Da Redação CIO, com IDG News Service
Publicada em 26 de novembro de 2017
Se você pensa que 2017 foi um ano terrível em matéria de quebras de segurança de dados, espere por 2018. O Fórum de Segurança de Informação (ISF), um organismo global e independente focado em cibersegurança e gestão de risco de informação, prevê um aumento no número e no impacto das violações de dados, devido, em grande parte, a cinco ameaças principais que as organizações vão enfrentar em 2018.
“A abrangência e o ritmo das ameaças à segurança da informação estão prejudicando a reputação das organizações de maior confiança hoje”, diz Steve Durbin, diretor-geral da ISF."Em 2018, vamos ver as ameaças a tornarem-se mais sofisticadas, personalizadas aos pontos fracos de cada um e transformarem-se para contornar as defesas que já foram implantadas," explica. “Atualmente,os desafios estão mais elevados que nunca”,
O aumento dos números de vulnerabilidades será acompanhado pelo crescimento do volume de registros comprometidos, afirma Durbin. “Por isso, os ataques do próximo ano serão mais dispendiosos para as organizações de todas as dimensões.
Aos custos tradicionais com a limpeza das redes e a notificação dos clientes, irão somar-se aos custos adicionais relacionados com litígios envolvendo cada vez mais partes, assinala Durbin. A ISF prevê que os clientes insatisfeitos vão pressionar os governos a introduzir legislações de proteção de dados mais rígidas, com custos concomitantes.
Essas serão as principais ameaças, segundo a organização.
1 - O Crime as a Service (CaaS) terá mais ferramentas e serviços
No ano passado, a ISF tinha previsto um “salto quântico”, com organizações criminosas desenvolvendo hierarquias complexas, parcerias e colaborações semelhantes às de organizações do setor privado.
Durbin considera que a previsão se concretizou, uma vez que, em 2017, se regirou um “enorme incremento no cibercrime, em particular no crime-como-um-serviço.” A ISF prevê que a tendência continue em 2018, com maior variedade de organizações criminosas em novos mercados e distribuídas por todo o mundo.
Algumas organizações estarão assentes em estruturas criminosas existentes, diz a ISF, enquanto outras vão surgir exclusivamente focadas no cibercrime.
A maior diferença? Em 2018, através dos Crime as a Service (CaaS), os “cibercriminosos aspirantes”, sem muitos conhecimentos técnicos, poderão comprar ferramentas e serviços que lhes permitam realizar ataques que de outra forma não seriam capazes de empreender, diz Durbin. “O cibercrime está deixando de se focar apenas em ‘grandes ativos’ como a propriedade intelectual ou os grandes bancos”, sublinha.
O “criptoware” será atualmente a mais popular categoria de malware. Anteriormente, a utilização do ransomware por parte dos criminosos dependia de uma perversa forma de confiança: depois de bloquear o computador, a vítima pagaria o resgate e o cibercriminoso desbloquearia.
Mas Durbin assinala que a chegada de cibercriminosos aspirantes está minando essa “confiança”. Mesmo as vítimas que pagam o resgate estão deixando de receber a chave para desbloquear os seus dados.
Ao mesmo tempo, Durbin diz que os cibercriminosos estão a tornando-se mais sofisticados na utilização da engenharia social. Apesar de os alvos serem, geralmente, indivíduos e não empresas, os ataques representam uma ameaça para as organizações, uma vez que os limites entre entre as empresas e os indivíduos estão cada vez mais tênues. "O indivíduo é cada vez mais a empresa”, salienta Durbin.
2 - Internet das Coisas adiciona riscos
As organizações estão adotando cada vez mais dispositivos de Internet das Coisas (IoT), mas a maioria dos dispositivos não está seguro desde a concepção (“security by design”). Além disso, a ISF adverte que haverá uma crescente falta de transparência no ecossistema de IoT, constantemente em evolução, com termos e condições vagas que permitam às organizações utilizar dados pessoais de modos que os clientes não pretendiam.
Será problemático para as organizações saberem que informações estão saindo das suas redes ou que dados estão sendo captados e transmitidos secretamente por dispositivos como smartphones e televisões inteligentes.
Quando as violações de dados ocorrem, ou as violações de transparência são reveladas, as organizações ficam susceptíveis a serem responsabilizadas, quer por reguladores quer por clientes. E no pior dos casos, o dano na segurança dos dispositivos de IoT em sistemas de controloe industrial poderão levar a danos físicos ou à morte de seres humanos.
