Na prática, e realmente a cada segundo, as empresas ainda são pegas de surpresa no turbilhão do excesso de logs dos diversos ativos de TI. Isso acontece, pois ainda não é prática corriqueira no Brasil investir na monitoração do ambiente tecnológico nem “escutar” os logs. O entendimento da anatomia do ataque também é uma deficiência, mesmo para os que já monitoram o ambiente. Os ataques são executados por profissionais que entendem de segurança e faz-se necessário o mesmo nível de conhecimento para se detectar e responder às ameaças. Vimos o efeito desta deficiência na denúncia do caso Snowden, onde a NSA entrou e saiu de ambientes críticos do governo brasileiro sem ser percebida.
De acordo com registros do Gartner, em 2014, US$ 71,1 bilhões foram gastos mundialmente com a segurança dos dados. Muitas empresas são altamente equipadas com tecnologia de ponta, investindo grandes montantes em hardwares e softwares, acreditando que isso seja suficiente, quando, na verdade, deram apenas um dos passos necessários à mitigação do risco. A segurança se faz em camadas e as tecnologias de segurança são realmente imprescindíveis como primeira linha de defesa. Porém, além do pilar tecnológico, existe a necessidade de se combinar processos e pessoas para que a segurança atinja o nível necessário às grandes empresas.
Recentemente vimos a Sony ser, mais uma vez, severamente atacada. Desde 2005 a empresa é alvo desse tipo de invasão e mesmo assim parece manter as mesmas práticas de segurança da informação, com baixa eficácia, como foi comprovado. Usuários e senhas, folhas de pagamento, filmes não lançados, e-mails de diretores falando mal de atores, um processo dos funcionários contra a própria empresa que corria em sigilo, o codinome utilizado pelos atores para viagens, entre inúmeras outras informações, vieram a público. A resposta da Sony Pictures não foi investimentos internos para evitar futuros ataques, mas sim ataques DDoS aos sites asiáticos que disponibilizavam o material perdido. Alguns danos podem ser irreparáveis, a perda financeira da empresa é milionária e a perda de valor da marca difícil de calcular.
O primeiro passo para se resolver um problema é reconhecer que ele existe. Em segurança, assim como em outras áreas, o que não é monitorado, não é controlado, e não pode ser efetivamente modificado e aprimorado. Este conceito é mais fácil de ser entendido quando comparamos com a segurança patrimonial. Se um banco, por exemplo, tem várias vulnerabilidades físicas que o deixam suscetíveis a um assalto, ele não pode prescindir de um sistema de monitoração com câmeras, alarmes, procedimentos e, pessoas que, na presença de uma ameaça, acionem a polícia.
Se a escolha é fazer a monitoração in house, sem contratar um prestador de serviço, é preciso tratar a construção de um SOC – Security Operation Center – de maneira sistêmica, considerando tecnologias como o SIEM (do inglês Security Information and Event Management), além de um sistema de gerenciamento de alertas, incidentes e chamados. A montagem de um processo de tratamento de todo o ciclo de monitoração é básico, mas não trivial, e o mais importante é contar com equipes multidisciplinares que entendam a anatomia do ataque, a criação de regras de correlação de eventos, a triagem dos alertas, separando os falsos positivos das ameaças reais, o tratamento dos incidentes, a retroalimentação em regras proativas de mitigação de risco, além é claro, do atendimento ao usuário que, alheio a tudo isto, precisa trabalhar com o mínimo de transparência. Esqueci algo? Sim! Tudo isto precisa ser 24X7, já que criminoso não trabalha no horário do expediente.
Além das questões técnicas, ainda existe a falta de conscientização e conhecimento das áreas de negócio. Apesar do Gartner apontar o risco de segurança como uma das tendências estratégicas de TI mais importantes para 2015, o olhar pragmático das áreas de negócios, que gradualmente passam a ter um controle maior sobre os orçamentos de tecnologia, ainda considera a proteção das informações como um atributo da tecnologia adquirida e se sensibilizam somente quando um risco se transforma efetivamente em fraude.
O alerta vem sendo dado às corporações que ainda resistem a tratar estrategicamente a segurança da informação. A tecnologia está no centro do palco, não é mais uma área meio, como nos anos 80 e 90. Relegar o orçamento de segurança ao segundo plano é tomar um risco desnecessário para a operação da empresa. Os bons profissionais da área pregam que há um nível de segurança em que “o molho fica mais caro que o bife”. Mas sejamos conscientes: com o que praticamos no Brasil, nosso bife ainda precisa de muito molho para passar do ponto.
