Coluna de convidado de Joseph Carson, Cientista-Chefe de Segurança da Thycotic.
Os directores de segurança da informação, CISO, têm um dos pesos mais pesados sobre os ombros do que qualquer outra pessoa numa organização. Sozinhos, dependendo das suas políticas de segurança e da aplicação das mesmas, podem ser responsáveis pelo sucesso ou pela queda de uma empresa inteira.
É, literalmente, uma posição ingrata porque, normalmente, ninguém diz uma palavra até que algo corra completamente mal. Os CISO têm de equilibrar a capacidade de manter a sua equipa interna e, ao mesmo tempo, proteger os dados e a infra-estrutura da organização. Numa única violação, seja devido a um acidente ou à falta de supervisão, toda uma organização pode ficar de rastos, sem qualquer hipótese de recuperação. Pensamos que é crucial que os CISO a todos os níveis garantam que 5 políticas de segurança essenciais são implementadas e rigorosamente aplicadas.
Esta não é uma lista exaustiva, mas é um bom ponto de partida - testemunhamos constantemente a luta dos líderes para implementar estas acções em todos os sectores.
Antes de começarmos, é importante notar que, para que as suas políticas sejam bem sucedidas, têm de ser adoptadas, reconhecidas e apreciadas por todas as pessoas da equipa executiva. A política da empresa deve declarar que o facto de os funcionários não seguirem as políticas de segurança que saem do gabinete de Segurança da Informação pode resultar na rescisão do contrato de trabalho. Deve ser levada a sério, porque todos na organização são responsáveis pela segurança de todo o negócio.
Vamos começar com as 5 principais políticas de segurança que todos os CISO devem aplicar.
Menos privilégio
Este é o número um. Se não estiver a operar com privilégios mínimos, está a correr o risco de comprometer todos os outros sistemas, políticas e procedimentos de segurança em vigor. Pode ter todos os melhores sistemas de segurança, mas se uma conta administrativa ou privilegiada for comprometida, o mesmo acontece com todos os seus sistemas. A melhor maneira de garantir que isso não aconteça é operar sob um processo chamado Least Privilege (privilégio mínimo). Este procedimento, na sua essência, consiste em garantir que cada pessoa dentro e associada à sua organização tem o menor número de privilégios para fazer o seu trabalho quotidiano.
Por exemplo, os empregados do seu departamento de marketing não precisam de ter direitos administrativos locais nas suas estações de trabalho. Podem querer tê-los, por muitas razões, mas não precisam deles para desempenhar as suas funções diárias.
Aqui estão dois aspectos do privilégio a explorar (aviso: ambos são aqueles em que a Thycotic pode realmente ajudá-lo). Separar todos os utilizadores do seu acesso administrativo permanente, ou privilegiado (sim, isto inclui até os seus administradores de TI e de segurança); e remover todo o acesso privilegiado em terminais e aplicações.
O primeiro requer uma solução de Gestão de Contas Privilegiadas (PAM), como o nosso Servidor Secreto, que visa descobrir, armazenar, gerir e proteger contas privilegiadas em toda a sua organização. Os seus administradores podem iniciar sessão no sistema e fazer o checkout de contas privilegiadas apenas quando for absolutamente necessário. Todo este acesso é completamente auditável.
A segunda, a remoção de direitos administrativos de terminais e aplicações, é mais difícil para as organizações avançarem. É frequente ouvirmos que os executivos seniores estão dispostos a aceitar um risco de cibersegurança muito maior para a sua organização do que sobrecarregar os funcionários normais com contas padrão.
Muitas vezes, a razão é o maior número de tickets de suporte/helpdesk necessários quando um utilizador regular precisa de instalar ou atualizar aplicações. Mais uma vez, a Thycotic pode ajudar neste caso com a nossa solução Privilege Manager para Windows e Mac. O Privilege Manager permite-lhe configurar rapidamente políticas baseadas em aplicações para permitir a execução de software aprovado (lista branca de aplicações), negando e bloqueando todas as aplicações desconhecidas. E para as aplicações sem uma política, pode colocá-las numa lista cinzenta e permitir que os utilizadores apresentem um pedido de acesso. Agora, os utilizadores podem instalar software aprovado e contornar o UAC, elevando a aplicação com privilégios baseados nas políticas que definiu para eles.
