Nós profissionais da área de Segurança Cibernética, temos uma única certeza que cedo ou tarde seremos atacados! É assustador? Para alguns sim, mas para quem está consciente de seus riscos, certamente poderão, quem sabe colocar a cabeça no travesseiro e ter uma boa noite de sono, eu disse “Quem sabe…”
Caro leitor, espero que fique cada vez mais evidente a importância da conscientização das organizações em relação a adoção de boas práticas de Segurança Cibernética, afinal de contas, como vamos nos proteger do que não sabemos, não é mesmo? Quando colocamos a sujeira debaixo do tapete é uma coisa, mas e quando nem sabemos que há tapete? Aqui chamo a atenção que, comprovadamente, é muito melhor Prevenir do que Remediar….
Mas por onde começar? O primeiro passo é sempre buscar informações em frameworks, que trazem as boas práticas como as do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology), que trazem muita informação de qualidade para melhor entedimento do fluxo para iniciar uma jornada segura, porém é muito comum e recomendável à maioria das empresas que não possuem mão de obra especializada em Segurança Cibernética, buscar uma empresa especializada que possa auxiliá-lo a descobrir quais os principais pontos à levantar seus riscos cibernéticos, de forma muito objetiva para colocar em prática a iniciativa é essencial seguir essas três etapas:
1) Identificar
2) Priorizar
3) Mitigar
Assim será possivel, ter uma fotografia dos riscos e ameaças iminentes que podem comprometer sua organização, que quando são trazidos à LUZ!, podem efetivamente se transformar em ações corretivas e mitigatórias, e eu diria, devem iniciar o quanto antes.
Destaco abaixo os principais pontos:
- Conheça ou Reconheça Seus Ativos
Antes de tudo, saiba o que você precisa proteger, muitas vezes no recohecimento descobrimos coisas que não haviamos mapeado, isso acontece com frequência. Em seguida faça uma lista dos ativos da empresa: servidores, computadores, sistemas, firewalls,roteadores, aplicativos, dados críticos e até processos internos. Como referência no modelo do NIST, isso faz parte da etapa de “Identificar”.
Dica da Eduka7: Priorize o que é mais importante para o negócio, como dados de clientes ou sistemas que não podem parar.
2 – Entenda as Ameaças e Vulnerabilidades
Quais são os problemas que podem atingir sua empresa? Ataques de hackers, phishing, vazamento de dados, ou até erros humanos?
Use frameworks como o CIS Controls, que ajudam a identificar vulnerabilidades e implementar controles para mitigá-las.
Dica da Eduka7: Atualize sistemas e corrija as falhas conhecidas, como aquelas que aparecem em relatórios de vulnerabilidade vejamos maiores detalhes a seguir.
3 – Comunicação com o Time
Quem pode conhecer melhor os processos do que quem trabalha neles? Então converse com time, faça entrevistas e aplique questionários para saber como as equipes lidam com segurança no dia a dia. Isso ajuda a identificar práticas inseguras e na maioria das vezes pode revelar desconhecimento sobre o tema.
Dica da Eduka7: Inclua perguntas simples, como “Você já recebeu um e-mail estranho? O que fez com ele?”
4 – Análise Incidentes Passados
A empresa já teve algum problema com invasões ou perda de dados? Pode ser que nunca tenha ocorrido um ataque, ou mesmo tenha ocorrido um ataque ou vazamento que pareça pequeno ou irrelevante, é muito importante trazer esses eventos para mesa pois ajudam a identificar padrões e áreas que precisam de atenção.
Dica da Eduka7: Olhe para os logs dos sistemas, firewalls e veja se há registros de acessos estranhos ou erros frequentes.
5 – Conformidade, você está em “Linha”?
Sua empresa segue normas como LGPD, ISO 27001 ou outras exigências do mercado? O NIST Cybersecurity Framework sugere avaliar o alinhamento com regulamentações para evitar multas e garantir a conformidade, esse ponto é crucial pois muitas empresas quando exigidas por parceiros ou fornecedores correm atrás da conformidade, e iniciam de forma reativa, que não é recomendável, aqui vale a reflexão é “Melhor Prevenir do que Remediar”.
Dica da Eduka7: Use ferramentas de mercado ou checklists para descobrir onde estão as lacunas de segurança.
6 – O preço da Perfeição é a Prática constante (autor desconhecido)
Nada melhor do que simular ataques reais para ver onde o sistema pode falhar. Testes de penetração (ou “Pentests”) e varreduras de vulnerabilidades são essenciais como práticas constantes. O CIS Controls recomenda fortamente essa prática afim de manter tudo sob controle, haja vista que mudanças ocorrem continuamente nos ambientes. por mais controlados que sejam, sempre algo pode ficar para trás e ser a brecha o que o hacker procura.
Dica da Eduka7: Contrate especialistas ou use ferramentas especializadas preferencialmente automatizadas para encontrar falhas técnicas sistematicamente.
7 – Fique de “Olho nos Fornecedores”
Muitas vezes negligenciados, seus parceiros ou fornecedores podem ser o elo mais fraco da cadeia. Busque o espírito de cooperação avalie os riscos cibernéticos deles sempre que possível, porque uma falha na segurança deles pode impactar você, fique atento!.
Dica da Eduka7: Pergunte aos fornecedores como eles lidam com segurança e fazendo sentido para seu negócio exija evidências, como certificações ou relatórios de auditoria regulares.
8 – Exercícios são fundamentais, simule e se prepare!
Imagine cenários de risco, como um ataque de ransomware ou um vazamento de dados, e avalie o impacto no seu negócio. Isso é essencial para preparar respostas rápidas e eficazes, seguindo a etapa “Responder” do NIST Framework.
Dica da Eduka7: Crie um plano de resposta a incidentes e treine seu time para saber o que fazer em situações de crise, NÃO negligencie essa etapa pois pode custar muito para organização.
Fecho o artigo, com a reflexão que além de obter consciência e clareza, com a LUZ! (adoro esse trocadilho rs) há outros dois aspectos fundamentais que devem ser considerados; O apetite ao risco e o poder de investimento/comprometimento da organização para elevação da maturidade cibernética, eu diria que a intensidade dessas duas premissas guiarão as iniciativas para um processo contínuo de segurança cibernética de sucesso.
Caso precise de maiores esclarecimentos entre em contato comigo pelo LinkedIN, terei o prazer em entender sua necessidade e atender sua empresa.
Deixe seus comentários 🙂 e se gostou do artigo compartilhe em sua rede!
Até a próxima
Fraterno abraço
