Frameworks de cibersegurança são diretrizes estruturadas, melhores práticas e padrões projetados para ajudar as organizações a gerenciar e melhorar sua postura de segurança. Embora a cibersegurança possa parecer complexa, muitas vezes não é o caso. O mesmo se aplica aos frameworks, muitos deles se tornam bastante diretos uma vez que você os entende. Como compreendê-los e usá-los a seu favor? Dušan Kaštan, especialista em cibersegurança da ESET, oferece sua perspectiva e conselhos valiosos.
Entendendo os frameworks de cibersegurança: Simplificando o complexo
Quando as pessoas pensam em frameworks de segurança, geralmente ficam assustadas com sua complexidade. Qual é a sua opinião sobre isso?
Talvez um dos problemas seja que, ao procurar informações online, navegar pela abundância de fontes e encontrar conselhos úteis pode ser um desafio. Muitos artigos que você encontra tentam resumir os frameworks, mas são pouco confiáveis e misturam dados antigos com novos. Ou então, juntam frameworks que focam em áreas completamente diferentes do negócio e dizem ao leitor "Agora escolha". No entanto, uma organização provavelmente se beneficiaria de usar todos esses frameworks ao mesmo tempo.
O objetivo de vários frameworks de segurança é o mesmo, proteger sua empresa. No entanto, eles costumam tentar alcançar esse objetivo por meio de diferentes etapas. Como resultado, você não deve confiar apenas em um único framework para proteger sua empresa. Idealmente, passe por três ou quatro deles e use-os para proteger seu negócio de múltiplas maneiras.
Então, se eu fosse dono de uma empresa, por onde deveria começar com os frameworks?
A maneira mais fácil e prática de começar é imaginar sua própria casa como uma pequena empresa e tentar aplicar o framework lá. Isso é algo que qualquer pessoa pode fazer, não apenas os donos de empresas. Pode ajudar a entender verdadeiramente os frameworks, ver seu escopo e sentir os efeitos.
Isso não seria muito difícil e talvez desnecessário para alguns empresários, como aqueles que terceirizam o TI da empresa?
Pelo contrário. Compreender os frameworks é importante mesmo que você terceirize ou utilize um Provedor de Serviços Gerenciados (MSP) para o TI da sua empresa. Imagine que você queira contratar alguns serviços de um MSP, mas nem sabe o que esses serviços são ou o que envolvem. Ou então, precisa escolher entre vários serviços, mas não tem ideia de qual é a diferença entre eles. Isso não faz sentido, certo? Testar os frameworks por conta própria pode ser benéfico para qualquer empresário e, por consequência, para sua empresa.
Os frameworks de cibersegurança são baseados em situações reais e ameaças comuns. E, como a tecnologia é um campo altamente dinâmico, eles mudam com o tempo. Por isso, é importante sempre prestar atenção à data de publicação e usar frameworks que estejam atualizados.
Passos práticos para implementar frameworks de segurança
Qual framework é ideal para o teste em “casa”?
Um bom ponto de partida é o GCA Cybersecurity Toolkit. Ele pode ajudar você a dar os primeiros passos no mundo dos frameworks de segurança. Há diferentes kits de ferramentas, baseados no seu perfil, seja você um indivíduo, uma pequena empresa, etc. Cada kit descreve vários aspectos da cibersegurança, como criptografia, segurança de senhas, backups, entre outros. Ele orienta você a cobrir todas essas possíveis vulnerabilidades, uma de cada vez. Se você deixar alguma de fora, permanecerá vulnerável — e isso é um problema comum.
Por exemplo, profissionais de TI geralmente sabem sobre phishing, então baixam um software que pode ajudar com esse problema. No entanto, existem partes da cibersegurança que acham muito complexas e evitam lidar, como a criptografia. A solução para isso é simplesmente pular esses pontos, o que significa que acabam expostos. Os frameworks de cibersegurança podem ajudar os profissionais de TI a serem mais sistemáticos e a não negligenciar nenhuma etapa essencial.
Com relação aos frameworks, por onde você começaria?
O CIS tem um bom guia que você pode seguir. Esse framework é especialmente útil para pequenas e médias empresas (PMEs), mas até empresas maiores podem se beneficiar. Ele possui várias camadas que você pode aplicar, começando pela primeira e ficando mais complexo conforme avança. A regra principal é cumprir todos os pontos da primeira camada para passar à segunda, depois à terceira, e assim por diante. Para pequenas empresas, talvez apenas a primeira camada seja suficiente, mas empresas maiores podem e devem avançar para a segunda ou terceira camada.
E quanto ao framework NIST?
