Cybersecurity Archives - Protiviti

A história do Cavalo de Troia, um dos mais famosos contos da mitologia grega, oferece uma poderosa metáfora para entender os perigos da autenticação fraca na era digital. Da mesma forma que o famoso cavalo de madeira permitiu aos gregos penetrar nas defesas de Troia e abrir as portas para a invasão, a exploração de autenticação fraca em sistemas de segurança cibernética pode conceder acesso não autorizado aos invasores, comprometendo a integridade das organizações.

Assim como os troianos confiaram na aparente inocência do presente, as organizações muitas vezes subestimam a importância de implementar medidas robustas de autenticação, abrindo inadvertidamente as portas para intrusões maliciosas. Este paralelo histórico ressalta a necessidade premente de reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.

Autenticação é o processo de verificar a identidade de um usuário ou dispositivo para garantir que eles sejam quem afirmam ser. É uma etapa crucial na segurança da informação e desempenha um papel fundamental na proteção de sistemas e dados contra acesso não autorizado. A autenticação é importante porque ajuda a garantir a confidencialidade, integridade e disponibilidade dos recursos de uma organização, protegendo-os contra ameaças cibernéticas, como ataques de hackers e violações de dados.

Modelos de autenticação: muito além das senhas

O modelo de autenticação mais conhecido e tradicional é a feita por meio de senha. Para incrementar a segurança e evitar ataques de força bruta, há aprimoramentos como o Captcha, a troca periódica das senhas, a obrigatoriedade de criação de senhas fortes e assim por diante. Porém, há outros mecanismos mais eficientes e com menor fricção ao usuário e que são mais efetivos, tais como:

Aprimorar a autenticação nas empresas pode ser desafiador devido a diversas resistências. Os custos associados à implementação de tecnologias avançadas, a complexidade dos novos processos para os usuários, questões de compatibilidade com sistemas existentes e resistência cultural à mudança são algumas das barreiras enfrentadas. Além disso, preocupações com a privacidade, especialmente em relação ao uso de biometria, e a necessidade de garantir uma experiência do usuário simples e eficiente também contribuem para a dificuldade na adoção de medidas mais robustas de autenticação. Superar esses desafios requer comprometimento da liderança, investimentos adequados em tecnologia e treinamento, além de uma abordagem equilibrada que leve em consideração tanto a segurança quanto a usabilidade.

Para as organizações que utilizam o pacote Microsoft, a solução de gestão de identidades Microsoft Entra ID resolve grande parte desses desafios. As licenças corporativas já possuem o Microsoft Entra ID com a funcionalidade de robustecer os métodos de autenticação. Logo, os custos para melhorar a autenticação são praticamente inexistentes. Além disso, é uma solução nativa e integrada com todo o ambiente Microsoft, reduzindo as necessidades de integração. Para habilitar o MFA, por exemplo, a Microsoft disponibiliza o aplicativo Microsoft Authenticator, que permite validar acessos por meio do dispositivo móvel.  Restam as questões associadas à privacidade e cultura de segurança da informação. Para estes casos, é fundamental aplicar um programa de gestão da mudança gradual para minimizar os impactos de um modelo de autenticação mais robusto.

Ao robustecer os métodos de autenticação das identidades na sua organização, a barreira de entrada dos cibercriminosos passa a ser muito maior. Além de confiar nas defesas do castelo, proteger a porta de acesso é um aprendizado que a história prova ser fundamental.

O cenário de segurança cibernética está em constante evolução e as organizações precisam estar preparadas para enfrentar ameaças cada vez mais sofisticadas. Nesse contexto, o SOC (Security Operations Center) tem desempenhado um papel vital na defesa contra essas ameaças.

Nesse contexto, o SOC agora utiliza de ferramentas avançadas de detecção de ameaças emergentes, como ataques direcionados, ransomware, phishing avançado e APTs (Advanced Persistent Threats).  Entre as soluções estão o EDR (Endpoint Detection and Response) e o SOAR (Security Orchestration, Automation and Response), que permitem uma resposta automatizada e coordenada aos incidentes, além de fornecer visibilidade e controle nos endpoints, ou seja, qualquer dispositivo conectado a uma rede de computadores.

