O cenário de segurança cibernética está em constante evolução e as organizações precisam estar preparadas para enfrentar ameaças cada vez mais sofisticadas. Nesse contexto, o SOC (Security Operations Center) tem desempenhado um papel vital na defesa contra essas ameaças.
Nesse contexto, o SOC agora utiliza de ferramentas avançadas de detecção de ameaças emergentes, como ataques direcionados, ransomware, phishing avançado e APTs (Advanced Persistent Threats). Entre as soluções estão o EDR (Endpoint Detection and Response) e o SOAR (Security Orchestration, Automation and Response), que permitem uma resposta automatizada e coordenada aos incidentes, além de fornecer visibilidade e controle nos endpoints, ou seja, qualquer dispositivo conectado a uma rede de computadores.
Além disso, uma tendência importante na evolução do SOC é a implementação de tecnologias de Inteligência Artificial (IA), que pode analisar grandes volumes de dados em tempo real, identificar padrões e anomalias, além de prever e detectar ataques antes que eles ocorram. O Machine Learning (ML), por sua vez, permite que o SOC aprenda com o passado, adaptando-se a ameaças emergentes e refinando suas capacidades de detecção e resposta.
Ou seja, ao integrar IA e ML, o SOC pode detectar e responder “automaticamente” a ameaças, reduzindo o tempo de resposta e minimizando o impacto de incidentes de segurança.
É possível afirmar que o SOC desempenha um papel fundamental na proteção da infraestrutura digital e na defesa contra ameaças cibernéticas. No entanto, além de suas habilidades técnicas e conhecimento especializado, é essencial que os profissionais do SOC sigam princípios éticos sólidos.
Isso inclui acatar rigorosas políticas e práticas de segurança para garantir que as informações confidenciais não sejam divulgadas indevidamente, além de manter segredos comerciais, informações pessoais e estratégias de defesa em sigilo, protegendo a privacidade dos dados e garantindo que apenas as pessoas autorizadas tenham acesso.
Além disso, os profissionais do SOC não devem permitir influências pessoais, preconceitos ou discriminação na análise e resposta aos incidentes. Todas as ações devem ser baseadas em evidências e em uma avaliação objetiva dos riscos e impactos. A imparcialidade também implica em tratar igualmente todas as partes envolvidas, independentemente de posição, empresa ou relacionamento com a organização.
Mas o trabalho do SOC não para por aí. Enquanto o resto do mundo está aproveitando uma boa noite de sono, eles estão ocupados verificando sistemas de detecção, implementando atualizações de segurança e fortalecendo as defesas das organizações. Sem eles, os hackers teriam festas cibernéticas durante a madrugada. E, nesse mundo noturno, a colaboração é a chave do sucesso.
Há um trabalho, lado a lado, do SOC com outras equipes de segurança, formando uma liga de heróis da segurança cibernética. Juntos, compartilham informações confidenciais, trocam conhecimentos e se unem para enfrentar as ameaças mais poderosas. Eles são os super-heróis invisíveis do mundo cibernético!
*Humberto de Oliveira que é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Gerenciar projetos não é trivial e as centenas de páginas do PMBoK (Project Management Body of Knowledge) são um atestado disso. Um Gerente de Projetos (PMO) é um malabarista dos bons: além de controlar os “malabares” de Escopo, Custo, Tempo e Qualidade, também tem que controlar a rotação dos pratos onde estão as expectativas dos stakeholders, o gerenciamento dos anseios e conflitos da equipe do projeto, a comunicação adequada, o controle dos riscos do projeto, influências externas e internas, etc.
Um antigo colega de trabalho me disse diversas vezes: “A responsabilidade é sempre do GP”. Será que o GP é o único responsável pelo projeto? A verdade é que um GP não é (e não pode ser) um “lobo solitário”. É fundamental que esse profissional tenha uma retaguarda para auxiliá-lo nos diversos aspectos da condução de um projeto. Seja fornecendo modelos ou templates, apoiando nas análises de riscos dos projetos, disponibilizando estudos de caso ou lições aprendidas em projetos semelhantes, cobrando ou lembrando o GP da necessidade de executar determinadas atividades na condução do projeto. Essa retaguarda é o PMO – Project Management Office.
