos de responsabilidade compartilhada da AWS e da Azure deixam claras as atribuições dos contratantes).

A sopa de letras da cibersegurança e os custos de um ambiente zero trust – a segurança em várias camadas é um fato da vida. Assim como o custo total de um carro pressupõe pagar por cinto de segurança e semáforos, o WAF (firewall de aplicação) faz parte do normal quando se pensa em expor qualquer aplicação; o storage tem que ter sua defesa e o dado, por sua vez, deve estar seguro por si mesmo, com criptografia. O facilitador é a oferta desses recursos no modelo as a service, o que permite situar os orçamentos de cibersegurança nas estratégias de geração de valor (MVP, por exemplo.)

Segmentação e VLANs, mitigação de risco no ferro – confrontar a arquitetura de conectividade com as necessidades operacionais e simplificar a camada de infraestrutura muitas vezes têm grande impacto na gestão de vulnerabilidades e pode até tornar prescindíveis proteções de mais alto nível.

Pedro Paulo Nakazato Miyahira é Head de Cybersecurity da CYLK Technologing