Introdução
Anualmente, diversas empresas, institutos e organizações publicam relatórios de segurança, nos quais são analisados os cenários de ameaças, os setores mais visados, os tipos de ataques mais comuns, entre outros aspectos. A leitura desses relatórios é fundamental para a compreensão das tendências em segurança cibernética e a identificação de melhores práticas.
Uma das coisas que se destacaram durante anos e ainda se destacam, e que muitos relatórios de segurança destacam (direta ou indiretamente) todos os anos, é o assunto higiene de segurança. A ideia desse artigo é abordar a importância da higiene de segurança, destacando sua relevância para a proteção dos ativos digitais e a integridade das organizações.
A Higiene de Segurança
A higiene de segurança refere-se às práticas adotadas pelas organizações para manter seus ativos seguros e protegidos.
Compare a higiene da segurança com a higiene sua pessoal. Coisas simples como lavar as mãos, escovar os dentes e dormir de 6 a 8 horas por noite.
Assim como a higiene pessoal visa manter o corpo saudável, a higiene de segurança busca garantir a integridade das identidades digitais, sistemas de informação, dados e propriedades intelectuais.
A lista de itens típicos relacionados à higiene da segurança possui, por exemplo:
- Gestão de ativos
- Gestão de patches e vulnerabilidades
- Gestão de configurações
- MFA
- Solução de Proteção de Endpoint (AV/EDR)
- Segurança de e-mail
- Treinamento e Conscientização
- Backup
- Gerenciamento de identidade e acesso
Em um desses relatórios, a Microsoft diz:
“Um ponto crucial se destaca: a grande maioria dos ataques cibernéticos bem-sucedidos poderia ser frustrada com a implementação de algumas práticas fundamentais de higiene de segurança.“
O Desafio
O grande problema é que existe um gap técnico a ser pago por boa parte das empresas no mercado brasileiro, onde controles básicos não foram implementados ou possuem falhas graves de implementação não corrigidos.
Além disso, projetos de higiene cibernética normalmente não são “instagramáveis” e, muitas vezes, acabam não sendo priorizados corretamente.
O que será mais fácil de vender para o board da empresa? O investimento na implementação ou melhoria de um bom processo de gestão de ativos, ou um projeto disruptivo de inteligência artificial generativa?
Melhoria Contínua na Segurança
Pode parecer óbvio, mas vale a pena dizer essas palavras. A “implementação” é apenas uma parte do ciclo de vida de um controle. Não é o fim do jogo.
Um dos maiores desafios enfrentados pelas empresas é evitar a mentalidade de “tecnologia adquirida = agora estamos seguros”.
A higiene de segurança demanda um compromisso constante com a melhoria e atualização dos controles existentes. A simples implementação de novas soluções tecnológicas não garante a efetividade da segurança se não houver investimento em capacitação e processos de melhoria contínua.
Após a implementação dos controles é importante se questionar se eles estão atendendo o objetivo inicial para o qual foram implementados (eficaz) e se estão sendo executados com o mínimo de recursos, em tempo hábil e com maior precisão possível (eficiente).
Além disso, é importante destacar que a higiene de segurança não se limita apenas a aspectos tecnológicos. Envolve também a capacitação dos colaboradores, a revisão periódica dos processos e a adaptação às novas demandas do ambiente digital.
O nome do jogo é melhoria contínua. Essa é a maneira correta de fazer segurança, seja ela relacionada à higiene básica ou não.
Conclusão
Em um cenário onde as ameaças cibernéticas estão em constante evolução, a higiene básica de segurança continua sendo um pilar fundamental para a proteção dos ativos digitais das empresas.
As organizações devem adotar uma postura proativa em sua higiene de segurança. Isso envolve investir em controles básicos e em sua melhoria contínua.
A segurança cibernética não é um destino final, mas sim uma jornada contínua que requer comprometimento e adaptação constante, mas algumas coisas nunca saem de moda.
