home Sem categoria Cinco ameaças à segurança da informação que dominarão 2018

Cinco ameaças à segurança da informação que dominarão 2018

Você acha que 2017 foi um ano terrível em matéria de falhas de segurança de dados? Espere 2018. O ISF, Information Security Forum (tradução livre, Fórum de Segurança de Informação), organismo global e independente de segurança de informação focado em cibersegurança e gestão de risco de informação, prevê aumento no número, bem como no impacto das violações de dados, devido, em grande parte, a cinco ameaças principais que desafiarão as organizações em 2018.

“A abrangência e o ritmo das ameaças à segurança da informação estão prejudicando a reputação das organizações de maior confiança da atualidade”, diz Steve Durbin, diretor-geral da ISF. Em 2018, as ameaças irão se tornar mais sofisticadas, personalizadas para explorar os pontos fracos de cada alvo ou transformadas para contornar as defesas que já foram implementadas, explica. “Os riscos só aumentam, infelizmente”.

O aumento no número de vulnerabilidades será acompanhado pelo crescimento no volume de registos comprometidos, afirma Durbin. “Por isso, os ataques do próximo ano serão mais caros para as organizações de todas as dimensões.”

Somando-se aos custos tradicionais com a limpeza de redes e a notificação de clientes, estarão os custos adicionais relacionados a litígios potenciais, assinala Durbin. A ISF prevê que clientes insatisfeitos irão pressionar os governos a introduzir legislação mais rígida de proteção de dados, com custos ainda maiores para os fornecedores.

Dentre as cinco maiores ameaças, a ISF destaca:

Crime as a Service (CaaS)

No ano passado o ISF tinha previsto um “salto quântico” nas ocorrências, haja vista a evolução das organizações criminosas com respeito a hierarquias complexas, parcerias e colaborações que se assemelham à organização corporativa do setor privado.

Durbin considera que a previsão se concretizou, uma vez que, em 2017, houve um “enorme incremento no crime eletrônico, em particular do crime como um serviço (CaaS).” A ISF prevê a continuação da tendência em 2018, com maior variedade de organizações criminosas atacando novos mercados.

Algumas organizações se irão se desenvolver dentro de estruturas criminosas existentes, diz a ISF, enquanto outras surgirão com foco exclusivo no cibercrime.

A maior diferença? Em 2018, através do CaaS, os “cibercriminosos aspirantes” – sem muito conhecimento técnico – poderão adquirir ferramentas e serviços que lhes permitirão realizar ataques que, doutra forma, não seriam capazes de empreender, diz Durbin. “O cibercrime está aumentando seu escopo, indo além das duas “minas de ouro”: propriedade intelectual ou os grandes bancos”, sublinha.

O criptoware será a categoria mais popular de malware. No passado, a utilização do ransomware por parte dos criminosos dependia de uma perversa forma de confiança: depois de bloquear o computador, a vítima pagaria o resgate e o cibercriminoso desbloqueava-o.

Mas Durbin assinala que a chegada de cibercriminosos aspirantes significa que essa “confiança” pode desaparecer. Até as vítimas que pagam o resgate poderão não ter acesso à chave para desbloquear seus dados. Além disso, os cibercriminosos podem voltar uma e outra vez.

Concomitantemente, Durbin diz que os cibercriminosos estão se tornando mais sofisticados na utilização da engenharia social. Apesar de os alvos serem, geralmente, indivíduos e não empresas, os ataques representam uma ameaça para as organizações.

“Para mim, o limite entre empresas e indivíduos está se esvaindo. O indivíduo é cada vez mais a empresa”, salienta.

Internet das Coisas (IoT)

Cada vez mais, as organizações estão adotando dispositivos de Internet das Coisas (IoT), mas a maioria deles não é seguro desde a concepção (security by design). Além disso, a ISF adverte que haverá uma crescente falta de transparência no ecossistema de IoT, com termos e condições vagas que permitem às organizações utilizar dados pessoais de formas não pretendidas pelos clientes.

Será problemático para as organizações reconhecer que informações estão saindo de suas redes ou que dados estão sendo captados e transmitidos secretamente por dispositivos como smartphones e televisões inteligentes.

Quando ocorrem as violações de dados ou se revelam as violações de transparência, as organizações correm o risco de ser responsabilizadas por reguladores e clientes. E, no pior dos casos, a falha de segurança dos dispositivos de IoT em sistemas de controle industrial poderá levar a danos físicos ou à morte de seres humanos.

