Governança da Segurança Cibernética

Governança da segurança cibernética é um conjunto de estratégias e mecanismos utilizados para garantir a confidencialidade dos dados, proteger sistemas de informação e redes de computadores de ataques cibernéticos. O termo “ataque cibernético” cobre uma grande variedade de casos, tais como: manipulação de dispositivos e processamento de dados indevido; acessos não autorizados a softwares com informações confidenciais; e, ataques ransomware que criptografam dados para exigir resgastes.

Cada vez mais os ataques cibernéticos se tornam mais criativos e complexos, criando contínuos desafios para os especialistas em segurança cibernética combater estes ataques.

Desta forma, a governança da segurança cibernética entra na agenda de empreendedores, investidores e diretores executivos para monitorar os riscos cibernéticos e agir proativamente para proteger suas organizações. A resposta não é binária: sim ou não. O nível de proteção cibernética depende do apetite ao risco dos empreendedores e diretoria executiva. Com as novas leis e regulamentações sobre segurança da informação, as empresas devem demonstrar que estão fazendo “o máximo esforço” para evitar ataques cibernéticos para proteger suas informações e de seus clientes.  

A segurança cibernética é uma área de tecnologia complexa e de rápida evolução, tanto das soluções de proteção como dos ataques de hackers.

Riscos tecnológicos

A governança da segurança cibernética busca mitigar os riscos tecnológicos das organizações, não ligados, necessariamente, a ataques de hackers, como mostrado na tabela 1.

Consequências adversas dos avanços tecnológicosConsequências adversas pretendidas ou não dos avanços tecnológicos, como inteligência artificial, geoengenharia e biologia sintética que causam danos humanos, ambientais e econômicos
Interrupção da infraestrutura e redes de informações críticas (Colapso da infraestrutura de informações críticas)Dependência cibernética que aumenta a vulnerabilidade à paralisação de infraestrutura de informações críticas (por exemplo, internet, satélites etc.) e redes, causando interrupções generalizadas
Ataques cibernéticos em larga escalaAtaques cibernéticos em larga escala ou malware causando grandes danos econômicos, tensões geopolíticas ou perda generalizada da confiança na Internet
Incidente maciço de fraude/roubo de dadosExploração indevida de dados privados ou oficiais que ocorre em uma escala sem precedentes
Tabela 1. Riscos tecnológicos

Neste contexto, a governança de segurança cibernética é a maneira para planejar, executar e controlar as atividades de segurança da informação nas organizações. A governança estabelece critérios para as tomadas de decisão sobre segurança em todos os níveis. Cabe a alta direção da organização definir que tipo de riscos deve ser abordados, direcionar e preparar as equipes para gerenciá-los com suporte financeiro adequado.

A figura 1 mostra o ciclo de riscos nas organizações associados as informações.

Figura 1. Ciclo de riscos das organizações associados a informação

Não existe uma abordagem de “tamanho único” para a governança de segurança cibernética. As abordagens variam desde uma estrutura de segurança formalizada, com funções e processos de negócios claramente definidos até uma abordagem mais informal para direcionar, controlar e tomar decisões de segurança.

Para cada processo é necessário avaliar o grau de impacto nos negócios em caso de falha de equipamentos ou comprometimento de processos operacionais. Uma das técnicas para a definição do impacto nos negócios é a matriz de impacto, apresentada na tabela 2.

Tabela 2. Matriz de impacto nos negócios dos riscos tecnológicos

As linhas da matriz de impacto mostram o valor de impacto nos negócios e as colunas a probabilidade de ocorrência das ameaças cibernéticas.

10 tipos de ameaças cibernéticas

Os hackers utilizam diferentes tipos de técnicas para atacar os sistemas de informação das organizações. A seguir são apresentadas as 10 principais técnicas de ameaças:

  1. Malware

Software que executa uma tarefa maliciosa em um computador ou rede para corrompendo os dados ou assumir o controle do servidor.

  • Phishing

Um ataque de e-mail que faz o destinatário clicar em um hiperlink dentro do conteúdo da mensagem para o hacker ter acesso a informações confidenciais ou para baixar um malware.

