Uma das armadilhas comuns em que uma empresa pode cair é partir do princípio que suas soluções de segurança cibernética podem ser mantidas e gerenciadas por meio de avaliações de risco padrão.
Essa hipótese pode causar problemas significativos para a empresa, pois o rápido desenvolvimento da tecnologia e seu uso nos negócios ampliou demais o escopo de qualquer avaliação geral.
Neste blog, abordaremos as etapas necessárias para se criar uma avaliação de risco de segurança abrangente e detalhada, exclusiva para sua empresa.
O que é auto-auditoria e por que ela é necessária?
Uma avaliação de segurança cibernética é uma etapa absolutamente essencial para se determinar como e por que você usa determinada tecnologia em sua empresa. Ela permite criar metas e parâmetros que possibilitam:
- Definir padrões de segurança – a auto-auditoria permitirá que você decida quais são seus princípios de segurança e como eles serão transmitidos a todos na empresa.
- Seguir as normas e regulamentações – sua auditoria mostrará se suas soluções cibernéticas estão obedecendo não apenas suas próprias normas, mas também as regulamentações externas obrigatórias.
- Identificar falhas de plug-in – uma auditoria detalhada identificará falhas em suas medidas de segurança. Você poderá corrigir tudo o que for necessário para melhorar seu sistema atual e identificar o desempenho das soluções que já possui.
As auto-auditorias são úteis se você deseja entender se sua infraestrutura cibernética atual está funcionando de maneira eficiente ou se estiver se preparando para uma auditoria externa profissional.
Conforme informado pela Forbes.com, nos primeiros seis meses de 2019, mais de 3.800 violações divulgadas publicamente expuseram 4,1 bilhões de registros comprometidos. Realizando de fato uma auditoria de segurança cibernética em larga escala pelo menos uma vez por trimestre, você fica atualizado com a mais recente tecnologia de segurança cibernética para ajudar a impedir que a mesma coisa aconteça com você.
Como realizar uma auditoria completa de segurança cibernética: externa vs. interna
Há maneiras diferentes de agrupar os dados necessários, mas primeiro você precisa decidir se deseja fazer uma auditoria interna ou externa.
Os auditores externos contribuem com uma ampla gama de conhecimentos e experiências, sendo capazes de identificar falhas e violações de segurança em sua infraestrutura cibernética.
O maior problema, no entanto, é o fato de os auditores externos serem caros, e identificar um profissional com as qualificações e conhecimentos necessários está longe de ser uma tarefa simples.
O sucesso da auditoria dependerá muito de sua capacidade de comunicação com o seu auditor. Se o auditor não tiver acesso imediato aos tipos de dados necessários, a auditoria demorará mais, o que aumenta desnecessariamente os custos e pode produzir resultados incorretos.
Todos esses fatores tornam as auditorias externas mais um luxo do que uma necessidade, razão pela qual costumam ser vistas pelas grandes corporações como uma despesa permanente.
Como alternativa, auditorias internas são uma opção muito mais realista para a maioria dos proprietários de pequenas e médias empresas. Como você já conhece os processos da empresa, pode coletar os dados necessários sem perturbar os padrões de trabalho; algo que um profissional externo precisaria descobrir antes de conseguir realizar o trabalho.
Cinco perguntas a serem incluídas em sua auditoria de segurança cibernética
Embora uma auditoria interna seja aparentemente trabalhosa e complexa, ela não passa de estabelecer metas e KPIs e garantir que as políticas da empresa sejam definidas a fim de cumpri-las. Você pode fazer isso facilmente, respondendo às seguintes perguntas:
- Quais são nossos parâmetros de segurança?
De acordo com as práticas da GDPR, qualquer empresa que lide com cidadãos da União Europeia é obrigado por lei a nomear um diretor de proteção de dados que será responsável pelo monitoramento de todos os dados externos e internos. O escolhido para assumir esse papel deve desempenhar um papel central em sua auditoria.
Sua primeira tarefa será decidir o que representa um risco para suas operações diárias; ou seja, precisará criar uma lista de seus ativos, que pode incluir as seguintes opções:
- Equipamento de informática
- Informações confidenciais (dados da empresa e do cliente)
- Algo essencial que exija tempo ou dinheiro para ser corrigido ou consertado se algo der errado
Depois de identificar quais são seus ativos, você precisará decidir, junto com seu diretor de proteção de dados, até que ponto seus parâmetros de segurança serão ampliados.
Basicamente, você pode separá-los em dois grupos:
- Itens incluídos na auditoria
- Itens que não serão incluídos na auditoria
A lógica por trás disso é que simplesmente não é possível auditar tudo; portanto, você precisa colocar seus ativos mais valiosos no centro da auditoria e trabalhar para determinar o que realmente é essencial.
