Identificar os ativos de informações de missão crítica é essencial para criar uma arquitetura de segurança eficaz. Quais ativos exigem melhores defesas e proteção?
Proteger informações e dados nunca foi tão necessário quanto é atualmente. O surgimento de leis rigorosas de proteção de dados e privacidade, tais como o General Data Protection Regulation (GDPR) e o ePrivacy Regulation (ePR) na Europa, a Lei Geral de Proteção de Dados (LGPD) no Brasil e tantas outras, não apenas reafirma a importância dos dados, como também endurece o jogo para aqueles que os coletam, manipulam e armazenam. Os relatórios de violações contínuas de dados, apesar das novas políticas, acirram ainda mais esse ponto.
De acordo com um estudo da IBM, a despesa da violação de dados aumentou, custando em torno US$ 3,86 milhões por incidente em 2018. Mas é provável que as organizações paguem ainda mais, devido a multas pela violação das leis de proteção de dados, como foi o caso da UK British Airways (multada em US$ 230 milhões), Marriott (multada em US$ 124 milhões) e Equifax (multada em US$ 575 milhões). Cada relatório destaca a constância de ameaças, as consequências dispendiosas e as falhas de segurança que tornam violações possíveis.
Diante desses fatores, as organizações devem começar a reavaliar se os recursos que possuem são suficientes para proteger os dados que coletam, armazenam e processam.
Quais são os ativos de informações críticas de uma organização?
Para começar, as organizações devem identificar seus ativos de informação de missão crítica que, se comprometidos, causariam grandes danos aos seus negócios. Diferentes setores mantêm diferentes formas de dados, ou os mesmos dados, porém mantidos com graus variados de importância; ativos de informação também podem assumir diferentes formas para diferentes organizações.
Aqui estão classificações gerais de informação que as organizações podem considerar como suas “joias da coroa”.
- Informação competitiva. Esse tipo de dados está no cerne de todo negócio. Envolve segredos comerciais, informações de R&D ou qualquer tipo de informação que dê às empresas uma vantagem competitiva. Podem ser segredos comerciais de longa data que definem a identidade da empresa. Para uma empresa farmacêutica, podem ser as fórmulas de seus produtos. Isso também pode incluir dados operacionais coletados (como informações sobre concorrentes, dados de projeção e métricas de clientes) que orientam as decisões da empresa.
- Informação jurídica. Documentos como direitos autorais e contratos que têm influência legal são algumas das informações mais confidenciais e cruciais que as organizações protegem. Esses documentos estabelecem condições e acordos oficiais feitos pela organização com entidades separadas, como clientes, contratados terceirizados ou funcionários. Eles também protegem legalmente a propriedade intelectual e outros ativos de uma organização.
- Informações de identificação pessoal (PII). Esse tipo específico de informação está no centro de muitas leis de proteção de dados, principalmente o GDPR. As PII podem ser informações de clientes ou funcionários que podem ser usadas para identificar indivíduos.
- Dados de operações diárias. Dependendo do negócio, qualquer um dos outros tipos de informações acima pode se enquadrar nessa categoria de dados. Cada departamento de uma organização possui dados específicos que eles modificam ou usam todos os dias e são necessários para as operações diárias da empresa. Os recursos humanos, por exemplo, lidam com dados como salário dos funcionários ou informações de saúde, e, portanto, estão muito envolvidos no tratamento das IIPs dos funcionários.
De acordo com o Cyber Risk Index (CRI) da Trend Micro e da Ponemon, os principais tipos de dados em risco – informações de P&D, contas de clientes, segredos comerciais e dados confidenciais da empresa – se enquadram em pelo menos uma dessas categorias. Os cibercriminosos podem adaptar seus ataques ao tipo de informação que desejam atingir. Eles também poderiam escolher seu alvo com base no que seria o maior alcance, porque uma empresa direcionou seus recursos de segurança para outro lugar.
Como as organizações podem identificar ativos de missão crítica?
As organizações podem ter diferentes categorizações para os dados e informações que armazenam, mas cada organização deve estabelecer um conjunto definitivo de parâmetros para definir seus ativos de informações críticas. Alguns fatores que elas podem considerar para escolher quais ativos proteger são os seguintes:
VALOR. Os dados que uma organização optou por registrar e armazenar devem ter um valor inato. Este valor pode ser alterado ou depreciado com o tempo. As organizações devem poder avaliar qual o valor que os dados trazem para sua empresa e o quanto influencia seus processos.
RISCOS. Uma boa maneira de avaliar a importância dos dados é antecipar o tipo de ameaças e riscos que eles podem inspirar. É o tipo de dados que interessaria a indivíduos mal-intencionados? Quão acessível é? Ao responder a perguntas semelhantes, as organizações podem avaliar o nível de risco que determinadas informações podem enfrentar e elevar sua proteção.
