SIMPLIFICANDO A SEGURANÇA DA INFORMAÇÃO

O universo de segurança cibernética é um lugar barulhento.

Ele é bombardeado diariamente com informações a respeito de novos estudos, ameaças emergentes, anúncios de fabricantes, normas regulatórias, melhores práticas e relatórios de novos incidentes causados por hackers.

É um desafio diário proteger a infraestrutura tecnológica das empresas, na qual praticamente não existem mais limites de segurança, por causa da adotação de novas tecnologias, tais como: computação em nuvem, IoT e dispositivos móveis.

Felizmente existe uma metodologia, bem objetiva, prática, criada por especialistas de vários setores, ao redor do mundo, que se tornou um padrão adotado pelo mercado para proteger as empresas contra hackers.

Estamos falando do CIS CONTROLS - https://www.cisecurity.org/controls

Atualmente, na versão 8, ele é composto de 18 ítens, totalizando 153 medidas de segurança e é divido em 3 grupos de implementação, onde o grupo 3 implementa todos os 153 controles, englobando os grupos 2 e 1 e é indicado para empresas complexas, que precisam de um nível maior de segurança da informação, ao passo que o grupo 1 serve para empresas mais simples, que adotam um número menor de medidas de segurança.

Além disso, existem 5 controles essenciais, que podem ser considerados como uma espécie de higiene cibernética para as empresas e que se implementados, reduzem o risco de ataques hackers em até 85%.

1. INVENTÁRIO DE HARDWARE: é necessário gerenciar os dispositivos acessando a rede. Somente assim é possível previnir acessos não autorizados, oriundos de dispositivos desconhecidos, que, entre outros, podem ser a fonte de uma tentativa de intrusão.
2. INVENTÁRIO DE SOFTWARE: é necessário gerenciar os sistemas operacionais, softwares e respectivas versões instaladas nos dispositivos de hardware. Apenas dessa maneira é possível proibir a instalação ou execução de programas não autorizados, que podem trazer vários riscos para a rede, entre eles: malware (vírus) e possibilidade de burlar mecanismos de defesa.

Os ítens 1 e 2 são essenciais na estratégia de segurança da informação, pois eles endereçam a importância de se ter visibilidade sobre o ambiente - é impossível proteger o que não se conhece bem, uma rede na qual não se sabe quantos e quais são os ativos importantes e o que eles executam ou armazenam.

3. CONFIGURAÇÃO SEGURA: muitos ataques se aproveitam de senhas padrão, serviços e processos desnecessários em execução, portas abertas, configurações inseguras ou mesmo privilégios administrativos excessivos, entre outros.

É imprescindível que sejam criados, reaproveitados e aplicados templates de segurança em servidores, estações de trabalho, equipamentos de rede, etc, bem como imagens seguras de sistemas operacionais e melhores práticas implementadas neles a serem adotadas nestes equipamentos.

Qualquer mudança em alguma configuração do ítem 3 deve ser gerenciada por um processo de gestão de mudanças, que permite, além de auditar a mudança, saber como ela ocorreu, quando, porquê, quem executou e quem aprovou.

4. GESTÃO DE VULNERABILIDADES: várias vulnerabilidades são descobertas diariamente, cada uma delas representado a oportunidade para que um hacker invada a sua rede. Este é o motivo pelo qual as organizações devem saber quais vulnerabilidades estão presentes em seu ambiente.

Apenas deste jeito é possível saber quais os riscos reais de cada vulnerabilidade e priorizar ações de mitigação deles, seja via aplicação de patches de segurança ou aplicando novas configurações, mais seguras.

5. CONTROLE DE PRIVILÉGIOS ADMINISTRATIVOS: usuários com permissões administrativas são atrativos para hackers e mesmo para colaboradores mal intencionados. O comprometimento de uma conta com este nível de acesso pode ser muito perigoso para a empresa, pois eleva o nível de acesso de quem a comprometeu ao nível de acesso que a conta tem, que pode ser em toda a rede, facilitando a vida do atacante e aumentando exponencialmente o dano causado.

O uso de contas com privilégios administrativos deve ser controlado e monitorado.

Gostou do conteúdo? Compartilhe, obrigado!