Que ameaças enfrentamos?
Depois de definir seus ativos mais valiosos, identifique o que representa uma ameaça para eles.
Esta é uma etapa fundamental do processo, pois você pode enfrentar qualquer coisa, desde a proteção por senha de funcionários abaixo do padrão e violações de dados, até a ameaça de desastres como incêndios e inundações.
Embora seja verdade dizer que toda e qualquer ameaça deva ser considerada na auditoria, também é verdade que a lista é praticamente infinita, pois você nunca será capaz de se proteger de todas as ameaças possíveis. No entanto, desde que você coloque em primeiro lugar o que é absolutamente crucial para o dia a dia de seus negócios, estará tomando todas as medidas razoáveis para proteger seus funcionários e sua empresa contra possíveis ameaças cibernéticas.
Apresentamos abaixo alguns dos perigos mais comuns:
-
Funcionários
– A solidez de uma cadeia termina no elo mais fraco; portanto, se seus funcionários não estiverem agindo como sua primeira linha de defesa, isso será o suficiente para ameaçar a integridade de toda a infraestrutura. Pergunte a si mesmo: meus funcionários recebem treinamento em segurança cibernética? Eles conseguiriam identificar atividades suspeitas e seguir os protocolos de segurança definidos? -
Phishing
– Os ataques de phishing são um dos principais culpados quando se trata de violações de dados. Muitas tentativas de phishing são capazes de contornar as medidas de segurança padrão, e é por isso que é tão importante que seus funcionários sejam treinados para identificar esse tipo de atividade. -
Ameaças internas
- Ninguém imagina que um membro da equipe interna prejudicaria sua empresa, acidental ou propositalmente. Infelizmente, isso acontece sim e é um problema bastante comum. -
Ataques de negação de serviço distribuído -
Basicamente, uma violação por DDoS (ataque de negação de serviço distribuído) ataca um alvo (geralmente um servidor da web), sobrecarrega esse alvo e impede que ele funcione como deveria. Esse é particularmente o caso dos sites de comércio eletrônico. -
Senhas vulneráveis –
Em 2018, 81% das violações de dados foram atribuídas a senhas fracas. Senhas fracas ou adquiridas ilegalmente correspondem à técnica mais comum usada pelos hackers para obter acesso a uma rede. -
Malware –
O malware pode representar inúmeras ameaças distintas, como cavalos de Troia, spyware, worms e o crescente risco de ransomware. -
Roubo e Desastre –
Embora seja pouco provável que haja alguma dessas ocorrências, as consequências de não se preparar para elas podem custar à sua empresa uma quantia considerável de dinheiro. -
Dispositivos de terceiros –
Se você permitir que os funcionários conectem os respectivos dispositivos ao Wi-Fi ou usem pen drives, poderá enfraquecer inadvertidamente seus protocolos de segurança.
As medidas de segurança atuais estão funcionando?
Depois de identificar as ameaças que você pode enfrentar, será necessário sentar e avaliar se as medidas de segurança atuais estão à altura da tarefa de defender sua infraestrutura cibernética.
Nesta etapa, você avaliará todas as suas medidas de segurança para identificar pontos fracos, entre eles a necessidade de melhorar processos de segurança desatualizados, falhas de conhecimento ou segurança cibernética fraca em toda a empresa. Essa é uma área em que um auditor externo pode ser particularmente útil, pois não há viés interno que possa afetar a auditoria concluída.
Sua auditoria de segurança deve ignorar as preferências relacionadas a funcionários em funções específicas ou mesmo no seu próprio desempenho. Se houver alguém mais adequado para determinada função de segurança cibernética, é importante que eles sejam colocados nesse cargo posição para garantir proteção permanente.
Como priorizo riscos?
Priorizar os riscos em sua auditoria é talvez o passo mais importante em todo o procedimento.
Primeiro, observe a lista das possíveis ameaças apresentadas anteriormente, depois compare os possíveis prejuízos com a probabilidade de essa ameaça se concretizar e atribua uma pontuação de risco a cada uma.
Por exemplo, um incêndio pode destruir seu equipamento e suas instalações, prejudicando as operações cotidianas por um período indeterminado; portanto, deve ser considerado "alto risco". Todavia, como a probabilidade de um incêndio é menor do que um ataque de malware, pode-se reduzir a classificação de risco.
