5 dicas de segurança da informação do CISO do FBI

5 dicas de segurança da informação do CISO do FBIImagine que sua empresa é daquelas que possuem controles rígidos de segurança. Atualiza softwares todos os anos, tem o melhor firewall do mercado, antivírus nas máquinas de todos os funcionários e até uma plataforma de gerenciamento de dispositivo móvel, além de todo o ferramental disponível no mercado. Teoricamente, você fez um ótimo trabalho e as informações da sua empresa estão protegidas. Mas não estão. Pelo menos é esse o alerta passado por Patrick Reidy, Chief Information Security Officer (CISO), do FBI, a agência de investigação do governo norte-americano.

Para ele, embora elas sejam um número menor, você, como responsável pela segurança da informação de sua empresa, deveria se preocupar muito mais com as ameaças internas. No geral, os prejuízos causados por elas são muito maiores e podem ir de US$ 472 mil e chegar a bilhões, dependendo da gravidade do problema. E não necessariamente o funcionário responsável tinha tal intenção. Muitas vezes, ele ‘apenas’ deixou de cumprir parte da política de segurança, até por desconhecimento, como lembrou Reidy, durante apresentação realizada no Black Hat 2013, em Las Vegas, evento organizado pela UBM e que ganhará uma versão brasileira com o nome de IT Forum Expo/Black Hat, em parceria com a IT Mídia, em São Paulo.

A seguir, você confere as cinco dicas básicas do CISO do FBI:

1 – Seus colaboradores não são hackers

“A primeira lição é que sua ameaça interna não é um hacker. São pessoas que entraram na empresa sem intenções criminosas. E muitas das ferramentas e técnicas são desenvolvidas tendo em mente o hacker. Essa ameaça ainda é mal compreendida. Trata-se de uma grande dor de cabeça, representa 24% dos incidentes e 35% do nosso tempo. Os problemas associados são perda de dados, violação de políticas, perda de equipamentos, entre outros. Trabalhe com campanhas e treinamentos de usuários para amenizar essa questão.”

2 – A ameaça interna não é de ordem técnica

“Trabalhar a ameaça interna não depende apenas de uma política e de compras de ferramentas. 90% dos problemas não são técnicos. Um pessoal com dedicação exclusiva é algo essencial e ajuda muito. Você conhece seus funcionários? Você precisa de informações do RH, mapear atividades, IPs, USB usados, email, para fazer cruzamentos e entender se há violação das regras. Minha dica é: conheça bem seu inimigo. Quem focaria sua organização? Quem seria o foco dentro da organização? Quem são os usuários que representam o maior risco para sua organização? São perguntas importantes com respostas diferentes para cada tipo de negócio.”

3 – Um bom programa interno deve focar em retenção, não em detecção

“Torne o ambiente complexo para a ameaça interna, tenha uma segurança centrada em dados e não em sistemas e use uma engenharia social positiva. No caso do FBI, 13,9 mil pessoas vão armadas para o trabalho todos os dias, se é possível treiná-los para o uso adequado da arma de fogo, como não seria para o bom uso das informações? É preciso criar uma engenharia social positiva, com guias atualizados, reduzindo o risco, mas sem impacto no fluxo de trabalho.”

4 – Evite problemas com sobrecarga de informações

“Coletamos absolutamente tudo. E aí reside um grande problema: as ferramentas estão falhando em lidar com tudo isso. Há ferramentas de Big Data, mas que presumem que todo dado é importante, e não é assim. É preciso separar o que é importante. Foque em duas fontes: você não precisa de tudo, avalie os dados do RH para conhecer as pessoas e os papéis e estações de trabalho de cada um e, como complemento, olhe para os logs de sistemas para avaliar entradas e saídas.”

5 – Use análise comportamental

“Prever eventos raros pode ser praticamente impossível. Então, não gaste tempo e dinheiro com o impossível. Olhe para as bandeiras vermelhas na medida em que elas aparecerem. Muitas pessoas acabam não evoluindo para uma ameaça real. Use detecção comportamental. Pense mais como alguém de mercado e menos com um analista de IDS (sigla em inglês para sistema de detecção de intrusos). Construa uma base em volume de usuários, velocidade, frequência, trabalho por hora, semana e mensal para ter uma ideia e uma média real do que acontece no ambiente.”

Fonte: InformationWeek Brasil