O PMO não deve ser visto como um xerife fiscalizando a condução adequada dos projetos e nem como um mero distribuidor de modelos. Muito mais do que isso, o PMO é o parceiro, o ponto de apoio dos GPs na condução dos projetos. O PMO é o “conselho Jedi” dos GPs, o local onde os GPs encontram orientação e apoio, onde dúvidas sobre questões da gestão dos projetos podem ser debatidas e soluções podem ser elaboradas.
Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Qualquer organização que execute projetos, sejam eles internos ou como serviços para outras organizações, deve considerar a criação de um PMO. Com o apoio do PMO os gerentes de projetos não estão sozinhos e, dessa forma, as chances de sucesso dos projetos melhoram substancialmente.
*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores de cibersegurança do mundo todo.
Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.
Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações.
Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.
Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.
Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários.
Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.
Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante.
É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.
A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios.
*Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Com a rápida transformação da Tecnologia da Informação, as organizações enfrentam pressões contínuas para se adaptar e inovar. Essas mudanças, por mais benéficas que possam ser para manter a operação competitiva e, consequentemente alavancar o crescimento do negócio, também introduzem novos riscos. É nesse contexto que a segurança cibernética ganha cada vez mais força.
Diante desse cenário, o gerenciamento de mudanças, quando alinhado com as práticas de segurança cibernética, pode atuar como um escudo, garantindo que as inovações não se transformem em vulnerabilidades. Nesse sentido, há três motivadores que tornam a segurança cibernética vital neste processo de gerenciamento de mudanças.
Novas tecnologias, novos riscos: com a introdução de novas tecnologias ou atualizações de sistemas existentes, há sempre o risco de introduzir vulnerabilidades não detectadas, e estas podem ser exploradas por atores mal-intencionados.
Mudanças organizacionais: reestruturações, fusões ou aquisições frequentemente levam a alterações em sistemas e processos. Sem uma revisão de segurança adequada, dados sensíveis podem ficar expostos ou sistemas podem ser deixados sem a proteção adequada.
Compliance regulatório: muitos setores têm regulamentações rigorosas sobre proteção de dados e segurança da informação. Assim, mudanças mal geridas podem resultar em violações destas regulamentações, resultando em multas e danos à reputação.
Conforme os tópicos abordados, fica claro de entender que, ao invés de avaliar os riscos de segurança cibernética apenas após uma mudança ter sido implementada, as organizações devem integrá-la desde o início do processo de gerenciamento de mudanças.
Para isso, é essencial que, antes de qualquer implementação em larga escala, as mudanças propostas sejam testadas em um ambiente controlado para identificar e mitigar potenciais vulnerabilidades. Vale ressaltar também que, após a implementação de uma mudança, é vital continuar monitorando e avaliando a segurança para detectar e responder rapidamente a quaisquer ameaças emergentes.
Por outro lado, quando novos sistemas são introduzidos ou processos são alterados, os funcionários devem ser treinados não apenas sobre como usar essas novas ferramentas, mas também em relação às práticas de segurança associadas.
Como resultado da integração da segurança cibernética no processo de gerenciamento de mudanças, as organizações passam a cultivar uma cultura na qual a segurança é considerada uma prioridade e não uma reflexão posterior.
A segurança cibernética e o gerenciamento de mudanças são duas faces da mesma moeda em um ambiente empresarial moderno. Enquanto o gerenciamento de mudanças visa melhorar e otimizar os processos de negócios, a segurança cibernética garante que essas mudanças não comprometam a integridade, a disponibilidade e a confidencialidade dos ativos digitais da empresa.
Integrar esses dois domínios não é apenas uma prática recomendada, mas uma necessidade imperativa para organizações que desejam prosperar em um mundo digitalmente conectado, mantendo-se seguras contra ameaças cibernéticas.
