O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.
As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.
O que é WAF e para que ele serve?
O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.
Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.
Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.
Como escolher um Web Application Firewall?
Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:
Funcionalidades: avalie as funcionalidades oferecidas pelo WAF, como prevenção de ataques de injeção de SQL, proteção contra ataques DDoS, mitigação de bots maliciosos e outros recursos que atendam às necessidades da sua organização;
Integração: verifique se o WAF se integra facilmente com as tecnologias e sistemas já existentes na sua organização;
Escalabilidade: certifique-se de que o WAF é escalável e capaz de atender às necessidades de crescimento da sua organização;
Usabilidade: avalie a facilidade de uso do WAF, verificando se a interface de gerenciamento é intuitiva e se os recursos de automação ajudam a simplificar o gerenciamento de segurança;
Suporte técnico: verifique se o fornecedor do WAF oferece um bom suporte técnico, incluindo suporte em horário comercial ou 24/7, documentação completa e recursos de treinamento.
Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.
Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.
Muitos são os desafios enfrentados pelos gestores de Compliance das diversas organizações do Brasil. E certamente cumprir com todas as suas responsabilidades, respeitando o orçamento existente, é um deles. Percebemos que o aumento da complexidade e das áreas de atuação do Programa de Compliance, faz com que muitas empresas busquem mais profissionais para compor a equipe da área e, assim, dar conta das demandas e exigências. Contudo, muitas vezes não há orçamento de compliance para contratar mais pessoas, ou existem situações nas quais a contratação de um profissional não resolveria o problema. Então quais seriam as opções?
Nestes casos, um importante aliado são as plataformas ou sistemas, que trazem o benefício de automação e ganho de eficiência, e muitas vezes com melhores resultados. Por exemplo, na atividade de diligências, uma plataforma permite consultar diversas bases e fontes rapidamente, retornando com um score sobre os riscos, o que facilita o processo de decisão. Podemos citar que essa medida traz ainda a vantagem de permitir acompanhar o histórico e promove a rastreabilidade, sem contar que pode ser integrada com o sistema de gestão (ERP) utilizado pela organização, no processo de homologação de fornecedores e compras.
Outros pilares do Programa de Compliance também podem se beneficiar da tecnologia, como o mapeamento de riscos de Compliance, que geralmente é registrado numa planilha Excel. A evolução é realizar o processo numa plataforma de GRC (Governança, Riscos e Conformidade). Neste modelo, há ganhos na proteção dos dados confidenciais e controle de acesso, na possibilidade de criar tarefas para cada atividade prevista no plano de ação, atribuindo prazo e responsável, e uma atuação colaborativa, além da possibilidade de integrar com um módulo de auditoria, favorecendo a geração de indicadores e do trabalho da auditoria interna. O mesmo raciocínio é válido para o processo de análise de dados, que existem em quantidade cada vez maior nas organizações. As soluções de analytics cobrem de forma mais rápida e efetiva as análises em comparação com as macros em planilhas.
A governança do Programa de Compliance pode também ser favorecida com uma plataforma para a organização dos comitês e a respectiva convocação de seus membros, a organização de pautas e atas de reunião com controle de agenda e fluxo de informações, além da possibilidade de comprovação e acompanhamento. Com a tecnologia, há ganho na confidencialidade, rastreabilidade e transparência de informações, respeitando as alçadas existentes. Isso porque a centralização de dados e documentos num repositório único, com controle e registro de acessos, também favorece a governança. O fluxo sistêmico para gerenciar situações de conflito de interesses, como autorizações para participação em eventos, viagens e presentes também aprimora a governança do programa, e pode ser feita com aplicativos e uso de robôs.
Pensando nas práticas de prevenção à lavagem de dinheiro, o uso de ferramentas com Inteligência Artificial para identificar padrões e situações atípicas, indo além do que as regras conseguem identificar, é um diferencial para reduzir falsos positivos e conseguir maior efetividade na identificação de casos suspeitos, além de otimizar o uso dos analistas humanos.
Outra opção é a terceirização com mão-de-obra experiente. A terceirização permite a empresa ter acesso a especialistas, inclusive de forma temporária ou em tempo parcial, para cobrir necessidades operacionais do dia a dia e picos de demanda ou ausência da equipe própria em razão de licença médica ou maternidade, por exemplo. Há empresas inclusive que terceirizam a gestão do Programa de Compliance por não ter interesse em atuar com equipe própria ou não ter o conhecimento técnico de como realizar o trabalho.
São muitas as opções para fazer o melhor uso do orçamento existente. Encontrar o melhor mix no uso de recursos internos, consultoria, serviços terceirizados e plataformas tecnológicas é o caminho para conseguir fazer mais com menos nos Programas de Compliance. É algo fundamental em tempos de austeridade nos quais os holofotes estão nas organizações para adoção efetiva dos pilares e das práticas de Governança, Riscos e Compliance.
