<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
22 mai 2017

CIO, don’t cry

Um malware tipificado ransomware nomeado de Wanna Cry assolou vários países e trouxe por sua natureza prejuízos que não serão calculados, afinal, muitas das empresas afetadas não divulgarão o impacto gerado aos seus negócios ou se de fato pagaram o resgate solicitado pelos cibercriminosos.

Novamente o papel do executivo de Tecnologia da Informação volta a ser colocado em xeque, uma vez que a própria estratégia de segurança que vem sendo adota pela organização está no centro das atenções.

O fato é que diversos mecanismos de segurança não estão sendo colocados em prática e a dura, mas real, constatação é que muitas empresas foram surpreendidas com questões básicas em um momento de crise (ataque cibernético), como por exemplo:

  • Quais são meus ativos críticos?
  • Onde estão os ativos com vulnerabilidades?
  • Quais os ativos infectados?
  • Qual o status das atualizações de segurança?
  • Qual a última versão dos backups?
  • Já isolamos o ambiente infectado?
  • Temos monitoração 24x7?

A ausência de resposta às questões como citadas acima, sem dúvida, gera o medo, a incerteza, a insegurança e, consequentemente, a paralisia. Não sobrando muita opção, opta-se pelo caminho de desligar todo o ambiente operacional da organização. A medida tem seu efeito, porém, não vai passar despercebida pelo conselho de administração, CEO e acionistas, indicando uma clara preocupação com a capacidade de disponibilidade do negócio, aplicação da governança de segurança e, sem dúvida, se gerou perdas financeiras e resvalos à imagem.

O CIO deve ser diligente, sim. É seu dever. Não deve ser refém de ameaças que, apesar de serem dinâmicas e persistentes, requerem dele um papel ativo, protagonista, no processo de gestão da segurança. Deve buscar compreender o cenário de vulnerabilidades no qual está inserida a organização, valendo-se do uso de tecnologias que possam contribuir em escala para a mitigação dos riscos.

Deve, ainda, aprimorar os processos visando garantir o efetivo mapeamento dos seus ativos, a identificação de ameaças (novas ou legadas) e contar com equipes qualificadas que possam, a contento, elevar o nível de maturidade de segurança, bem como monitorar os ativos críticos para o negócio.

Por fim, para reflexão, a chuva de ataques cibernéticos não é passageira, e como este último - Wanna Cry e suas derivações - mais raios e tempestades estão a caminho. Assim, outros ataques virão e tornarão o dia do CIO cada vez mais complexo, aumentando o batimento cardíaco e a pressão arterial, com justificativas que não serão bem recebidas. Então, don’t cry, pense e aja diligentemente, revendo sua estratégia de segurança. 

Se foi impactado desta vez, não espere a próxima. Poderá ser a última.

NEC Zero Trust

Subscreva aqui!