Blog

A tempestade perfeita

Written by Cristiano Pimenta | 23/jan/2018 18:00:00

A expressão "tempestade perfeita" é um calque morfológico (do inglês, perfect storm) que se refere à situação na qual um evento, em geral não favorável, é drasticamente agravado pela ocorrência de uma rara combinação de circunstâncias, transformando-se em um desastre. No universo da cibersegurança, um evento não favorável pode ser tudo aquilo que já sabemos que existe no ambiente tecnológico da organização mas que, no entanto, desprezamos (vunerabilidades!). Vamos a alguns exemplos:

  • Senhas compartilhadas
  • Acessos administrativos nas estações de trabalho
  • Sistemas operacionais desatualizados
  • Inexistência de políticas de segurança
  • Vulnerabilidades desconhecidas
  • Visitantes sem controle de acesso lógico
  • Redes que não estão segregadas
  • Ativos desconhecidos que foram identificados no inventário e que ninguém, de fato, sabe informar do que se trata

Tal evento não favorável também pode ser somatizado pela evolução das ameaças que vimos em 2017, que indicam que as coisas ainda vão piorar.

O surgimento de novas famílias de ransomwares amplificando os ataques direcionados, o aumento de ataques de negação de serviços visando comprometer dispositivos móveis e a internet das coisas, a maior sofisticação nos modelos de ataques persistentes, espionagem para dispositivos móveis, plataformas como Adobe e Apple passam a ser cada vez mais exploradas, e para não dizer que tudo são flores, o infernal phishing e e-mails spoofing, que continuam se reinventando todo dia, sempre à espreita de uma falha nos servidores e/ou desatenção dos usuários. A lista é grande! 

Um agravamento drástico desta realidade está alinhado com a baixa disponibilidades de profissionais nas organizações. Além disso, os poucos profissionais existentes são afetados pela falta de investimento em qualificação e, considerando o alto volume de demandas que não tem nada a ver com a proteção do ambiente, vai tornando essa equação ainda mais complexa. 

Organizações sem gestão de suas vulnerabilidades tecnológicas, sem time com conhecimento ou um serviço especializado para verificação periódica, sem plano de tratamento dos riscos e sem políticas que regulem o uso do ambiente por funcionários e terceiros podem ser mais comprometedores quando circunstâncias não controladas entram em cena, como, por uma determinação da alta direção, seja necessário implementar em um curto prazo canais eletrônicos para suportar uma nova demanda de negócio e os clientes. 

O resultado desta equação envolvendo eventos não favoráveis mais agravamento drástico mais circunstâncias não controladas tende a ser caótico e, assim por dizer, um potencial grande desastre. Para que você não seja surpreendido, inicie uma análise sobre quais os eventos potenciais (vulnerabilidades conhecidas e riscos não tratados) que ameaçam a proteção da organização. 

Quais são as situações (atitudes, orçamento, restrições, regulações e políticas internas) que agravam drasticamente os riscos?


Quais situações que você não controla (novas demandas da alta direção, novas ameaças ao negócio, dentre tantas outras situações que podem ocorrer sem a sua previsibilidade)?

 

Por fim, para reflexão, pode até ser que não fuja da “tempestade perfeita”, mas, ao se preparar melhor, terá maior grau de êxito, encontrando abrigo e proteção adequada para sua organização. E ao vê-la passar, poderá coletar lições aprendidas, realimentando todo o processo de proteção exigido para o negócio. Afinal, não se iluda, você sabe que a encontrará novamente no futuro, mais forte e com mais disposição de causar estragos.