Além disso, uma tendência importante na evolução do SOC é a implementação de tecnologias de Inteligência Artificial (IA), que pode analisar grandes volumes de dados em tempo real, identificar padrões e anomalias, além de prever e detectar ataques antes que eles ocorram. O Machine Learning (ML), por sua vez, permite que o SOC aprenda com o passado, adaptando-se a ameaças emergentes e refinando suas capacidades de detecção e resposta.

Ou seja, ao integrar IA e ML, o SOC pode detectar e responder “automaticamente” a ameaças, reduzindo o tempo de resposta e minimizando o impacto de incidentes de segurança.

É possível afirmar que o SOC desempenha um papel fundamental na proteção da infraestrutura digital e na defesa contra ameaças cibernéticas. No entanto, além de suas habilidades técnicas e conhecimento especializado, é essencial que os profissionais do SOC sigam princípios éticos sólidos.

Isso inclui acatar rigorosas políticas e práticas de segurança para garantir que as informações confidenciais não sejam divulgadas indevidamente, além de manter segredos comerciais, informações pessoais e estratégias de defesa em sigilo, protegendo a privacidade dos dados e garantindo que apenas as pessoas autorizadas tenham acesso.

Além disso, os profissionais do SOC não devem permitir influências pessoais, preconceitos ou discriminação na análise e resposta aos incidentes. Todas as ações devem ser baseadas em evidências e em uma avaliação objetiva dos riscos e impactos. A imparcialidade também implica em tratar igualmente todas as partes envolvidas, independentemente de posição, empresa ou relacionamento com a organização.

Mas o trabalho do SOC não para por aí. Enquanto o resto do mundo está aproveitando uma boa noite de sono, eles estão ocupados verificando sistemas de detecção, implementando atualizações de segurança e fortalecendo as defesas das organizações. Sem eles, os hackers teriam festas cibernéticas durante a madrugada. E, nesse mundo noturno, a colaboração é a chave do sucesso.

Há um trabalho, lado a lado, do SOC com outras equipes de segurança, formando uma liga de heróis da segurança cibernética. Juntos, compartilham informações confidenciais, trocam conhecimentos e se unem para enfrentar as ameaças mais poderosas. Eles são os super-heróis invisíveis do mundo cibernético!

*Humberto de Oliveira que é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Gerenciar projetos não é trivial e as centenas de páginas do PMBoK (Project Management Body of Knowledge) são um atestado disso. Um Gerente de Projetos (PMO) é um malabarista dos bons: além de controlar os “malabares” de Escopo, Custo, Tempo e Qualidade, também tem que controlar a rotação dos pratos onde estão as expectativas dos stakeholders, o gerenciamento dos anseios e conflitos da equipe do projeto, a comunicação adequada, o controle dos riscos do projeto, influências externas e internas, etc.

Um antigo colega de trabalho me disse diversas vezes: “A responsabilidade é sempre do GP”. Será que o GP é o único responsável pelo projeto? A verdade é que um GP não é (e não pode ser) um “lobo solitário”. É fundamental que esse profissional tenha uma retaguarda para auxiliá-lo nos diversos aspectos da condução de um projeto. Seja fornecendo modelos ou templates, apoiando nas análises de riscos dos projetos, disponibilizando estudos de caso ou lições aprendidas em projetos semelhantes, cobrando ou lembrando o GP da necessidade de executar determinadas atividades na condução do projeto. Essa retaguarda é o PMO – Project Management Office.

O PMO não deve ser visto como um xerife fiscalizando a condução adequada dos projetos e nem como um mero distribuidor de modelos. Muito mais do que isso, o PMO é o parceiro, o ponto de apoio dos GPs na condução dos projetos. O PMO é o “conselho Jedi” dos GPs, o local onde os GPs encontram orientação e apoio, onde dúvidas sobre questões da gestão dos projetos podem ser debatidas e soluções podem ser elaboradas.

Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Qualquer organização que execute projetos, sejam eles internos ou como serviços para outras organizações, deve considerar a criação de um PMO. Com o apoio do PMO os gerentes de projetos não estão sozinhos e, dessa forma, as chances de sucesso dos projetos melhoram substancialmente.

*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

À medida que o mundo empresarial se torna cada vez mais dependente de tecnologia, os incidentes de segurança da informação se tornaram uma ameaça significativa para as organizações. Ataques cibernéticos, como o ransomware agora não são meros problemas técnicos, mas uma preocupação de grande relevância para reguladores de cibersegurança do mundo todo. 