  • Spear Phishing

Uma forma de phishing mais sofisticada em que o atacante aprende sobre a vítima e personifica alguém que ele ou ela conhece e confia.

  • “Man in the Middle” (MitM)

Um intruso intercepta mensagens eletrônicas entre o remetente e o receptor, modificando-as até mesmo em trânsito. O remetente e o receptor assumem que eles se conectam diretamente.

  • Trojans

Nome em homenagem ao antigo cavalo de Tróia grego. O Trojan é uma espécie de malware que entra em um sistema de destino disfarçado como um programa comum e legítimo.

  • Ransomware

Um ataque ransonware envolve criptografia de dados de dispositivos de destino e um resgate para permitir que o usuário acesse os dados novamente. Tais ataques variam de um leve incômodo a ataques extremos, como o bloqueio de dados de toda a cidade de Atlanta nos Estados Unidos, em 2018.

  • DDoS (Distributed Service Denial Attack)

O Ataque de Negação do Servidor ou Ataque de Negação de Serviço Distribuído (DDoS), onde um invasor assume um grande número (talvez milhares) de dispositivos e os usa para invocar um recurso de máquina alvo, por exemplo, um site, resultando em um tráfego acima do planejado, deixando-o lento ou inoperante.

  • Ataques a sistemas IoT

Dispositivos IoT, como sensores industriais, são vulneráveis a muitos ataques cibernéticos. Estes incluem hackers que tomam o dispositivo e fazem parte de um ataque DDoS e acesso não autorizado aos dados do dispositivo. Os dispositivos IoT são os principais alvos para atores mal-intencionados devido ao seu tamanho, disseminação regional e sistemas operacionais obsoletos.

  • Violação de dados

Crime cibernético onde um ator malicioso rouba os dados de uma organização, usando esta violação de dados para difamar a organização e usar os dados para assumir a identidade dos clientes para fins ilícitos.

  1. Malware em aplicativos móveis

Os dispositivos móveis são como qualquer hardware de computador vulnerável a ataques de malware. Os atacantes podem inserir um malware em downloads de aplicativos, sites móveis, phishing e mensagens de texto. Quando hackeado, um dispositivo móvel pode fornecer a atores mal-intencionados acesso a dados pessoais, localização, contas financeiras e muito mais.

Gerenciamento da segurança cibernética

Independente da abordagem, alguns princípios e melhores práticas de gestão da segurança cibernética devem ser seguidas. Felizmente, existem várias normas e frameworks de segurança da informação que definem e orientam as boas práticas de gestão de segurança, reconhecidos e adotados internacionalmente. A adoção destas normas e frameworks elevam a maturidade das organizações no gerenciamento dos riscos e controle da segurança da informação.

Uma das normas internacionalmente reconhecida para segurança cibernética é a ISO/IEC 27.001 que específica e fornece os requisitos de um sistema de gerenciamento da segurança das informações. A norma determina: (1) como avaliar, sistematicamente, os riscos de segurança das informações da organização, levando em consideração as ameaças, vulnerabilidades e impactos; (2) como projetar e implementar um tratamento de riscos (como prevenção ou transferência de riscos) para lidar com os riscos considerados inaceitáveis; e, (3) como adotar um processo abrangente de gerenciamento para garantir que os controles de segurança das informações continuem a atender às necessidades de segurança das informações da organização continuamente.

Fundamentalmente, a norma ISO/IEC 27.001 específica que as organizações devem: identificar, avaliar, detectar, reduzir, transferir ou aceitar os riscos de segurança cibernética.

Observa-se que a norma ISO/IEC 27.001 foi projetada para cobrir muito mais que os processos de tecnologia da informação (TI). Seguindo abordagem do modelo de referência para governança de tecnologia da informação COBIT 2019, é define a estrutura para a governança e gerenciamento de informações e tecnologia para toda a organização, não apenas para o departamento de TI, por entender que tecnologia da informação é parte integrante de todos os processos das organizações.

A partir da definição da abordagem a ser adotada para a segurança da informação pela alta direção é desenvolvida a política de segurança da informação para a organização. A política deve descrever as regras que a organização deve seguir para assegurar a confidencialidade, integridade e disponibilidade das informações.

