6 mitos de segurança da informação nos quais os CEOs acreditam

mitos de segurança da informação
E precisam deixar de acreditar. Por que quando se acredita nas coisas erradas, é difícil fazer as coisas certas com eficiência.

Os CEO estão encarregados de liderar todo o planeamento e operações nas suas empresas. É muita responsabilidade. Por isso, podem ser desculpados por serem levados a acreditar que eles próprios – e as pessoas brilhantes e capazes que eles colocam a liderar a segurança de TI –  estão a tomar as medidas certas, nos sítios certos contra as ameaças certas.

Muitas vezes, no entanto, estão, de fato, desperdiçando uma grande quantidade do orçamento de segurança de TI em coisas que, na realidade, não funcionam. Quando se acredita nas coisas erradas, é difícil fazer as coisas certas com eficiência

E isso acontece porque os gestores de topo foram formatados para acreditar em um conjunto de mitos que se aproximam de um dogma inatingível e inverídico.

 

1. É impossível deter os atacantes

A maioria das defesas de computador é tão fraca e mal aconselhada que hackers e malwares podem invadi-las à vontade, e isso é apenas se os intrusos mal-intencionados não tiverem ocupado todo o ambiente e já tiverem passado anos. As defesas dos computadores são tão ruins que dizem aos CEOs que é impossível impedir hackers e malwares. O melhor que eles podem fazer é “assumir a violação” e trabalhar na detecção antecipada e desacelerar os invasores quando estiverem no ambiente.

Embora seja provavelmente verdade que um grupo de hackers dedicado, financiado pelo Estado não possa ser facilmente parado, a maioria dos hackers e malwares pode ser impedida de invadir (a causa inicial da exploração) fazendo melhor algumas coisas que a empresa é.

Uma estratégia de segurança de TI mais focada pode reduzir significativamente a maior parte do risco de hackers ou malwares invadirem seu ambiente. A implementação de algumas defesas-chave viria eliminar a ameaça de hacking, tanto quanto possível.

Em vez disso, os CEOs acreditam que hackers e malware não podem ser impedidos porque suas estratégias de segurança de TI e suas defesas táticas estão desalinhadas em relação às maiores e mais prováveis ​​ameaças. Isso nunca foi verdade.

Você pode imaginar um general militar, sob ataque, dizendo aos subordinados e soldados que não há absolutamente nenhuma maneira de vencer, não importa o que eles façam… mesmo que tenham mais soldados e armas nos lugares certos para defender a empresa? Nem eu, mas é o que o mundo da segurança cibernética quer que os CEOs acreditem hoje.

 

2. Hackers são brilhantes

Parte da razão para a crença de que hackers e malwares nunca podem ser consertados é que o mundo acha que os hackers são todos super gênios, que não podem ser parados. Este ideal é prontamente promovido em filmes de Hollywood que frequentemente mostram o hacker dominando os computadores do mundo inteiro, adivinhando facilmente as senhas em qualquer sistema que lhes seja apresentado. Os hackers de filmes são mais espertos que todos e podem lançar mísseis nucleares e apagar as identidades digitais das pessoas com alguns toques no teclado.

Esse ideal equivocado existe porque a maioria das pessoas que são hackeadas ou infectadas com malware não são programadores ou pessoas de segurança de TI. Para eles, é como um evento mágico que deve ter exigido superpoderes de Lex Luthor.

A realidade é que a maioria dos hackers são médios com inteligência média e são mais parecidos com encanadores e eletricistas do que com Einstein. Os hackers só sabem como realizar um determinado comércio usando ferramentas específicas transmitidas por comerciantes anteriores, mas, em vez de encanamento e eletricidade, é o hacking de computadores. Isso não quer dizer que não haja hackers brilhantes, mas eles são poucos e distantes entre si, assim como em qualquer outra profissão. Infelizmente, o mito de que todos os hackers são brilhantes apenas reforça o mito anteriormente acreditado de que eles não podem ser derrotados.

 

3. A equipe de segurança da informação sabe o que precisa ser consertado

Este provavelmente seja um dos mitos mais importantes que qualquer CEO deve estar ciente. A maioria das equipes de segurança de TI, cheias de pessoas inteligentes e trabalhadoras, realmente não sabem no que devem trabalhar. Na maioria dos casos, o que eles estão trabalhando não resultará em uma redução drástica no risco de segurança do computador. Porque eles não sabem, mas colocam muitos recursos nos lugares errados contra as ameaças erradas.

A triste realidade é que poucas equipes de segurança de TI têm dados reais para respaldar o que eles acreditam ser os problemas reais. Se o CEO perguntasse à equipe de segurança de TI, em particular, individualmente, quais eram as principais ameaças à sua organização em ordem de importância, o CEO provavelmente ficaria chocado ao ver que ninguém realmente sabe a resposta. Mesmo que alguém realmente lhes desse a resposta certa, eles não teriam os dados para fazer o backup. Em vez disso, a equipe de segurança de TI está repleta de pessoas que nem sequer concordam umas com as outras sobre quais são os maiores problemas. Se a equipe de segurança de TI não sabe quais são os maiores problemas, como eles podem combater com mais eficiência as maiores ameaças? Eles não podem.