*Bruno Oliveira é consultor master de Segurança Cibernética da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, a Segurança da Informação provavelmente não vai acontecer. A gamificação para conscientizar sobre segurança pode ser uma estratégia importante pra isso
Existem várias causas possíveis para explicar essa visão de “coisa do pessoal da TI”. Uma delas, por exemplo, é a falta de percepção dos colaboradores sobre a importância do seu papel no processo de Segurança da Informação. Enquanto alguns profissionais se sentem inibidos e não entendem a “sopa de letrinhas” da tecnologia que envolve a área, outros estão tão habituados com as atividades que executam e têm um domínio tão completo sobre suas tarefas que encaram seu trabalho como algo trivial, não percebendo o valor das informações que utilizam e os impactos negativos que podem ocorrer caso esses dados sejam utilizados de forma inadequada.
Diante desse cenário, como mudar essa visão e conscientizar os colaboradores a criarem uma cultura da Segurança da Informação. Os treinamentos formais são úteis, importantes e necessários, mas não são o suficiente. Atualmente, ninguém mais quer ficar passivamente lendo manuais ou assistindo palestras tradicionais nas quais uma pessoa apresenta centenas de slides e a interação com o público é baixa ou nula.
Gamificação para conscientizar sobre Segurança da Informação
Um caminho para resolver essa questão é usar a gamificação, um método de conscientizar pessoas e promover a mudança de comportamento utilizando a mecânica de jogos. Essencialmente, é pegar o que é divertido sobre os jogos e aplicá-lo a situações que talvez não sejam tão divertidas.
De maneira bem resumida, um caminho para conscientizar os colaboradores de forma a mudar seu comportamento e colaborar com a implantação de uma cultura de Segurança da Informação utilizando métodos de gamificação para conscientizar inclui:
Enxergar o colaborador (usuário) como aliado, não como o elo mais fraco;
Selecionar uma ferramenta adequada para alavancar o processo de gamificação;
Criar um regulamento para o “jogo”, ou seja, o que vale e o que não vale ponto, duração da temporada, quais são os prêmios etc.;
Definir os métodos de comunicação interna que serão utilizados para divulgar o “jogo”;
Definir os indicadores de performance que serão utilizados para avaliar os resultados;
Iniciar a temporada do jogo, acompanhar e apoiar os participantes durante toda a temporada;
Encerrar a temporada, apurar os resultados e premiar os “vencedores”;
Voltar a etapa 4 e iniciar uma nova temporada.
A Segurança da informação não é apenas responsabilidade do pessoal da TI. Pelo contrário, ela deve ser uma prática ativa de todos os colaboradores da empresa, independente de função ou nível hierárquico.
Utilizar um processo de conscientização baseado em técnicas de gamificação pode facilitar bastante o engajamento dos colaboradores nessa cultura, beneficiando a todos.
*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial. Nesse contexto, a cibersegurança na cadeia de suprimentos ganha cada vez mais importância.
Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores.
Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).
Cibersegurança na cadeia de suprimentos: consequências e sanções
Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável.
Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos.
Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados.
Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos.
Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.
Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.
Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços.
Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas. A cibersegurança da cadeia de suprimentos é indispensável nesse processo.
*Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.
E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’.
No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações.
Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas.
Risco
‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros.
Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco.
E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento.
Ameaça
Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização.
Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes.
Vulnerabilidade
A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.
Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão: bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações.
Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações.
*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.
O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.
Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.
Controles detectivos vs. controles preventivos
Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.
Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.
Como escolher entre pentest e red teaming?
As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.
Para o red teaming, em particular, as empresas devem adaptar o escopo e os objetivos para se concentrarem em áreas de riscos-chave.
Por exemplo, um sistema de saúde pode priorizar a proteção de registros médicos. Ao mesmo tempo, uma organização de P&D pode enfatizar a proteção da propriedade intelectual. Já organizações com processos de aquisição complexos podem concentrar-se nos dados financeiros.
Ou seja, ao alinhar a metodologia e áreas críticas, as organizações podem abordar efetivamente as vulnerabilidades potenciais e seu impacto na reputação, compliance e bem-estar financeiro.
Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.
O red teaming visa simular ameaças do mundo real.
Todas as ferramentas e técnicas geralmente são consideradas dentro do escopo, mas podem não ser necessariamente usadas.