Ao priorizar a avaliação de riscos, é importante considerar o seguinte:
-
Tendências recentes –
Quais métodos estão sendo usados atualmente para acessar dados? Quais ameaças estão se tornando cada vez mais perigosas? Existem novos avanços que ofereceriam mais proteção? -
Tendências relacionadas ao setor –
Se sua empresa é baseada no setor médico ou financeiro, é mais provável que você sofra uma tentativa de violação. Quais tendências são predominantes em seu setor e como ser mais proativo para se proteger contra elas? -
Violações passadas –
Sua empresa já foi invadida ou violada fisicamente no passado? Há medidas em vigor para impedir que isso aconteça novamente? -
Legislação e conformidade –
Sua empresa é privada ou pública? Você lida com dados confidenciais diariamente? Quem pode acessar esses dados?
Responder honestamente a essas perguntas é essencial, pois afetará a maneira como você atribui uma pontuação de ameaça a cada ativo.
Por exemplo, se a empresa for privada e lidar com informações financeiras que podem ser acessadas por vários funcionários, o fator de risco associado a isso já será alto. Mas, se sua infraestrutura de segurança tiver sido violada no passado, deve-se atribuir uma pontuação ainda maior.
Como posso usar os resultados da auditoria?
A última parte da auditoria envolve analisar a lista priorizada de ameaças e decidir como prosseguir com medidas de segurança para neutralizar ou eliminar o risco de ameaça.
Dependendo da empresa, do setor de atuação e do nível de segurança exigido, cada lista será diferente. Destacamos abaixo algumas soluções de segurança mais comuns a serem levadas em conta:
Workshops de treinamento –
Até mesmo um pequeno investimento em conscientização e treinamento em segurança pode contribuir bastante para reduzir o impacto de um ataque cibernético. Os funcionários são humanos e cometerão erros; contudo, ao criar workshops de treinamento e reciclagem regularmente, você poderá aumentar a conscientização sobre segurança cibernética e reduzir os erros.
Backups –
O local de trabalho tornou-se mais dependente da tecnologia e, atualmente, muitas empresas abandonaram o uso do papel. Dessa forma, a carga foi transferida para o armazenamento e backups on-line. Estima-se que quase metade das pequenas e médias empresas não têm um plano de backup e recuperação de dados, e 60% dessas empresas fecham as portas seis meses depois que seus dados são perdidos. Se você fizer backup dos dados regularmente e os isolar da sua rede principal, sempre terá algo para recorrer em tempos de crise.
Proteção de e-mails –
Como já mencionamos, os ataques de phishing estão aumentando, e isso pode ser parcialmente atribuído ao fato de serem cada vez mais sofisticados e difíceis de detectar. Basta um clique em um e-mail de phishing para que o autor tenha acesso aos seus dados. Os filtros de spam existem para ajudar a eliminar esse tipo de e-mail, mas funcionários treinados para reconhecê-los são muito mais eficazes.
Atualizações de software –
Todos nós já nos vimos nessa situação: você liga o computador e descobre que sua máquina está no meio de uma instalação e atualização de software, Embora isso possa ser irritante, é incrivelmente importante. Essas atualizações de software geralmente contêm os patches de segurança mais recentes, que são absolutamente cruciais para a segurança da máquina. É por isso que é tão importante aplicar atualizações manuais no seu plano de segurança para garantir que todas as máquinas da sua rede estejam atualizadas.
Gerenciador de senhas –
Os seres humanos não estão preparados para lembrar centenas de senhas exclusivas e complexas, e é por isso que costumamos confiar nas variações das mesmas senhas repetidas vezes. Investir em software de gerenciamento de senhas significa que senhas exclusivas e complicadas podem ser salvas no software e usadas quando alguém precisa fazer login em algo. Isso elimina o risco apresentado pela criação de planilhas de senha amplamente compartilhadas e as torna muito mais difíceis para alguém adivinhar.
Monitoramento de rede –
Os criminosos cibernéticos não precisarão de um segundo convite para obter acesso à sua rede. Para combater isso, vale a pena fazer uma pesquisa sobre os melhores softwares de monitoramento de rede que podem alertá-lo sobre atividades suspeitas, como tentativas de acesso de origens questionáveis.
Aprendizado
Neste blog, fornecemos todas as ferramentas e conhecimentos para concluir sua auditoria de segurança cibernética. No entanto, é essencial lembrar que análises internas como essa devem ser contínuas e não devem ser feitas uma vez e descartadas depois.
Sua primeira auditoria será útil porque definirá a referência para todas as análises futuras, pois você pode avaliar o que funcionou e o que precisa ser aprimorado.
Ao atualizar continuamente seus processos e investir na tecnologia mais recente, você tem a oportunidade de criar uma cultura que realmente leva em consideração o impacto da segurança cibernética e destaca os perigos de não ter implementado as medidas de segurança apropriadas.