IMPACTO. Qual seria a consequência se um invasor comprometer ou roubar determinadas informações? Se o impacto for grande o suficiente para atingir as fronteiras da organização – se afetar a segurança de vários clientes, por exemplo – as organizações devem considerar a proteção dessas informações como um ativo crítico.
Quais dados importantes as empresas devem proteger?
O objetivo da identificação de ativos críticos é determinar a melhor maneira de distribuir recursos e projetar uma estrutura de segurança apropriada que minimize os riscos associados à possível violação desses ativos. No entanto, uma organização ainda deve reconhecer que os dados que não foram identificados como de missão crítica ainda têm um valor inerente e devem ser contabilizados. Segue a lista deles abaixo:
INFORMAÇÃO PUBLICAMENTE DISPONÍVEL
As empresas precisam ter certas informações sobre si disponíveis ao público, através de sites que ajudam clientes em potencial. É provável que funcionários individuais também possuam contas de mídias sociais. Todas essas informações, embora consideradas inofensivas o suficiente para o público, podem ser úteis para agentes mal-intencionados que realizam reconhecimento antes de um ataque real.
ESTRUTURA E CULTURA DA EMPRESA
Essas informações estão profundamente integradas na empresa e provavelmente são difíceis de colocar em palavras ou dados reais. No entanto, pode ser presumido através da observação e do “boca-a-boca”. Assim como essas informações podem ser importantes para dar perspectiva aos funcionários e clientes, os hackers podem usá-las para projetar o aspecto de engenharia social de seus ataques planejados. Eles poderiam, por exemplo, usar essas informações para se passar por um executivo de alto escalão.
INFRAESTRUTURA DE REDE
Os hackers podem usar uma ferramenta legítima como o NMAP para enviar pacotes especialmente criados para o host de destino e depois analisar as respostas. Poderiam, ainda, descobrir hosts e serviços, e detecção de sistema operacional. Nas mãos erradas, o conhecimento da infraestrutura de rede de uma empresa pode permitir que um hacker personalize uma campanha mais eficiente.
As informações listadas acima são aquelas sobre as quais uma organização deve ter controle. Isso significa que uma empresa tem que estar ciente de que essas informações estão disponíveis, e em caso afirmativo, se estão publicamente. Embora talvez inofensivas, elas poderiam se tornar ferramentas que permitiriam que os invasores penetrassem nas defesas iniciais.
[Leia: Compreendendo ataques direcionados: medidas defensivas]Como as organizações podem proteger seus ativos de missão crítica?
Como mencionado anteriormente, o primeiro passo real para as organizações seria conhecer seus dados melhor do que qualquer outra pessoa. Resumimos nossas recomendações nas etapas a seguir.
- Mapeie os dados. Esta etapa envolve saber quais dados estão sendo coletados e onde todos estão sendo armazenados. Nesta etapa, as organizações também devem observar as informações que podem ser obtidas da combinação de diferentes dados, quando analisadas em conjunto. Isso fornece uma visão geral de quais áreas ou departamentos mantêm dados críticos.
- Identifique os dados críticos. A partir dos dados mapeados, as organizações podem começar a identificar ou talvez reavaliar seus dados críticos. Isso é feito para priorizar os recursos de segurança e identificar o nível de risco que eles estão preparados para assumir para defender esses ativos.
- Avalie ameaças. As organizações devem antecipar e reconhecer os possíveis agentes de ameaças que podem direcionar as informações e os ativos que possuem. Isso pode ajudá-los a projetar e preparar defesas que podem se defender contra técnicas conhecidas de grupos maliciosos.
- Planejar e implementar as medidas de segurança necessárias. Usando o conhecimento coletado desde a primeira etapa, as organizações podem começar a formular medidas de segurança para proteger seus ativos críticos. Um bom lugar para começar seria garantir a criptografia de dados em repouso e em trânsito para reduzir o impacto de cair nas mãos erradas.
Num panorama geral, as organizações precisam implementar uma forte defesa de rede que bloqueie ameaças de vários pontos de entrada, impedindo-as de alcançar ativos de missão crítica identificados. Uma defesa de rede conectada em várias camadas e visibilidade completa de todo o tráfego da rede, além do NGIPS (Next Generation Intrusion Prevention System), é capaz de auxiliar as organizações a ficarem um passo à frente das ameaças que podem comprometer seus ativos intangíveis.As empresas também podem adicionar uma camada extra de segurança através da segurança Trend Micro XGen™, que fornece uma combinação multigerações de técnicas de defesa contra ameaças. Ele usa a tecnologia de machine learning para detectar de maneira proativa e eficiente a malícia de tipos de arquivos desconhecidos anteriormente, garantindo que os datacenters, ambientes em nuvem, redes e endpoints estejam protegidos contra uma gama completa de ameaças.