*Jefferson Kiyohara é diretor de Compliance & Sustentabilidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro
por Beatriz Busti e Laura Veloso*
A urgência de incluir o ESG (Environmental, Social, Governance) na estratégia das empresas já é uma realidade e carrega como responsabilidade a construção de uma cultura empresarial baseada na promoção dos temas ambientais, sociais e de governança, promovendo, assim, a garantia de futuro do negócio.
A Governança, um dos pilares do ESG, objetiva estruturar políticas, estratégias e métricas que vão apoiar o desenvolvimento da empresa, como o Compliance, peça importante da garantia da integridade, transparência e atendimento das normas, além de embasar e fomentar as ações socioambientais que a empresa queira emplacar.
Entre as ferramentas do Compliance está a Diligência de Terceiros (Due Diligence), que é o conjunto de pesquisas usadas para mapear os riscos de contratar um terceiro e tomar uma decisão corporativa baseada em dados, assim como para monitorar as eventuais medidas mitigadoras ou os resultados localizados. Tal prática, além de um importante recurso para evitar riscos empresariais, é um reforço trazido pelo recém promulgado Decreto nº 11.129/2022, que regulamenta a Lei Anticorrupção (Lei nº 12.846/13).
Mídias ou processos sobre escândalos de corrupção, presença em listas de restrição por trabalho análogo à escravidão, envolvimento com desmatamento ilegal, multas ou processos ambientais são alguns dos exemplos de resultados que o terceiro pode apresentar numa pesquisa de Due Diligence, sendo crucial tal conhecimento para a tomada de decisão de uma contratação.
No que tange às práticas ambientais de parceiros, a Due Diligence para avaliar a diligência de terceiros mostrará a regularidade de licenças, sejam elas de operação ou ambientais, as boas práticas aplicáveis à sustentabilidade, bem como o atendimento às leis e normas relacionadas e se, em algum momento, houve autuação por órgãos como IBAMA, ANVISA ou reguladores locais.
Sobre as condutas sociais que o parceiro pratica com os seus colaboradores, a pesquisa revelará questões como os projetos de diversidade e inclusão, o desenvolvimento de laços com a comunidade e o cumprimento das normas trabalhistas, o que envolve a regularidade no recolhimento de encargos e do atendimento à CLT, especialmente quando se tratam de horas extras, assim como o pagamento adequado do pacote de benefícios.
Nas três esferas de gestão ESG – ambiental, social e governança, a empresa deverá elaborar a sua matriz de decisão a partir do que entende como relevante em se tratando dos apontamentos trazidos pela Due Diligence, utilizando de análise de documentação e entrevistas, sem esquecer de considerar as boas práticas alinhadas com suas políticas internas de redução de impacto e o nível de risco que está disposta a assumir.
Vale destacar que pontos de atenção encontrados não precisam gerar a automática exclusão do terceiro. Caso isso ocorra, é possível recomendar medidas que atenuem os riscos da contratação. Como manutenção da consciência sobre o risco total da companhia, é necessária a reavaliação periódica do terceiro, o que compreende a aplicação de auditorias e avaliações que contemplam tanto o atendimento às normas e leis, como o alinhamento às boas práticas e a maturidade da empresa em ESG.
Como uma forma de mitigar o risco, pode ser criado um plano de ação de aprimoramento do terceiro, contemplando a inclusão de cláusulas como anticorrupção, incisivas sobre as práticas trabalhistas e o atendimento às normas e lei ambientais, a aplicação de um código de conduta para fornecedores e, inclusive, a realização de treinamentos para os gestores do contrato.
É recomendável ainda que as verificações da Due Diligence para a diligência de terceiros constem em contrato para que seja possível solicitar ao fornecedor os mais diversos documentos e informações. Essa prática é uma das ferramentas de desenvolvimento de fornecedores, o que ajuda a elevar o nível dos serviços prestados no mercado. Quando as empresas se unem em prol do desenvolvimento ambiental, social e de governança, toda a sociedade ganha.
*Beatriz Busti é consultora pleno de Sustentabilidade e ESG e Laura Veloso é consultora pleno de Compliance. Ambas atuam na ICTS Protiviti, empresa especializada em soluções para compliance, investigação, gestão de riscos, proteção e privacidade de dados.
Relatos de assédio sexual e outras formas de violência no trabalho têm crescido exponencialmente no ambiente corporativo.
Relatos de assédio sexual e outras formas de violência no trabalho têm crescido exponencialmente no ambiente corporativo. Não são poucas as empresas que, independentemente de seu porte, enfrentam crises de reputação por não terem enfrentado o problema com a seriedade que ele merece.
