CIO, don’t cry
Um malware tipificado ransomware nomeado de Wanna Cry assolou vários países e trouxe por sua natureza prejuízos que não serão calculados, afinal, muitas das empresas afetadas não divulgarão o impacto gerado aos seus negócios ou se de fato pagaram o resgate solicitado pelos cibercriminosos.
Novamente o papel do executivo de Tecnologia da Informação volta a ser colocado em xeque, uma vez que a própria estratégia de segurança que vem sendo adota pela organização está no centro das atenções.
O fato é que diversos mecanismos de segurança não estão sendo colocados em prática e a dura, mas real, constatação é que muitas empresas foram surpreendidas com questões básicas em um momento de crise (ataque cibernético), como por exemplo:
- Quais são meus ativos críticos?
- Onde estão os ativos com vulnerabilidades?
- Quais os ativos infectados?
- Qual o status das atualizações de segurança?
- Qual a última versão dos backups?
- Já isolamos o ambiente infectado?
- Temos monitoração 24x7?
A ausência de resposta às questões como citadas acima, sem dúvida, gera o medo, a incerteza, a insegurança e, consequentemente, a paralisia. Não sobrando muita opção, opta-se pelo caminho de desligar todo o ambiente operacional da organização. A medida tem seu efeito, porém, não vai passar despercebida pelo conselho de administração, CEO e acionistas, indicando uma clara preocupação com a capacidade de disponibilidade do negócio, aplicação da governança de segurança e, sem dúvida, se gerou perdas financeiras e resvalos à imagem.
O CIO deve ser diligente, sim. É seu dever. Não deve ser refém de ameaças que, apesar de serem dinâmicas e persistentes, requerem dele um papel ativo, protagonista, no processo de gestão da segurança. Deve buscar compreender o cenário de vulnerabilidades no qual está inserida a organização, valendo-se do uso de tecnologias que possam contribuir em escala para a mitigação dos riscos.
Deve, ainda, aprimorar os processos visando garantir o efetivo mapeamento dos seus ativos, a identificação de ameaças (novas ou legadas) e contar com equipes qualificadas que possam, a contento, elevar o nível de maturidade de segurança, bem como monitorar os ativos críticos para o negócio.
Por fim, para reflexão, a chuva de ataques cibernéticos não é passageira, e como este último - Wanna Cry e suas derivações - mais raios e tempestades estão a caminho. Assim, outros ataques virão e tornarão o dia do CIO cada vez mais complexo, aumentando o batimento cardíaco e a pressão arterial, com justificativas que não serão bem recebidas. Então, don’t cry, pense e aja diligentemente, revendo sua estratégia de segurança.
Se foi impactado desta vez, não espere a próxima. Poderá ser a última.