Esse é um pouco mais teórico e também mais multifacetado. Ao investigá-lo, você verá que ele cobre, por exemplo, a avaliação de riscos, que não é descrita no framework CIS. Por outro lado, ele não é tão instrutivo quanto o CIS. Enquanto o CIS diz o que você precisa fazer, o NIST aponta para alguns aspectos da sua segurança e diz: "Aqui estão as coisas que você deveria cobrir". Se conectarmos o framework CIS ao NIST, teremos uma combinação muito útil. O NIST mostra os diferentes ativos que você deve proteger, e o CIS pode ser seu guia passo a passo.
Links Úteis
Para obter mais informações sobre o framework CIS, clique aqui.
Para ver as diferentes camadas e aprender como implementar o framework CIS, passo a passo, clique aqui.
Para ler respostas a algumas das perguntas mais comuns sobre o framework CIS, clique aqui.
Para obter mais informações sobre o framework NIST, seus benefícios e possibilidades de implementação, clique aqui.
Vamos voltar ao básico. Como seria a aplicação de um framework de segurança na prática?
Tudo o que você precisaria fazer é seguir os passos descritos pelos frameworks. Por exemplo, o framework CIS aconselha a começar com um inventário detalhado de ativos. Após isso, o segundo passo, de acordo com o framework CIS, é o inventário de software. Isso significa que você deve se perguntar: Quais softwares nossa empresa utiliza? Quantas instâncias de cada software existem? Há aplicativos não utilizados em nossos dispositivos que não foram atualizados recentemente? Cada vulnerabilidade em um dispositivo pode potencialmente ser uma vulnerabilidade para toda a empresa, então você deve gradualmente eliminar todos os aplicativos potencialmente inseguros.
Isso é bastante útil.
Sim, esse é exatamente o meu ponto. Muitos funcionários não sentem a necessidade de seguir um framework de segurança, e até mesmo os proprietários de empresas muitas vezes acreditam que a cibersegurança é algo em que apenas a equipe de TI precisa se concentrar. Os frameworks podem ser úteis em uma escala mais ampla, assim como em uma escala muito menor. Os frameworks de cibersegurança não são apenas um pedaço de papel cheio de regras escritas por alguém desconhecido e inteligente. Eles existem para seu benefício, ajudando você a evitar lacunas de segurança que, de outra forma, poderia ignorar. A chave é aprender a usá-los de forma eficaz.
Mitos comuns e vulnerabilidades ignoradas na cibersegurança
Quais são alguns buracos de cibersegurança que as empresas costumam ignorar?
Para fornecer uma resposta precisa a essa pergunta, eu precisaria de acesso a uma vasta quantidade de dados, o que não tenho. No entanto, posso compartilhar insights sobre quais ativos são mais comumente alvo de cibercriminosos. Parece haver uma conexão clara entre esses ativos-alvo e as vulnerabilidades ignoradas. Os cibercriminosos se concentram no que percebem como os pontos de entrada mais fáceis. Muitas vezes, os ataques visam dispositivos móveis. Senhas fracas e a falta de criptografia também costumam ser um problema. Por fim, acredito que as empresas também falham comumente em uma das práticas mais básicas: ter uma visão clara de quais dispositivos possuem em seu sistema.
O ESET PROTECT tem a capacidade de recuperar detalhes do inventário de hardware de dispositivos conectados, como informações sobre a RAM, armazenamento e processador de um dispositivo. Você pode até criar grupos dinâmicos personalizados com base nos detalhes do inventário de hardware dos dispositivos conectados.
Quais são, na sua opinião, algumas concepções errôneas comuns sobre frameworks ou cibersegurança em geral?
Os funcionários muitas vezes associam a cibersegurança a ameaças muito complexas. Mas as ameaças mais comuns e, portanto, as mais perigosas são frequentemente bastante simples. Por exemplo, os funcionários presumem que alguém pode hackear seu telefone e acessar seus dados. Na realidade, é muito mais comum que hackers esperem até que alguém insira suas credenciais em um local público e, em seguida, roubem o dispositivo quando estiver desatendido. Esse problema poderia ser facilmente evitado se as empresas prestassem mais atenção ao básico da cibersegurança e, às vezes, à segurança em geral. Há também outra concepção errônea comum que vem à mente.
Qual é?
As empresas, especialmente as pequenas, muitas vezes se perguntam: “Por que eu seria um alvo interessante para hackers? Com certeza, eles têm peixes maiores para fritar.” Infelizmente, essa crença às vezes leva as empresas a negligenciar a cibersegurança. No entanto, a verdade é que nem todos os ataques visam especificamente empresas. Muitos cibercriminosos atacam de forma indiscriminada usando ferramentas como Ransomware-as-a-Service e métodos semelhantes. Paradoxalmente, essa falta de atenção torna pequenas empresas alvos perfeitos para cibercriminosos. Portanto, mesmo pequenas empresas devem priorizar a cibersegurança, e a implementação de frameworks pode melhorar significativamente suas defesas.