O assunto vem sendo objeto do debate em todo o mundo. Em 2019, a Organização Internacional do Trabalho (OIT) aprovou a Convenção nº 190 (C190), o primeiro tratado internacional a dispor sobre a violência laboral. A C190, entre outras questões, estabeleceu medidas que buscam promover o direito de todas as pessoas a um mundo de trabalho livre de violência e assédio.
O Brasil, embora infelizmente ainda não tenha ratificado a C190, recentemente aprovou a Lei nº 14.457, publicada em 22 de setembro de 2022, que, entre outras questões, fixou medidas obrigatórias às empresas, com o intuito de prevenir e combater atos de assédio sexual e violência no trabalho.
Segundo o texto da nova lei, a partir de 21 de março de 2023, todas as empresas obrigadas a instituir a Comissão Interna de Prevenção de Acidentes (Cipa), ou seja, as que tenham mais de 20 empregados, terão que adotar medidas para prevenir e combater o assédio sexual e a violência no trabalho. Fixou-se também que a Cipa passará a se chamar Comissão Interna de Prevenção de Acidentes e de Assédio.
A primeira dessas ações é a inclusão de regras de conduta nas normas internas da empresa. Assim, além de se estabelecer políticas corporativas que detalhem todas as rotinas e procedimentos relacionados ao tema, também será recomendável incluir dispositivos específicos sobre assédio sexual e outras formas de violência no trabalho nos códigos de conduta ética, divulgando seu conteúdo a todo o corpo de empregados.
Outra novidade é a obrigatoriedade de procedimentos para o recebimento, o acompanhamento e a apuração de denúncias de assédio sexual e violência laboral, a preservação do anonimato a quem reportar tais atos, além da garantia de punição aos envolvidos.
As empresas terão, portanto, que oferecer canais de denúncias independentes, que permitam o anonimato e a confidencialidade. Uma prática consagrada pelo mercado é a utilização de canais externos, fornecidos por companhias especializadas, capazes de proporcionar atendimento qualificado, que garantam proteção ao relato e assegurem que não será praticada nenhuma forma de retaliação.
Além disso, também é importante ter uma estrutura de investigação adequada. A apuração do assédio sexual e da violência do trabalho muitas vezes é complexa diante da ausência de provas materiais, restando apenas a prova testemunhal. Não menos importante é a instituição de controles, com segregação de funções e mecanismos de reporte, que assegurem punição dos envolvidos, qualquer que seja a função por eles exercida.
Também se determinou que temas relacionados ao assédio sexual e à violência laboral sejam incluídos nas atividades da CIPA e que, no mínimo a cada 12 meses, sejam realizadas ações de capacitação e sensibilização. Trata-se de medida fundamental, pois o assédio sexual e a violência no trabalho concretizam-se por meio de comportamentos indevidos que causam constrangimento e dor às vítimas, razão pela qual é preciso esclarecer que conduta é ou não aceitável no trabalho e os limites a serem observados.
A nova lei deixou claro que essas medidas representam o mínimo que as empresas precisam fazer, sem prejuízo de outras ações que se demonstrarem necessárias para prevenir e combater o assédio sexual e a violência no trabalho.
Os danos psicológicos dessas condutas são, muitas vezes, irreversíveis, gerando efeitos que ultrapassam as barreiras da empresa, abalando o convívio familiar e social e deixando sequelas que podem durar por toda a vida. Não obstante a demora do país em ratificar a Convenção 190 da OIT, a nova legislação trouxe importante inovação, capaz de fomentar a construção de um ambiente laboral mais saudável e produtivo no País.
Agora, a “bola” está com o setor empresarial. Cabe a ele cumprir seu papel, adotando medidas efetivas que atendam ao que determinou a nova legislação e que sejam capazes de promover uma relação de trabalho fundada no respeito mútuo e na dignidade do ser humano.
*Mário Spinelli é professor da Escola de Administração de Empresa de São Paulo da FGV, doutor em Administração Pública e Governo e atual diretor executivo de Compliance Regulatório na Protiviti, empresa especializada em soluções para compliance, prevenção e combate aos assédios, investigação, gestão de riscos, proteção e privacidade de dados. Foi ouvidor-geral da Petrobras, controlador-geral do Município de São Paulo e controlador-geral de Minas Gerais.
Danos à reputação, resgates pesados e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.
Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.
Ransomware: ataques cada vez mais sofisticados
À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.
Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:
Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware
Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO
Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware
Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças.
Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.
Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas
Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.
Apoie a conversa com um painel de métricas apropriadas
Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).
Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.