A política de segurança da informação deve conter, no mínimo, os requisitos necessários para atender a legislação, incluindo a proteção dos dados pessoais dos clientes e seguidores. A nova Lei de Proteção aos Dados Pessoais (Lei nº 13.709/2018) prevê duras penalidades para as empresas que fizerem uso inapropriado de dados, incluindo vazamento de informações. Definidos os requisitos na política, a organização deve prover recursos, humanos e financeiros, para a implantação de tecnologia e gestão para atender os requisitos.

Todos os ativos associados a segurança cibernética (servidores, notebooks, roteadores etc.), devem ter todo o seu ciclo de vida gerenciado: planejamento, aquisição, implementação, operação e descarte. Em cada fase do ciclo de vida existem procedimentos de segurança que devem ser atendidos para não comprometer todo o ambiente de segurança cibernético.

A infraestrutura de segurança da informação é feita em camadas, cobrindo desde a segurança de perímetro até o código de programação do sistema de aplicação. As equipes de desenvolvimento de sistemas devem adotar regras robustas na programação de rotinas dos softwares. Estas rotinas devem ser, exaustivamente, testadas com metodologia e pessoal especializado, dentro de critérios de segregação de função e estruturas hierárquicas independentes, para evitar conflitos de interesses.

Um dos pontos mais críticos da segurança da informação é o controle de acesso. As melhores práticas de gestão recomendam que cada funcionário tenha acesso apenas as informações necessárias para o bom desempenho de suas funções. Infelizmente, é comum quando um funcionário é transferido para outra área na organização seus privilégios de acesso na área anterior não são cancelados e ele adquire novos privilégios de acesso. Esta situação configura falta de controle e é passível de comentários de auditoria. Além deste problema comum, existem várias outras situações de devem ser tratadas no controle de acessos.

A governança de segurança cibernética deve cobrir toda a infraestrutura, incluindo os data centers e os provedores de serviços de computação em nuvem (Cloud Computing). A seleção de provedores deve ocorrer após uma criteriosa avaliação da infraestrutura e capacidade de gestão do fornecedor. Alguns provedores se certificam em normas internacional para demonstrar aos clientes o uso das melhores práticas de gestão, como a certificação ISAE 3402.

A efetividade da segurança cibernética planejada depende da gestão. As normas e frameworks internacionais e as políticas de segurança da informação definem o modelo ideal, dentro daquilo que aceitável pela empresa, para a governança da segurança cibernética. Entretanto, sua eficácia se dará pela qualidade do gerenciamento, que envolve pessoas capacitadas, ferramentas apropriadas, análises de riscos realistas, processos adequados e monitoração eficiente.

A governança de segurança cibernética deve contemplar um plano de continuidade de negócios em caso de falhas críticas do ambiente computacional principal. Dependendo do negócio, alguns minutos de indisponibilidade podem acarretar perdas significativas de receita e prejudicar a reputação da organização.

Resumindo, todas as organizações, independentemente de seu porte e atividade, devem desenvolver um modelo de Governança da Segurança Cibernética.

Roteiro de estudos de Governança da Segurança Cibernética

Para adotar as melhores práticas de segurança cibernéticas nas organizações requer longas horas de estudos e experiência a partir de casos reais. A seguir uma sugestão de roteiro de estudos sobre governança da segurança cibernética.

  1. Melhores práticas e normas para segurança cibernética
  2. Princípios da governança da segurança cibernética
  3. Componentes da governança da segurança cibernética
  4. Gerenciamento de risco de segurança cibernética
  5. Políticas de segurança cibernética
  6. Proteção de dados pessoais (LGPD)
  7. Gerenciamento de ativos cibernéticos
  8. Segurança cibernética no desenvolvimento de sistemas
  9. Controle de acesso
  10. Segurança cibernética nos data centers
  11. Segurança cibernética em computação em nuvem (Cloud Security)
  12. Gestão da segurança da informação
  13. Gerenciamento de ameaças e incidentes de segurança cibernética
  14. Plano de continuidade de negócios por falhas na segurança cibernética
  15. Auditoria da segurança cibernética