O red teaming também pode incorporar engenharia social e avaliações de segurança física para avaliar a conscientização dos funcionários e a aderência às políticas de segurança.
Cibersegurança: práticas essenciais
Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.
Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.
No mundo atual, é comum sermos impactados pelo crescimento exponencial de informações eletrônicas, apresentando desafios significativos aos profissionais da área jurídica, bem como investigadores nas etapas de coleta, análise e revisão de dados. Nesse contexto, as ferramentas eDiscovery, que identificam, coletam, analisam e revisam informações eletrônicas relevantes em casos legais, se tornaram essenciais, oferecendo soluções eficientes para lidar com grande volume e complexidade de dados.
Em qualquer tipo de atividade ou operação semelhante, é importante que as empresas sigam diretrizes, metodologias e práticas deste modelo.
No aspecto investigativo, por exemplo, temos como referência de metodologia o EDRM (Electronic Discovery Reference Model) ou ‘Modelo de Referência de Descoberta Eletrônica’, em tradução livre, que pode ser uma diretriz para o processo de descoberta eletrônica.
Este recurso compreende oito etapas sequenciais, incluindo a identificação de fontes de informação; a preservação de dados; a coleta; o processamento; a revisão; a análise; a produção; e a apresentação dos resultados. Dessa forma, o modelo EDRM fornece uma estrutura abrangente que auxilia os profissionais na execução eficiente de cada fase do processo de eDiscovery.
Seguindo essa metodologia, logo nas primeiras fases está o conjunto de atividades mais sensíveis em qualquer tipo de investigação: a identificação, a coleta e a preservação da evidência digital. Nesse sentido, qualquer manipulação indevida e incorreta pode acabar invalidando todo o processo investigativo.
E para que o processo não sofra tal desvio, profissionais também podem utilizar a ABNT NBR ISO/IEC 27037, norma internacional que estabelece diretrizes para a preservação de evidências digitais durante processos de investigação. Ela desempenha um papel crucial na garantia da integridade, autenticidade, confidencialidade e acessibilidade das evidências coletadas, além de fornecer orientações para o planejamento, a coleta, a autenticação, o armazenamento e a devida documentação das evidências digitais, garantindo validade e admissibilidade em um processo investigativo.
Com a clareza e padronização destes procedimentos, é notório o volume de benefícios significativos por meio do processamento de dados. Dentre eles, está a redução do volume de informações caracterizadas como irrelevantes ou duplicadas, acelerando, assim, a revisão e a tomada de decisões mais ágeis. Além disso, essa condução garante a indexação e a organização estruturada dos dados, assegurando a integridade das informações processadas.
Ainda nesse contexto, a fase de revisão e a análise é uma das etapas mais críticas do processo. Isso porque, os investigadores examinam as informações eletrônicas para identificar documentos relevantes, padrões ou evidências importantes para o caso em questão. Com isso, utilizando as ferramentas de eDiscovery, é possível conduzir buscas avançadas, aplicar filtros criteriosos e utilizar recursos de análise para explorar os dados em detalhes.
A revisão e análise cuidadosas, portanto, permitem tomar decisões bem fundamentadas durante o processo, possibilitando uma compreensão abrangente dos fatos e auxiliando na construção de estratégias sólidas na tomada de decisão. Essa etapa também pode envolver a colaboração entre equipes multidisciplinares, como especialistas em forense digital e advogados, para obtenção de insights valiosos.
Já a apresentação dos resultados é a última etapa. Nela, os profissionais organizam e comunicam as descobertas de forma clara e por meio de apresentação dos dados e dos gráficos, a fim de enfatizar os pontos-chave e dar suporte à argumentação jurídica.
Em suma, ao seguir os processos por meio das ferramentas de eDiscovery, é possível economizar tempo, reduzir custos e tornar o processo mais eficiente, permitindo, assim, que os profissionais do direito se concentrem nas informações relevantes e tomem decisões informadas, tendo como apoio o uso da abordagem orientada a dados.
*Luis Fernando Barbosa é gerente sênior Tecnologia Forense na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