No cenário atual de ameaças à segurança cibernética, com um volume cada vez maior de incidentes, é notável pensar que a gestão de vulnerabilidades proativa continua sendo um desafio para as empresas. As organizações estão adotando técnicas de gerenciamento de exposição a ameaças para gerenciar riscos de negócios decorrentes do desenvolvimento e aplicação de tecnologias como conectividade da Internet das Coisas (IoT), computação quântica e realidade aumentada. As práticas de gestão de vulnerabilidades representam o método mais comum para limitar proativamente a exposição a violações e explorações cibernéticas prejudiciais resultantes dessas adoções de tecnologia.
Um programa de gestão de vulnerabilidades bem projetado fornece transparência corporativa sobre vulnerabilidades, fraquezas e configurações incorretas conhecidas publicamente, que são priorizadas para correção com base no possível impacto nos negócios e na probabilidade de exploração bem-sucedida. Idealmente, a saída do programa é então repassada para a tecnologia operacional e equipes de segurança para aplicar patches de segurança a vulnerabilidades conhecidas, o que reduz diretamente o risco de segurança cibernética dos negócios.
As organizações muitas vezes lutam, no entanto, para integrar programas de gerenciamento de ameaças e vulnerabilidades às operações de segurança. Sem a integração adequada, há um risco significativamente maior de deixar vulnerabilidades críticas expostas a ataques cibernéticos, como roubo de dados ou ransomware.
A seguir estão alguns dos desafios comuns que impedem a integração adequada de programas de gestão de vulnerabilidades nas operações de segurança:
Falta de visibilidade total do ambiente na gestão de vulnerabilidades
Para que os programas de gerenciamento de vulnerabilidade reduzam efetivamente os riscos, as organizações devem ter visibilidade dos sistemas e aplicativos existentes em seu ambiente de tecnologia. Afinal, não é possível corrigir, remediar ou proteger algo que não é visível.
Falta de tecnologias de varredura apropriadas e configurações incorretas de varredura
Identificar vulnerabilidades críticas exploráveis em tempo hábil é crucial para preencher as lacunas de segurança de forma eficaz e reduzir a superfície de ataque desprotegida. Comportamentos e ações que criam lacunas de segurança e causam problemas de visibilidade incluem não implantar ferramentas de varredura apropriadas em toda a empresa, não validar a cobertura de varredura em relação a um inventário de ativos definido e muitas vezes centralizado regularmente e/ou configurações incorretas de varredura (como executar varreduras não autenticadas) — qualquer um deles pode resultar em relatórios de vulnerabilidade imprecisos.
Metas conflitantes entre as equipes de TI e de segurança
Metas conflitantes geralmente criam atritos entre as equipes de TI e de segurança, dificultando a adequada gestão de vulnerabilidades e patches.
O sucesso da TI geralmente é medido pelo tempo de atividade da tecnologia, que é impactado negativamente quando sistemas ou aplicativos exigem correção programada, o que requer janelas de manutenção de aplicativos para aplicar patches ou alterações. Consequentemente, as equipes de segurança responsáveis por proteger os sistemas das organizações e proteger os dados podem não receber o tempo e os recursos necessários para aplicar alterações ou patches para proteger tecnologias críticas para os negócios.
Muito para lidar
Redes grandes podem ter centenas de milhares – se não milhões – de vulnerabilidades. Muitas organizações lutam para visualizar, analisar e priorizar adequadamente as vulnerabilidades quando identificadas por ferramentas de gerenciamento de vulnerabilidades. Isso pode resultar na limitação do escopo e na prevenção de ações necessárias para abordar as correções de segurança mais críticas que permanecem sem correção enquanto as atualizações menos importantes são corrigidas.
Tempo de atraso entre as verificações da gestão de vulnerabilidades
Para a maioria das organizações, as verificações de vulnerabilidade são executadas fora do horário comercial principal, normalmente uma vez por semana. No entanto, há um atraso entre a identificação de uma vulnerabilidade positiva e a próxima verificação de vulnerabilidade que cria uma lacuna de visibilidade. No período de uma semana entre verificações regulares, a equipe de segurança não consegue verificar se um patch foi aplicado com sucesso. Portanto, deve presumir que o host continua vulnerável. Infelizmente, as vulnerabilidades críticas recém-descobertas geralmente são rapidamente armadas, e uma semana pode ser um tempo muito longo para que as lacunas de segurança permaneçam sem solução. Essa lacuna de visibilidade geralmente deixa as equipes de segurança incertas sobre a validade de seus controles de segurança.
Para superar esses desafios comuns e obter o máximo valor de um programa de gerenciamento de ameaças e vulnerabilidades, as organizações devem considerar como incorporar o gerenciamento de vulnerabilidades em sua estratégia geral de operações de segurança. Comece seguindo estas práticas recomendadas:
Manter um inventário de ativos.