 

4. Compliance de segurança é igual à segurança adequada

Os CEOs estão na linha, profissional e pessoalmente, para garantir que suas empresas atendam a todos os requisitos de conformidade legal e regulamentar. Hoje, a maioria das empresas é coberta por vários requisitos de segurança de TI, às vezes discordantes. Todos os CEOs sabem que, se cumprirem as obrigações de compliance, eles são o que o mundo profissional considera “seguro”, ou pelo menos fazer o que um tribunal consideraria seguro.

Infelizmente, o que é exigido em compliance geralmente não é o mesmo que ser seguro e, às vezes, pode estar em conflito com a segurança real. Por exemplo, hoje sabemos que os requisitos de diretivas de senha de longa data, que incluem o uso de senhas longas e complexas que devem ser alteradas frequentemente durante o ano, estão causando mais riscos de segurança do que usar senhas não complexas que nunca mudam. Nós sabemos disso há anos.

No entanto, toda diretriz de conformidade conhecida pelo homem ainda exige, anos depois, que as senhas sejam longas, complexas e frequentemente alteradas – mesmo que as antigas diretrizes de senha tenham provado criar mais incidentes de segurança do que as novas políticas. A maioria das pessoas de segurança e CEOs de TI não sabe disso. Mesmo que eles saibam, eles não podem seguir as diretrizes de senha melhores e mais recentes. Por quê? Porque nenhum dos requisitos regulamentares atuais foi atualizado para seguir as novas diretrizes de senha.

O compliance nem sempre é igual à segurança. Às vezes, é o oposto.

 

5. Os patches estão sob controle

A maioria dos CEOs acha que eles estão sob controle. Por “controle”, quero dizer que o cumprimento de patch de software é 100% atualizado ou próximo disso. Em vez disso, nunca inventei um computador ou dispositivo, em meus mais de 30 anos de experiência em TI, que foi totalmente corrigido. Nunca. Nem uma vez. Especialmente os dispositivos de segurança, como roteadores, firewalls e servidores que devem ser perfeitamente corrigidos. A maioria dos departamentos de segurança de TI provavelmente diz ao CEO que o patch está “quase perfeito”, provavelmente nos 90%, mas o diabo está nos detalhes.

Eis o motivo da alta porcentagem: a maioria das empresas tem centenas de milhares de programas que precisam corrigir. A maioria deles nunca precisa de patches, não porque não têm bugs, mas porque os atacantes não os atacam. Os bugs não são encontrados e não precisam ser corrigidos.

Na maioria das organizações, talvez 10 a 20 programas sem correção representem a maior parte do risco de invasão. Desses programas, a taxa de precisão de correção provavelmente é muito alta para a maioria dos programas, com talvez um ou dois programas não sendo corrigidos tão alto quanto os outros. Infelizmente, são esses ou dois programas sem correção que apresentam a grande maioria dos riscos na maioria das organizações, mas se você relatar apenas números, pode parecer que o patch é muito bom.

Aqui está um exemplo. Suponha que uma empresa tenha apenas cem programas para corrigir. Desses cem programas, apenas um tem uma taxa de correção ruim, digamos que seja apenas 50% corrigido. Usando apenas números puros, a taxa geral de correção seria de 99,5%. Isso parece muito bom por fora, mas o que realmente significa é que metade dos seus computadores estão vulneráveis ​​e sem patches, e é mais do que provável que um programa com metade dos patches é um dos principais programas sem patches que os hackers usam para invadir sua organização.

Não estou nem mencionando a quantidade de hardware, firmware e drivers não corrigidos que a maioria das empresas nem tenta corrigir. Eles geralmente não são incluídos nos relatórios de patches. Se você os incluísse, as taxas de correção ficariam muito piores. Ultimamente, os hackers estão atacando hardware e firmware com mais frequência. Não é uma coincidência.

 

6. O treinamento de segurança dos funcionários é adequado

Uma das principais ameaças na maioria das empresas é a engenharia social, seja via e-mail ou navegador de internet, ou até mesmo uma ligação telefônica. Considerando apenas os principais ataques que causaram mais danos, a engenharia social provavelmente está envolvida em 99% dos casos. Nos últimos 20 anos, estou ciente de um único caso em que a engenharia social não estava envolvida no comprometimento de uma empresa. A maioria das equipes de segurança de TI concordará comigo.

No entanto, a maioria das empresas dedica menos de 30 minutos por ano ao treinamento de engenharia anti-social. O mundo da defesa de segurança de computadores identificou um dos principais problemas na maioria das organizações (o outro é software sem patches) e quase nenhuma organização age como tal. Em vez disso, os funcionários não são adequadamente treinados para evitar que a engenharia social seja bem-sucedida, e as empresas continuaram a ser hackeadas com sucesso, não importando o que elas fizessem, independentemente de quanto dinheiro ou outros recursos elas trouxessem para suportar.

Todos os mitos subsequentes causam o primeiro mito discutido acima: que hackers e malware não podem ser parados. Isso forma uma linha de base ineficiente a partir da qual todas as outras estratégias de segurança de TI são discutidas. Se você é um CEO (ou CSO ou CISO) e acha que este artigo é uma hipérbole, desafio você a fazer uma pergunta a suas equipes de segurança de TI: “Qual é a nossa maior ameaça e onde estão os dados para suportá-la?”

 

Formação Relacionada

mitos de segurança da informação

Grime, Roger A. (2018). 6 mitos de segurança da informação nos quais os CEOs acreditam. Recuperado a 5 de Abril 2018, de http://cio.com.br/tecnologia/2018/03/26/6-mitos-de-seguranca-da-informacao-nos-quais-os-ceos-acreditam/