Framework de Cibersegurança NIST parte 2: Proteger

Um dos objetivos principais de muitos dos gestores de segurança de informação (os conhecidos CISO) é ampliar as defesas que sua empresa usa para proteger seus bens mais importantes. Não é difícil de compreender essa priorização diante do atual cenário de segurança digital: 360.000 novos arquivos maliciosos foram descobertos diariamente em 2017 e muitas destas ameaças têm continuado ativas em 2018.

Contudo, adotar uma postura de segurança realmente consistente é mais difícil do que pode parecer para a maioria das empresas. Como Brandon Vigliarolo, articulista da TechRepublic, apontou, desafios como falta de compartilhamento eficiente de informação podem criar brechas na proteção de informação da empresa.

Buscando normatizar as práticas de segurança da informação, o Instituto Nacional de Normas e Tecnologia (NIST, na sigla em inglês) criou um Framework de Cibersegurança (CSF, na sigla em inglês) para servir de referência para as atividades dos CISO e do pessoal ligado à segurança da informação dentro das empresas.

Na primeira parte desta série de artigos, nós oferecemos uma visão geral sobre o NIST CSF e analisamos sua primeira função. Relembrando: a função “Identificar” requer que as empresas melhorem sua compreensão dos sistemas que compõe sua própria infraestrutura crítica, assim como os riscos associados a cada uma destas plataformas. Clique aqui para ver o artigo completo.

A função identificar estabelece a fundamentação, permitindo um conhecimento e compreensão mais profundos; a função Proteger, tema deste artigo, em sequência, baseia-se nestes conhecimentos para oferecer um leque de ações para a empresas garantirem a segurança de seus principais ativos digitais.

Proteger: definições

A segunda função dentro do CSF requer que os CISOs e suas equipes “desenvolvam e apliquem as medidas de segurança necessárias para garantir a continuidade operacional de serviços críticos de infraestrutura”, conforme estipulado no documento. Ao praticar essa função, os responsáveis pela segurança deve buscar reduzir o impacto de um possível incidente de cibersegurança aplicando as melhores práticas de proteção de dados e segurança em geral.

Todas as funções previstas neste framework são organizadas de forma lógica, de modo que o CISO pode encontrar na função Identificar a base para formar um pensamento em segurança da empresa, enquanto trata a função proteger como o materialização deste pensamento na forma de práticas. A partir deste ponto as demais funções – Detectar, Responder e Recuperar – completam o framework.

A função Proteger está intimamente ligada à ideia de limitar e controlar o acesso à sistemas e ativos essenciais, tanto físicos quanto digitais, aplicando medidas de proteção para evitar acessos não-autorizados.

Categorias e atividades de Proteger

Como explicado na parte inicial desta série de artigos, o framework da NIST é composto por cinco funções, cada qual com suas categorias, subcategorias e tarefas específicas. Vamos examinar as categorias e tarefas ligadas à função Proteger:

  • Controle de acesso: como citado anteriormente, esta função está relacionada à prática de estabelecer medidas para acesso seguro por parte dos usuários autorizados, ao mesmo tempo em que indivíduos não-autorizados são impedidos de ver, acessar ou modificar sistemas, dados ou ativos da empresa. Primeiramente, os CISO e suas equipes precisam garantir que todos os usuários autorizados tenham suas credenciais devidamente cadastradas. Com isso, o pessoal de segurança deve gerenciar o acesso físico e remoto a seus ativos digitais;
  • Treinamento e conscientização: uma parte fundamental desta função está ligada à disseminação de informações de segurança. Neste sentido, os decisores ligados à segurança precisam treinar suas equipes para que entendam e apliquem eficientemente as práticas e diretrizes de segurança da empresa;
  • Segurança de dados: uma vez feito todo o cadastro de credenciais e já aplicados os projetos de treinamento, é hora de olhar para as ações de segurança de dados em si. Dentro desta categoria, o pessoal de segurança precisa atuar de forma consistente para manter uma gestão de informação consistente com a política de riscos da empresa, além de garantir a confidencialidade da informação enquanto mantém o acesso adequado da mesma a todas as partes relevantes;
  • Processos e procedimentos de proteção de informação: esta categoria trata da manutenção e aplicação de procedimentos e práticas para proteger adequadamente dados críticos e os sistemas onde estão. Estas políticas foram originalmente estabelecidas dentro da categoria Governança, na função Identificar. Com base nas ações desenvolvidas naquela etapa, esta categoria visa à criação e gestão de planos para resposta a incidentes, continuidade operacional, recuperação de desastres, assim como o estabelecimento de protocolos de testes para estes planos;
  • Manutenção: esta diretriz envolve os cuidados relacionados à manutenção do sistema, garantindo que ocorram de maneira previamente programada e, em caso de manutenção remota, com os devidos cuidados para prevenir acessos não-autorizados;
  • Tecnologia de proteção: finalmente, esta categoria foca no aspecto técnico de soluções de segurança, exigindo documentação, implementação e revisão de registros de logs e a proteção de mídias removíveis, além de comunicação e controle de rede.

O Proteger no mundo real: Ransomware

Uma das ameaças que mais tem levantado preocupações é o chamado ransomware, um perigo que evidencia a importância de se aplicar medidas de proteção que garantam que os usuários possam acessar e usar as tecnologias e sistemas críticos de seu negócio.

Conforme aponta a pesquisa da Trend Micro, o ransomware tem sido uma ameaça particularmente difundida já há algum tempo, com os primeiros casos registrados por volta de 2005 e 2006. Desde então, o ransomware tem evoluído bastante, permitindo que expandam sua capacidade operacional, assim como aumentem os valores cobrados pelo resgate dos arquivos.

O elo de ligação entre todos os ataques de ransomware é a incapacitação de sistemas centrais de organizações. Esta ameaça é baseada em uma criptografia pesada que impede usuários de acessar dados e sistemas cruciais para a realização de suas atividades diárias, forçando com que paguem o resgate para obter o acesso a seus arquivos novamente. Basicamente, o discurso dos hackers neste caso é “eu bloqueei seu acesso a seus sistemas e, por isso, sua empresa está perdendo dinheiro. Pague o resgate ou continue sem acesso às suas estruturas mais importantes”.

Enquanto os primeiros ataques de ransom eram mais voltados para a ideia de receber pagamento para restabelecer o acesso da vítima ao sistema, atualmente eles seguem mais uma linha de extorsão do alvo. Se resgatarmos a definição de Proteger dentro deste framework, esta função gira em torno de estabelecer medidas de segurança para garantir acesso e a continuidade operacional de sistemas críticos ao funcionamento do negócio; dessa forma, uma ameaça como o ransomware reforça a importância de defesas para aplicações e sistemas fundamentais da empresa.

“Os ataques de ransomware visam máximo impacto e velocidade”, afirma Ed Cabrera, Chief Cybersecurity Officer da Trend Micro. “Os cibercriminosos sabem que quanto mais rapidamente eles conseguirem atacar e bloquear dados e sistemas críticos, mais provável é que suas vítimas paguem, e bastante. Os CISOs precisam responder à altura desta ameaça que só vem crescendo, estabelecendo medidas dinâmicas de proteção baseadas em prevenção.”

Os esforços de proteção devem permear toda a empresa e envolver todos os colaboradores, desde o CISO e sua equipe até todas as outras equipes e departamentos; adicionalmente, aplicar uma estratégia multicamadas de proteção de dados pode ajudar a estender esta defesa para toda a empresa.

Confira sempre nosso blog para ver a próxima parte desta série de artigos: a função Detectar.

Categorias

Veja outras publicações

Menu