Para qualquer organização avaliar e entender seus riscos, primeiro ela deve entender o cenário tecnológico atual. As empresas devem manter um inventário de ativos ou banco de dados de gerenciamento de configuração e compará-lo regularmente ao escopo do programa de gestão de vulnerabilidade. Quaisquer diferenças entre o inventário de ativos e o escopo de varredura devem ser resolvidas rapidamente para reduzir ou remover lacunas de visibilidade. Por exemplo, sistemas como hardware podem ser perdidos durante verificações baseadas em rede (em vez de baseadas em agente). Isso porque as verificações ocorrem fora do horário comercial e muitos laptops estão fora da rede nesse período. Isso é especialmente verdadeiro no ambiente de trabalho em casa (Home Office) que resultou na pandemia do COVID-19.
Aproveite a inteligência de ameaças para priorizar as correções.
As empresas devem pesquisar as ameaças e indicadores de comprometimento (IOCs) mais comuns em seu setor e correlacioná-los às vulnerabilidades correspondentes. As organizações devem começar concentrando-se nas vulnerabilidades que podem ser mais acessíveis a invasores externos. Normalmente, os sistemas voltados para o exterior e a zona desmilitarizada (DMZ) são os mais facilmente visados, enquanto os sistemas acessíveis apenas à rede interna podem exigir que um invasor ignore várias camadas de segurança primeiro.
As organizações podem então mapear vulnerabilidades conhecidas pelos frameworks de risco como MITRE ATT&CK e organizá-las em “cadeias” de ataque. Elas demonstram como os invasores podem aproveitar vários problemas de menor criticidade para obter acesso. Esses mapeamentos ajudam as empresas a determinar a verdadeira criticidade das vulnerabilidades. Além disso, a equipe de segurança pode usar threat hunting para determinar se vulnerabilidades críticas foram exploradas no ambiente antes de a vulnerabilidade ser identificada e corrigida.
Gestão de vulnerabilidades: aplique a automação.
Adotar a automação de segurança pode ajudar as organizações a minimizar a duração das tarefas demoradas entre a identificação de vulnerabilidades, priorização, comunicação e correção. A automação pode ajudar a permitir etapas imediatas de redução de risco, como colocar em quarentena sistemas identificados como imediatamente exploráveis da rede interna restante. Essas etapas podem fornecer às equipes de TI mais tempo para testar e implantar patches, reduzindo simultaneamente a possível exposição de vulnerabilidades exploráveis.
Como exemplo, considere o cenário em que os ataques de phishing que implantam ransomware são uma ameaça comum para o setor de uma organização. Nesse caso, a ameaça é um ransomware e as vulnerabilidades podem ser pontos fracos de configuração. Como, por exemplo, permitir documentos do Word habilitados para macro por meio de gateways de e-mail e um sistema não corrigido. Embora uma ferramenta de gerenciamento possa detectar a vulnerabilidade, ela pode se perder e ser ignorada na confusão dos relatórios. Com uma plataforma unificada de detecção de ameaças, uma vez que a vulnerabilidade seja detectada, uma resposta automática começará, evitando uma violação.
Complemente com simulações de violação e ataque.
As plataformas de gerenciamento de vulnerabilidades descobrem vulnerabilidades conhecidas e explorações potenciais. Por outro lado, os recursos de simulação de violação e ataque destacam pontos fracos de configuração, lacunas de detecção e prevenção e problemas de arquitetura. As organizações devem garantir que um plano eficaz de resposta e recuperação seja avaliado adequadamente por meio de exercícios práticos. Isso deve ser testado periodicamente e ajustado à medida que o cenário de ameaças, pessoas, sistemas e processos mudam. Ao combinar o gerenciamento de ameaças e a gestão de vulnerabilidades, as organizações podem aumentar sua confiança na segurança e diminuir seu risco geral.
Comunique as métricas de sucesso ao conselho.
Um programa de gerenciamento de vulnerabilidades bem projetado pode ajudar uma organização a visualizar como os riscos de segurança estão sendo tratados. Além disso, pode pintar uma imagem vívida do progresso ao longo do tempo. A apresentação de métricas de vulnerabilidade ao conselho e à liderança demonstrará melhoria contínua e ROI nos esforços de gerenciamento de vulnerabilidade. Ou, pelo contrário, destacará a necessidade de investimento adicional.
Integrando a plataforma de gerenciamento de vulnerabilidades a outra de detecção e resposta a ameaças, a organização pode acionar ações sem precisar de outra tecnologia. Essa abordagem integrada não apenas economiza tempo, mas também permite que a equipe tome outras ações de correção rapidamente, limitando a exposição da vulnerabilidade e reduzindo o risco.
