Às vésperas do aniversário de dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), que começou a vigorar em 18 de setembro de 2020, um assunto chama atenção: se por um lado ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.

“Trata-se de uma verdadeira faca de dois gumes”, comenta Fabrizio Alves, CEO da Vantix, especializada em oferecer às empresas soluções de prevenção, defesa e segurança de todo ambiente de tecnologia.

Tudo ocorre porque, segundo ele, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.

“Além de prejudicar a marca, que exporá ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa poderá ser considerada culpada de acordo com a LGPD, abrindo, assim, o seu próprio caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior”.

Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na deep web. Essa é motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.

Tais ataques cibernéticos podem expor, desativar, roubar, sequestrar, alterar ou destruir informações de um ou mais servidores ou sistemas de computador. Via de regra, o alvo dos hackers é uma rede com fraquezas operacionais. Nesse sentido, para não se tornar a próxima vítima do ransomware, uma coisa é certa, nas palavras do CEO da Vantix: a melhor defesa é o ataque. “Como na ‘vida real’, nós raramente pensamos em nos tornarmos vítimas de um assalto ou sequestro, é comum que nas empresas as ameaças virtuais só se tornem motivo de preocupação quando, lamentavelmente, elas acontecem”.

Para agravar ainda mais a situação, o assunto cibersegurança é em geral bastante complexo, requerem-se muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.

O que fazer, então? Diante desse questionamento, o CEO da Vantix recomenda o seguinte:

1º) Rever o básico: muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adotam processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.

2º) Limitar o acesso dos atacantes: três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções PIM/PAM (gestão de acessos privilegiados e elevação de privilégios), anti-phishing e a própria modernização do acesso de usuários remotos, substituindo a VPN tradicional por modelos como ZTA, ZTNA ou SDP, além de autenticação multifator (MFA). Tudo isso com o objetivo de diminuir a capacidade de lateralização dos atacantes, i.e, sair de um ponto A para um ponto B na rede.

3º) Executar um Diagnóstico Situacional: obviamente, existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em 4 áreas alvo pra se atingir CIBER-RESILIÊNCIA: 1) Proteção da Informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) Proteção contra Ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios; 3) Gestão de Identidades e Acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e por fim, as Operações de Segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo-se as prioridades através de um roadmap tecnológico para a adequação.

4º) Elevar a Segurança para uma Função Estratégica: estabelecer um comitê responsável pela formulação das políticas e pelos direcionamentos do tema dentro da organização, integrado aos níveis executivos, é a chave para ampliar a governança. O nível de vulnerabilidade das empresas está intrinsecamente ligado à maturidade do tema e do seu entendimento pelos níveis de decisão. Assim, é fundamental levar informações claras, baseadas em scores de segurança de fácil interpretação e resumos executivos das prioridades e dos riscos, continuamente validados pelas ferramentas de simulação e pelos times de inteligência/defesa.
As decisões bem-informadas serão extremamente facilitadas com essa cadeia.

5º) Segurança Ofensiva e Gestão das Vulnerabilidades: não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises; testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.

Isso é uma vantagem enorme, já que temos a validação contínua e automatizada da defesa, uma vez que as formas de ataques mudam o tempo todo. Assim age a VALIDAÇÃO DE SEGURANÇA AUTOMATIZADA, um dos produtos da Vantix que ainda tem como vantagem servir de bússola para os profissionais de segurança, CEOs, CTOs, CISOs e o pessoal de TI, que podem utilizá-lo para tomarem as melhores decisões baseadas em dados concretos sobre suas empresas.