“Do ponto de vista do fabricante, saber qual é o padrão de utilização, e compreender melhor os indivíduos é claramente importante”, diz Durbin. “Mas tudo isto abriu mais vetores de ameaça, em um grau nunca visto antes.” Acrescenta ainda “como podemos tornar tudo isto seguro, para que estejamos em controle em vez de deixar dispositivo nos controlar? Vamos assistir a um incremento dos níveis de alerta nestas áreas”.
3 - Cadeia de abastecimento: o elo mais fraco na gestão de risco
A ISF chama a atenção, há anos, para as questões das vulnerabilidades da cadeia de abastecimento. A organização assinala que existe um vasto conjunto de dados valiosos e sensíveis frequentemente compartilhado com os fornecedores. Quando essa informação é compartilhada, o controle direto é perdido. Isso significa maior risco de comprometimento da confidencialidade, integridade ou disponibilidade da informação.
“No ano passado, começamos a ver grandes indústrias perdendo capacidade de produção, porque estavam bloqueadas e com o abastecimento comprometido “, diz Durbin. “Não interessa em que área de negócio se está. Todos nós temos cadeias de abastecimento”, acrescenta. “O desafio que enfrentamos é saber como está a nossa informação em cada fase do ciclo de vida. Como protegemos a integridade dessa informação enquanto é compartilhada?”
Em 2018, as organizações terão de se concentrar nos pontos mais fracos das suas cadeias de valor, diz a ISF. Embora nem todas as quebras de segurança possam ser prevenidas antecipadamente, as empresas e os fornecedores terão de ser proativos.
Durbin recomenda a adoção de processos fortes, escaláveis e reproduzíveis com garantias proporcionais aos riscos enfrentados. As organizações devem incorporar gestão de risco de informações na cadeia de abastecimento e nos processos de gestão de contratos e fornecedores existentes.
4 - Regulamentação irá somar-se à complexidade da gestão de ativos críticos
A regulamentação vai acrescentar complexidade, e o Regulamento Geral de Proteção de Dados (RGPD), que entrará em vigor em Maio de 2018, acrescentará uma nova camada de complexidade à gestão de ativos críticos.
“Não há uma conversa sobre segurança, em qualquer lugar do mundo, na qual o RGPD não seja mencionado”, diz Durbin. Não é apenas a questão da conformidade. “Trata-se de se certificar que tem a capacidade, em toda a sua empresa e cadeia de abastecimento em qualquer momento, de identificar dados pessoais e perceber como estão sendo geridos e protegidos”. É preciso ser capaz de demonstrar essa capacidade a qualquer momento, não apenas a pedido dos reguladores, mas também dos indivíduos.
“Se vamos implementar estas soluções corretamente, de fato, vamos ter de mudar a maneira como estamos fazendo negócios”, acrescenta. A ISF assinala que os recursos adicionais necessários para abordar as obrigações da RGPD são suscetíveis a aumentos de custos de conformidade e de gestão de dados, e de desviar a atenção e o investimento de outras tarefas.
5 - Riscos do desalinhamento com as expectativas da administração
O desalinhamento entre as expectativas da administração e a realidade da capacidade da função de segurança da informação para entregar os resultados será uma ameaça em 2018, de acordo com a ISF.
“A administração, em regra, não percebe. Compreende que está trabalhando no ciberespaço, mas não entende, em muitos casos, a real implicação disso”, refere Durbin. “Eles acham que o CISO tem tudo sob controle. Em muitos casos, a administração ainda não sabe as perguntas certas a fazer. E o CISO ainda não sabe como falar com a administração ou com os responsáveis pelo negócio sobre o assunto”.
A ISF diz que as administrações esperam que os orçamentos de segurança de informação mais elevados, nos últimos anos, tenham habilitado o CISO e a função de segurança da informação a produzir resultados imediatos. Mas uma organização totalmente segura é um objetivo intangível.
E mesmo que compreendam a extensão do problema, muitas administrações não compreendem que fazer melhorias substanciais na segurança da informação leva tempo, mesmo quando as organizações têm as competências e as capacidades disponíveis.
Esse desalinhamento significa que a ocorrência de um incidente importante, terá impacto não apenas na organização. É provável que tenha impacto na reputação da administração, tanto coletiva, como individualmente. Por isso, o papel do CISO deve evoluir, diz Durbin.
“Atualmente o papel do CISO é antecipar, assegurar que a firewall se mantém operacional”, assinala. “Tem de antecipar o modo como os desafios que estão à espreita irão afetar o negócio e articulá-lo- com a administração".
Um bom CISO precisa ser um vendedor e um consultor. Não pode não ter as duas valências. Eu posso ser o melhor consultor do mundo, mas se não consigo vender as minhas ideias, estas não vão chegar à sala da administração.
Nenhum comentário:
Postar um comentário