Shinoy George, Diretor de Segurança e Privacidade da Protiviti INC.
A gestão de vulnerabilidade é uma disciplina com a qual muitas organizações lutam devido a um fator simples: complexidade. Hoje, os ambientes tecnológicos mudam a uma velocidade cada vez maior, enquanto confiam em sistemas legados para dar suporte aos principais processos de negócios.
Em resposta a esse desafio de complexidade, os profissionais de segurança cibernética continuam a criar novos processos de gestão de vulnerabilidade para gerenciar o problema. Isso inclui verificação de vulnerabilidades, bancos de dados de gerenciamento de configuração (CMDB), IDs comuns de vulnerabilidades e exposição (CVE), políticas, patch by dates e uma variedade infinita de relatórios. Em suma, os profissionais de segurança cibernética tornaram um problema complicado ainda mais complicado. Nós – ou seja, os profissionais de cibersegurança – temos feito tudo errado. É importante que CIOs e CISOs reconheçam essa verdade à medida que exploramos métodos que podem ser usados para simplificar a solução de gestão de vulnerabilidades e criar uma chance maior de sucesso em nossas organizações.
Gestão de vulnerabilidade: o ótimo é inimigo do bom
Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas. Com muita frequência, essa busca pela perfeição leva à perda de tempo. Descobrimos que a abordagem mais eficiente durante a resolução de problemas é uma mentalidade de “evolução acima da perfeição”. Essa perspectiva é mais comumente alcançada começando com o que sabemos ser verdade em qualquer situação. Seja aproveitando armazenamentos de dados corporativos, fazendo suposições fundamentadas com base em vulnerabilidades de segurança cibernética conhecidas e suas características, ou mais simplesmente gerenciando a quantidade de ambiguidade de um determinado processo, a evolução sempre deve ser a prioridade.
Crie um processo efetivo de correção de vulnerabilidades
Um desafio comum entre a TI e os negócios que geralmente surge nos programas de gestão de vulnerabilidades é criar um processo de correção bem-sucedido que seja realista para todas as partes interessadas. Por isso, a implementação de um processo de correção de vulnerabilidades bem-sucedido começa com a compreensão de como a TI funciona e trabalha dentro de sua estrutura de recursos atuais. Quando o negócio continua a impor expectativas irreais, nada é realizado. Em vez disso, entender e desenvolver um processo para o estado atual do programa de gestão de vulnerabilidades e, posteriormente, prever as expectativas para um estado futuro geralmente é a melhor prática. Comunicar o risco em termos de entendimento do negócio e alinhar as expectativas do negócio ao modo como a TI funciona é a chave para definir parâmetros bem-sucedidos para cronogramas de correção de vulnerabilidades.
Identifique o verdadeiro problema
Os programas de gestão de vulnerabilidade geralmente adotam o mantra de “conserte e esqueça” sem examinar e explorar adequadamente a causa raiz do problema. Alguns podem se referir a isso como a abordagem “jogo da marretada”, que geralmente é adotada quando o objetivo de uma solução de gestão de vulnerabilidade é eliminar o acúmulo de patches ausentes. O problema com essa abordagem, se não for detectado no início, é que as vulnerabilidades conhecidas serão consistentemente remediadas (ou “corrigidas”) sem entender o contexto dos problemas sistemáticos, o que permite que a frequência desses problemas persista.
Nossa solução para essa abordagem é simples: as organizações devem dedicar recursos para realizar análises de causa raiz para seus problemas mais críticos. Essa análise pode ser conduzida de várias maneiras, mas geralmente começa simplesmente perguntando “por quê.” Até que o tempo adequado seja investido para conduzir a análise da causa raiz no nível do programa, a verdadeira causa dos tipos de vulnerabilidades críticas mais persistentes permanecerá desconhecida.
Permanecer consistente na comunicação dos resultados do programade gestão de vulnerabilidade
Como profissionais de segurança da informação, comunicar os resultados do programa de gestão de vulnerabilidades pode ser um processo estressante se feito sem o contexto e a direção apropriados. Por exemplo, comunicar os resultados aos responsáveis errados pode gerar confusão que resulta em processos de reporte menos eficientes. Felizmente, muitos desses problemas podem ser resolvidos com consistência e transparência. Assim, a comunicação dos resultados do programa de gestão de vulnerabilidades deve ser consistente para fornecer tendências e evolução ao longo do tempo. Os resultados do desempenho do programa também devem ser transparentes ao público-alvo para destacar as vitórias e deficiências do programa. Ou seja, a obtenção de feedback é importante para confirmar a compreensão de quando esses processos de reporte de gestão de vulnerabilidades estão sendo iniciados.
