Antes de gastar revise recursos de cibersegurança

Áreas como governança corporativa, segurança pública e cibersegurança são necessariamente complexas. Perícia técnica de engenheiro de Fórmula 1 e sagacidade de piloto é a combinação exigida dos grandes profissionais no mundo da segurança digital (e talvez isso contribua para que sejam raros). Mesmo que os modelos as a service e as ofertas dos MSSPs (provedores de serviços gerenciados) simplifiquem a parte operacional, a agenda é extensa e o cobertor é curto.

 

Portanto, antes de discutir quais tecnologias e serviços de cibersegurança priorizar, é prudente revisar alguns hábitos e costumes, nos quais pequenos cuidados podem mitigar grande parte dos riscos, sem ter que instalar nenhum dispositivo ou licenciar software.

 

Configurações de segurança de SaaS – explore os recursos para gerenciar atributos das contas; políticas de acesso e autenticação; e serviços, inclusos ou opcionais, de provedores como Microsoft ou Salesforce, para não deixar brechas banais e bem conhecidas pelos atacantes.

 

Skill das aplicações homologadas – o ímpeto de baixar um aplicativo na web ou o apego àquele aplicativo legado que obriga a criar patches virtuais (segregações na rede, só para atender aquele gerente que diz que só consegue vender com o software em Windows 95) são comportamentos opostos no que se refere a vício, mas convergentes quanto aos riscos. Ambos evitáveis. Basta explicar que não é necessário baixar um addware para colocar parágrafos em ordem alfabética, ou que a versão atualizada do software faz o mesmo negrito, só que em outro botão. Se necessário, invista algum tempo, crie grupos de colaboração ou produza tutoriais para que se use plenamente o que já está homologado e pago. Sai mais barato, é mais seguro e aumenta a produtividade.

 

UX para que as políticas “colem” – o conceito de “ameaças internas” inclui alguns usuários mal intencionados e muitos que querem apenas trabalhar e cumprir suas metas. Políticas muito restritivas acabam obrigando a abrir exceções que rapidamente as colocam em desuso. O desafio é que o profissional de segurança domine as rotinas e os hábitos de trabalho, até para conseguir disseminar a percepção correta de riscos entre as áreas de negócios.

 

Estimule o uso de e-mail e das plataformas para trabalho – os domínios empresariais de e-mail, em sua maioria, já incluem antimalware, sandbox, bloqueio de conteúdo e URLs maliciosas, além de backup e gerenciamento. Grande parte das empresas já conta também com estrutura ou contratos de serviços de comunicação unificada, que integram as conferências e mensagens ao contexto do workflow. É fato que áreas como contact center e comercial têm que estar conectadas a todos os canais. Para comunicação com clientes, ferramentas como Whatsapp e redes sociais são bem pertinentes e justificam todas as medidas de segurança adicionais. Nas interações profissionais, todavia, as “ferramentas de escritório” continuam a ser a opção mais madura.

 

Usuário deve ser grande sensor do contexto de cibersegurança – um phishing com uma mensagem atribuída à Serasa e outro à CYLK, por exemplo, seriam tratados de forma semelhante pelas camadas técnicas de prevenção. Mas se alguém percebe o golpe e sabe que a empresa realmente tem relação com a CYLK, e vê que a verossimilhança pode fazer outros baixarem as defesas, corre para avisar. Estimular esse tipo de engajamento torna o usuário o elo mais forte da cibersegurança.

 

Reveja o escopo dos processos e não mitigue os riscos que não agregam nada – um grande aprendizado logo no início dos projetos de LGPD foi constatar que muitos dados são expostos sem a menor necessidade para a execução de determinada atividade. Foi só ajustar os processos ao conceito de “finalidade” para tirar do caminho os custos com criptografia, controles e defesas, quando o mais simples é esvaziar o sentido de qualquer ataque.

 

André Monteiro arquiteto de soluções em cybersecurity da CYLK Technologing.

 

Matéria divulgada no Channel 360º: https://www.channel360.com.br/antes-de-gastar-revise-recursos-de-ciberseguranca/