“Pelo prisma do fabricante, saber qual é o padrão de utilização, bem como o perfil dos funcionários, é importante”, diz Durbin. “Mas tudo isso trouxe ainda mais vetores de ameaça.” Resta a pergunta: “como podemos tornar tudo isso seguro, para que nós estejamos no controle, e não os dispositivos? Veremos um aumento dos níveis de conscientização nessas áreas”.

Cadeia de suprimentos

Há anos, o ISF chama a atenção para as questões das vulnerabilidades da cadeia de suprimentos. Ele assinala que existe um amplo conjunto de dados valiosos e sensíveis que é frequentemente partilhado com fornecedores. Quando essa informação é compartilhada, o controle direto é perdido. Isso significa maior risco à confidencialidade, integridade e disponibilidade da informação.

“No ano passado, vimos grandes indústrias perdendo capacidade de produção, pois estavam bloqueadas ou com o abastecimento comprometido”, diz Durbin. “Não interessa em que área de negócio, todos nós temos cadeias de suprimentos”, acrescenta. “O desafio que enfrentamos é saber onde está a nossa informação em cada fase do processo produtivo, e como protegemos a integridade dessa informação quando é compartilhada.”

Em 2018, as organizações terão de se concentrar nos pontos mais fracos das suas cadeias de valor, diz o ISF. Embora nem todas as quebras de segurança possam ser evitadas antecipadamente, empresas e fornecedores terão de ser proativos.

Durbin recomenda a adoção de processos sólidos, escaláveis e reproduzíveis com garantias proporcionais aos riscos enfrentados. As organizações devem incorporar gestão de risco de informação à cadeia de suprimentos em processos de gestão de contratos e fornecedores existentes.

Regulamentação

Com a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) em maio de 2018, será acrescida uma nova camada de complexidade à gestão de ativos críticos.

“É incrível como o tema do RGPD sempre está presente nas conversas da indústria”, diz Durbin. Não é apenas a questão da conformidade (compliance). “Trata, sim, de ter certeza de que você tem, em toda a sua empresa e cadeia de suprimentos, seja quando for, a capacidade de identificar dados pessoais e perceber como estão sendo geridos e protegidos”. É preciso ser capaz de demonstrar tal capacidade a qualquer momento, não apenas quando solicitado pelos reguladores, mas também, pelos indivíduos.

“Se, de fato, queremos implementar essas soluções, teremos de mudar a maneira como fazemos negócios”, acrescenta. O ISF assinala que os recursos adicionais necessários para atender às obrigações da RGPD tendem a aumentar os custos de conformidade e gestão de dados, desviando a atenção e o investimento em outras áreas.

Desalinhamento com as expectativas da administração

O desalinhamento entre as expectativas da administração e a realidade da capacidade de entrega de resultados em segurança da informação será uma ameaça em 2018, de acordo com o ISF.

“De modo geral, a administração entende que opera no ciberespaço; não entende que, todavia, em muitos casos, é real implicação disso”, diz Durbin. “Eles acham que o CISO tem tudo sob controle. Em muitos casos, a administração ainda não sabe as perguntas certas a fazer. E o CISO ainda não sabe como falar sobre o assunto com a administração ou com os responsáveis pelo negócio.”

O ISF diz que a administração espera que os grandes investimentos em segurança de informação dos últimos anos tenham habilitado o CISO e a função de segurança da informação a produzir resultados imediatos. Mas uma organização totalmente segura é um objetivo inatingível. E mesmo que entendam a impossibilidade de uma organização 100% seguro, muitas administrações não entendem que fazer melhorias substanciais à segurança da informação leva tempo, mesmo quando as organizações têm as competências e capacidades disponíveis. Esse desalinhamento significa que, quando ocorre um incidente importante, o impacto negativo será sentido não só pela organização, mas por todos os stakeholders. É provável que tenha impacto direto na reputação da administração, tanto coletiva, como individualmente. Por isso, o papel do CISO deve evoluir, diz Durbin.

“Atualmente o papel do CISO é antecipar, e não assegurar que o firewall esteja funcionando”, assinala. “Ele deve antecipar o modo como os desafios que estão à espreita irão afetar o negócio e articulá-lo com a administração.

Um bom CISO precisa ser vendedor e, ao mesmo tempo, consultor. Eu posso ser o melhor consultor do mundo, mas se não consigo vender as minhas ideias, estas não chegarão à sala da administração.

Gostou? Compartilhe:

Equipe Cedro

Equipe Cedro

Empresa focada em tecnologia e referência em inovação para o mercado financeiro e em soluções de TI e mobile.