Adapte as métricas à gestão executiva
O fator mais importante ao determinar as métricas que serão usadas para diagnosticar a integridade de um programa de gestão de vulnerabilidade é a polarização. As métricas devem polarizar o público para fornecer conforto suficiente para permanecer sentado ou atenção suficiente para sair de suas cadeiras. Isso é mais comumente visto na prática, definindo limites para as métricas do programa que melhor respondem à pergunta “quão ruim é?”. Além disso, quando se trata de reportar à gerência executiva, as métricas precisam fazer sentido para o pessoal que não é de TI. A armadilha da complexidade também pode aparecer quando se trata de personalizar métricas.
Ao operar de forma eficaz, as métricas do programa devem destacar as áreas problemáticas maiores ou mais importantes dentro da organização. Por isso, as métricas devem ser usadas como a telemetria de um programa de gestão de vulnerabilidades. Assim, vincular as métricas do programa às metas organizacionais e também alterar as métricas quando as metas são alcançadas é extremamente importante. Os riscos continuarão a evoluir ao longo do tempo e nossas métricas devem se adaptar para permanecer alinhadas com essas mudanças. Além disso, as métricas de gestão de vulnerabilidades devem ser claras e diretas para ajudar a organização a entender sua postura de segurança atual.
E agora?
A pergunta que segue essa orientação simples e eficaz é muitas vezes: “e agora?”. A implementação das conclusões acima em um programa organizacional grande e complexo começa com a comunicação. Por isso, o primeiro passo é comunicar as partes interessadas sobre os desafios do programa e a abordagem para resolver conflitos e reduzir riscos. A mudança deve começar pequena, aproveitando os dados organizacionais e relatórios de gerenciamento de vulnerabilidade enriquecidos. Exemplos de curto prazo incluem o desenvolvimento e atualização de processos de gerenciamento que se alinham com a TI e combinam isso com o desenvolvimento de relatórios que respondem perguntas simples. Como profissionais de segurança, devemos sempre nos responsabilizar para que mudanças reais ocorram.
A Inteligência Artificial (IA), que vem nos ajudando nas mais variadas tarefas do dia a dia, também tem apoiado os processos que envolvem as investigações corporativas. Um exemplo disso são as plataformas forenses que contam com recursos de IA para facilitar as análises de documentos, expandindo o nível da investigação, uma vez que a tecnologia permite acelerar a análise das informações em um processo que seria consideravelmente mais moroso se conduzido apenas sob olhares humanos.
De acordo com George Socha, vice-presidente da Brand Awareness, 73% dos custos de revisão de documentos são provenientes da coleta e do processamento das informações e isso ocorre devido à alta complexidade dos dados e das diversas possibilidades de armazenamento. Desta forma, aproveitando-se dos recursos de IA durante o estágio inicial, ou seja, na avaliação do caso, é possível garantir uma grande economia de tempo e redução dos custos após o início das análises.
E como esse processo ocorre? Com o auxílio da Inteligência Artificial, ao invés de executar a tradicional lista de palavras-chave, as equipes de investigadores e de tecnologia priorizam a contextualização e o objetivo da investigação criando um modelo capaz de direcionar os resultados para documentos relevantes, independente de datas, consultas e filtros tradicionalmente aplicados, o que possibilita uma abordagem mais ampla, direcionada e eficiente para o processo investigativo.
Diante deste cenário, a utilização da Inteligência Artificial permite a rápida exploração e descoberta de conexões entre colaboradores, fornecedores, terceiros e agentes públicos que não estavam previamente mapeados no escopo inicial e que são, muitas vezes, até desconhecidos no planejamento da investigação. Além disso, permite que sejam identificados e agrupados, de forma rápida, todos os nomes, sobrenomes, apelidos, e-mails pessoais e corporativos utilizados pelo investigado ou por pessoas com as quais ele se relaciona.
Também é possível visualizar as trocas de mensagens por meio de uma rede de relacionamento disponível na própria plataforma de IA, facilitando a identificação das interações mais realizadas, bem como das interações anômalas ao dia a dia do pesquisado, o que possibilita que sejam identificadas condutas e comportamentos inadequados ou desencorajados pela empresa.
Além disso, é possível facilitar a identificação de temas sensíveis e de difícil apuração, como assédio moral e sexual, gestão por injúria e comportamento moral inadequado, entre outros. Isso acontece porque a Inteligência Artificial é capaz de identificar comunicações depreciativas ou sugestivas de animosidade em relação a um indivíduo ou grupo devido às características como raça, cor, nacionalidade, sexo, deficiência, religião ou orientação sexual. Os termos, as expressões e as combinações constantemente utilizados pelo investigado também são identificados, permitindo explorar novas possibilidades além das já planejadas no escopo principal.
