Perguntam-me frequentemente quais são as tecnologias mais recentes com que as organizações se devem preocupar. Ou quais são as maiores ameaças ou lacunas de segurança que fazem com que as equipas de TI e de segurança percam o sono à noite. Será a mais recente tecnologia de IA? O ransomware de extorsão tripla? Ou uma nova falha de segurança num software omnipresente?
E eu respondo que a verdade é que as violações – mesmo as grandes, caras e que mancham a reputação – muitas vezes acontecem por causa de coisas simples e banais. Como comprar software, esquecê-lo e negligenciá-lo… ao ponto de não ser corrigido e estar pronto para ser explorado por um agente de ameaça, tornando a sua empresa o alvo mais fácil.
Ninguém gosta de lavar os dentes e usar fio dental. Mas é esse tipo de higiene pessoal básica que pode poupar-nos milhares e até dezenas de milhares de euros a longo prazo. A higiene da cibersegurança não é diferente. Regras como “Limpar a porcaria” e “Descarregar o autoclismo” são igualmente essenciais para manter uma postura de segurança “saudável”.
Assim, pensei em partilhar algumas regras difíceis de aprender e fáceis de compreender dos meus 25 anos de gestão de equipas de cibersegurança. Inspirado no livro de Robert Fulghum, Tudo o que realmente preciso de saber aprendi no jardim de infância, estes conselhos são igualmente aplicáveis a novatos e veteranos da indústria a quem foram confiadas as operações diárias de TI e segurança das organizações.
#1 Puxe o autoclismo… e limpe a sua própria porcaria
Nas operações e manutenção de TI, tal como na higiene pessoal, o utilizador é responsável por limpar a sua própria porcaria. Se comprar um software, não o pode deixar a apodrecer num canto virtual. Certifique-se de que tem uma rotina estabelecida para se manter informado sobre as ameaças mais recentes, efetuar análises regulares de vulnerabilidades e gerir a aplicação de patches nos seus sistemas (incluindo redes, nuvens, aplicações e dispositivos).
#2 Confie, mas verifique
Quando se trata de colegas, dos seus subordinados diretos, dos vendedores com quem faz negócios e até dos clientes, todos nós queremos confiar nas pessoas com quem interagimos. Mas será que podemos? Na era das transações online rápidas, quer sejam sociais ou relacionadas com a empresa, é melhor ter cuidado. Verifique se a pessoa com quem está a lidar é real, se os antecedentes são confirmados e obtenha referências sempre que puder. Confie, mas verifique.
#3 Analise tudo…
A gestão de incidentes pode parecer trabalhosa e banal. Mas os incidentes de segurança, como um e-mail suspeito ou uma hiperligação fraudulenta, não são um grande problema até se tornarem um grande problema. Com mecanismos silenciosos, destinados a manter as coisas discretas e “aborrecidas”, temos sempre de estar atentos a situações duvidosas.
#4 Se comprar algo, passa a ser o responsável por essa compra
Ninguém vai escrever um poema sobre a beleza da gestão do ciclo de vida do software. Mesmo assim, quer se trate de produtos na nuvem, como a infraestrutura IaaS, ou de aplicações SaaS, é necessário garantir que os seus produtos são mantidos, atualizados e corrigidos. É como comprar um carro. Compra-se um seguro, limpa-se o carro, verificam-se os pneus e obtém-se um autocolante de inspeção para certificar que está “em condições para circular”. Em TI, se comprar um produto, certifique-se de que é mantido e está em bom estado.
#5 Aceite o conforto de alguém ou de alguma coisa
Todos nós precisamos de uma forma de relaxar. Ainda para mais se estivermos num trabalho de TI/segurança muito exigente. Opte por uma forma de libertar algum stress que não comprometa a sua saúde. (Algumas das minhas dicas favoritas: Música, chá quente, uma longa caminhada, chocolate quente, amigos, sestas, séries e filmes).
#6 Não fique com coisas que não são suas
Se estiver em posição de aceder ou mesmo de explorar outros sistemas ou os dados de alguém como parte do seu trabalho de análise e investigação de incidentes, lembre-se de cumprir as regras. Mantenha-se do lado correto da lei. Não adote medidas de segurança ofensivas e não retalie. E não se aproprie de coisas que não são suas.
#7 Jogue limpo. Não “ataque” as pessoas
Outras empresas e vendedores também podem fazer asneiras. Seja respeitoso na Internet. E tenha cuidado com os seus comentários.
#8 Respire…
Quando está a lidar com um incidente de alta gravidade, pode ser fácil esquecer-se das pessoas da sua equipa. Lembre-se de que os seres humanos são os elos mais fracos. Enquanto a sua equipa corre contra o tempo para chegar ao fundo de um ataque e pará-lo, lembre-se de que só pode pressionar as pessoas até um certo ponto antes que estas quebrem. Já vi trabalhadores entrarem em colapso mental, devido ao peso psicológico de um incidente. Por isso, apoiem-se uns aos outros e apoiem a vossa equipa.
#9 Partilhe tudo (incluindo conhecimentos e formação)
Se contratar pessoal, precisa de o educar. Quer seja a equipa SOC ou a Maria dos RH. Todos precisam de conhecer as regras. Certifique-se de que está a realizar formações regulares de sensibilização. E, se tiver uma equipa de operações de segurança, organize regularmente exercícios, como concursos entre a equipa vermelha e a equipa azul e simulações de violações e ataques.