Sistemas de remendo
Esta é uma das políticas mais fáceis e, curiosamente, uma das mais esquecidas numa organização. Se operar sob privilégios mínimos e mantiver os seus sistemas actualizados com as últimas correcções de segurança e de erros, estará a mitigar 99% de todas as potenciais ameaças na sua organização. Talvez eu não devesse dizer "políticas esquecidas", porque na verdade ouvimos muitas empresas que optam por não actualizar/patches dos seus sistemas por várias razões. A razão número um para não o fazer é o facto de poderem quebrar aplicações existentes que foram criadas internamente. Todos nós já ouvimos isso antes, organizações que ainda estão em versões não suportadas do Windows.
Mais uma vez, a liderança executiva é confrontada com o dilema "Risco vs Recompensa". Se corrigirem os seus sistemas, isso pode custar horas de inactividade, recursos, horas e dinheiro. Mas se não corrigirem os sistemas, tudo continua normalmente e só esperam não ser o próximo alvo de um ataque cibernético.
Por falar em ataques cibernéticos, o ransomware WannaCry é um excelente exemplo da razão pela qual é fundamental manter os sistemas corrigidos e actualizados. Quando são descobertas vulnerabilidades, os hackers tentam rapidamente criar ferramentas que tiram partido dessas vulnerabilidades e tentam explorar as organizações que não corrigiram os seus sistemas contra essa vulnerabilidade. A Microsoft corrigiu os seus sistemas meses antes de o ransomware WannaCry ser lançado. Os atacantes criaram o WannaCry num esforço para explorar as organizações que não mantiveram os seus sistemas actualizados - e havia milhares delas.
Formação em segurança
O elo mais fraco em qualquer postura de segurança será sempre o ser humano, e é por isso que recomendo tirar o ser humano da equação sempre que possível (como utilizar um gestor de palavras-passe centralizado, como o Secret Server, em vez de exigir que se lembrem das palavras-passe). Mesmo assim, é importante garantir que todos os funcionários passem por um treinamento de segurança trimestral. A formação interactiva também é útil, por exemplo, submeter os funcionários a um ataque de phishing simulado para ver como reagem e poder corrigir os funcionários que falham o teste.
Os funcionários que continuam a falhar nos testes de formação de segurança devem correr o risco de serem despedidos. Os atacantes estão sempre a tentar encontrar os pontos mais fracos de uma rede, e não há nada melhor do que um funcionário normal que é vítima de um ataque de phishing ou de engenharia social para obter acesso à sua rede.
Exercícios de emergência de segurança
Este aspecto é frequentemente ignorado em muitas organizações. Muitas equipas de TI e de segurança têm sistemas de cópia de segurança, procedimentos de recuperação de desastres, políticas de emergência, etc., mas não conseguem testar esses sistemas num verdadeiro exercício.
Pelo menos uma vez por trimestre, a sua equipa deve realizar exercícios que simulem um ataque ou um evento catastrófico para a sua organização. Faça com que restaurem as cópias de segurança e certifique-se de que estão a funcionar, ou mude tudo para os sistemas de failover num cenário de recuperação de desastres. Toda a sua preparação e planeamento de eventos são inúteis se não funcionarem realmente e se a equipa não estiver adequadamente preparada e não tiver experiência em como fazer com que tudo volte a funcionar imediatamente.
Quanto tempo demoraria a sua organização a ser afectada por um acto da natureza ou por um ataque informático? Se não sabe a resposta a esta pergunta, talvez seja altura de realizar alguns exercícios de emergência de segurança.
Documentar, reportar e auditar
Documente tudo o que faz, reporte o sucesso das suas políticas e execute auditorias internas a todos os seus sistemas. Mesmo que não seja uma organização sujeita a considerações regulamentares, como a PCI ou a HIPAA, é extremamente positivo que se submeta a auditorias internas trimestrais. Por último, não agende estas auditorias, conduza-as sem aviso prévio. A realização de auditorias surpresa aos seus sistemas assegura que as suas equipas de TI e de segurança estão sempre a fazer o seu melhor para garantir que estão a seguir as políticas que definiu.
Esperamos que tenham sido úteis, não só se for um CISO, mas também para qualquer pessoa responsável por liderar os programas de segurança e protecção de toda a sua organização.