Essas são apenas algumas das funcionalidades que podem ser exploradas por meio da utilização da Inteligência Artificial. Contudo, existem outras inúmeras aplicabilidades desse recurso tecnológico que podem ser empregadas para dar celeridade, eficácia e assertividade nas investigações corporativas.
Diante das fraudes cada vez mais elaboradas, não há como negar que as empresas precisam ficar atentas e sempre bem-informadas sobre as facilidades que a tecnologia pode fornecer no que tange a uma investigação interna ou anticorrupção, uma vez que todas as pessoas jurídicas públicas e privadas estão sujeitas a fraudes e condutas irregulares cometidas por colaboradores e públicos externos.
Como sabemos, fraudadores e transgressores também costumam utilizar a tecnologia a seu favor. Por isso, as organizações precisam se munir dos avanços tecnológicos para prevenir ou identificar essas ações e, para isso, a Inteligência Artificial pode ser uma enorme aliada.
Thaís Poggio e Leonardo Loures, consultores seniores da área de Forense e Investigação Empresarial da Protiviti.
A Operação Singular 2, deflagrada pela Polícia Federal (PF) na semana passada, tem entre seus principais alvos fraudadores focados em crimes financeiros, como roubo de dados e clonagem de cartão de crédito. Além de danos morais e financeiros às vítimas, estima-se que esse tipo de fraude – o cartão de crédito clonado – seja responsável por um prejuízo anual de R$ 125 milhões ao comércio e às instituições bancárias.
A clonagem de cartões de crédito não é um crime trivial, e envolve organizações com grande abrangência nacional e técnicas avançadas para o roubo de dados. Por conta disso, é necessário ter bastante atenção para manter os dados bancários seguros e evitar ter um cartão, seja ele físico ou virtual, clonado. Abaixo estão algumas recomendações do consultor de Inteligência de Ameaças da Protiviti, Juan Riquelme Marin Santos.
Sete dicas para evitar ter o cartão de crédito clonado
Use cartões virtuais: hoje, a maior parte dos bancos e operadoras de cartão de crédito permite que seus clientes gerem cartões virtuais temporários e permanentes para compras online. Este recurso garante maior segurança nas negociações, mesmo em sites grandes e conhecidos. O cartão virtual temporário pode ser sempre a melhor opção, já que esta função permite que o cartão se extinga pouco depois da realização da compra.
Evite utilizar cartões em pequenos estabelecimentos: algumas quadrilhas usam sistemas para roubar dados de cartões em máquinas de pagamento. Segundo o especialista, pequenos estabelecimentos e vendedores ambulantes são os mais propícios a carregar este tipo de sistema em suas maquininhas. Nestes locais, uma opção é pagar com o Pix.
Cubra o teclado para digitar a senha: essa dica não é nova, mas não deixa de ser bastante útil. É possível que quadrilhas instalem câmeras de forma estratégica em estabelecimentos, incluindo bancos e caixas 24 horas, para capturar a digitação de senhas. Portanto, é importante dificultar a visualização de suas senhas, incluindo em caixas eletrônicos para evitar ter o cartão de crédito clonado.
Não entregue o cartão para terceiros: é comum que o lojista peça o cartão em casos em que a transação não é aprovada de primeira. Essa prática pode permitir que os dados do cartão sejam capturados por uma câmera, permitindo o roubo de dados. Também é possível que a transação seja levada para uma máquina mais distante da visão do cliente, o que também pode permitir o roubo de dados bancários.
Não acredite em ligações do banco alegando fraudes: desde meados da semana passada, o banco Itaú tem veiculado uma propaganda alertando sobre o golpe do portador. Caso alguém entre em contato com você alegando ser funcionário do banco, não faça nada do que for pedido e, em hipótese alguma, entregue seu cartão para alguém que se apresente como portador do banco, mesmo que o cartão esteja picotado.
Saiba em quais momentos sua senha poderá ser exigida: sua senha só será exigida em caixas eletrônicos, em compras físicas, na maquininha de cartão, e para confirmar transações bancárias pelo aplicativo do seu banco, como uma transferência pelo Pix. Qualquer caso diferente disso, deve ser encarado com atenção, porque pode ser golpe.
Fique de olho na fatura: os bancos permitem que seus clientes acompanhem suas transações em tempo real. Essa dica não é sobre evitar uma clonagem, mas como descobrir de maneira mais rápida caso uma fraude seja realizada. Caso verifique qualquer compra estranha ou que não se lembre, entre em contato com o banco imediatamente e informe que não reconhece determinada compra, informando data, valor e local em que ela foi realizada