Segundo dados divulgados pela Fortinet, empresa de software, produtos e serviços de cibersegurança, o Brasil é o segundo país mais atingido por ataques cibernéticos na América Latina, ficando atrás apenas do México.  

Ainda conforme a pesquisa, em 2022 o país testemunhou uma impressionante marca de 103 bilhões de tentativas de ataques, registrando 16% a mais em relação ao ano anterior. Além disso, aproximadamente 86% desse total está relacionado ao ransomware, indicando motivação financeira substancial por trás dessas ações. 

Esses dados revelam que, à medida que a tecnologia avança, os cibercriminosos se adaptam rapidamente a novas práticas diante às vulnerabilidades. Essa posição coloca não apenas as empresas em risco, mas também a privacidade e a segurança das informações de clientes e parceiros.  

Nesse aspecto, os reguladores, como a Comissão de Valores Mobiliários (CVM), Banco Central do Brasil (BCB) e a Superintendência de Seguros Privados (SUSEP) têm adotado uma postura proativa em relação à segurança cibernética, estabelecendo diretrizes rigorosas que as empresas listadas devem seguir. Tudo isso com o objetivo de garantir a proteção da confidencialidade, integridade e disponibilidade dos dados.

Assim, utilizar ferramentas especializadas é fundamental para o monitoramento da segurança das informações em tempo real, tendo como foco indicadores de riscos para a mitigação de ameaças e melhoria dos controles. No entanto, é relevante que as empresas tenham comandos efetivos, que sejam adequados ao tipo de mercado de atuação, bem como ao porte e complexidade da operação.  

Além disso, estes controles precisam levar em conta o fluxo de comunicação interna, pois nem sempre um incidente começará na infraestrutura de TI e, assim, não será gerado um alerta nos monitoramentos de tecnologia. Portanto, além dessa logística, deve-se ter o treinamento e a conscientização dos funcionários. 

Isso porque é de extrema importância que os colaboradores não caiam em armadilhas como phishing, ou seja, e-mails falsos que permitem o roubo de informações que podem resultar em invasões na infraestrutura de TI. Logo, para que episódios como estes não ocorram, as organizações devem estimular a comunicação efetiva em torno destes incidentes, além de promover a atenção da gestão de terceiro.  

Nesse contexto, é de extrema importância que os usuários comuniquem às áreas de governança corporativa a mínima suspeita de um eventual ataque cibernético, bem como informar qualquer falha ou erro operacional, em que dados de pessoas naturais, clientes, inclusive da empresa, entre outros, possam ter sido tratados de forma irregular. Afinal, de nada adianta os investimentos internos se os prestadores de serviço não adotam os mesmos padrões que a contratante. 

É contundente que as empresas abordem determinadas questões desde o momento da contratação, com a formalização de termos de confidencialidade (non-disclosure agreement – NDA), que são elaborados com rigor para garantir que todas as partes entendam as responsabilidades e os riscos associados à gestão de informações sensíveis. Além disso, deve priorizar a due dilligence (em português, ‘diligência prévia’) com os fornecedores, o que envolve avaliar a capacidade de proteger dados e informações confidenciais da empresa.  

A partir dessas medidas, as organizações podem reduzir significativamente os riscos relacionados à segurança da informação e garantir que os dados permaneçam protegidos, independentemente de onde residam no ecossistema corporativo. Essa abordagem não apenas protege, mas também amplia a confiança de clientes e parceiros de negócios. 

*Alexandre Tamura e Julia Bersan atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados. 

Com a rápida transformação da Tecnologia da Informação, as organizações enfrentam pressões contínuas para se adaptar e inovar. Essas mudanças, por mais benéficas que possam ser para manter a operação competitiva e, consequentemente alavancar o crescimento do negócio, também introduzem novos riscos. É nesse contexto que a segurança cibernética ganha cada vez mais força.

Diante desse cenário, o gerenciamento de mudanças, quando alinhado com as práticas de segurança cibernética, pode atuar como um escudo, garantindo que as inovações não se transformem em vulnerabilidades. Nesse sentido, há três motivadores que tornam a segurança cibernética vital neste processo de gerenciamento de mudanças.

  1. Novas tecnologias, novos riscos: com a introdução de novas tecnologias ou atualizações de sistemas existentes, há sempre o risco de introduzir vulnerabilidades não detectadas, e estas podem ser exploradas por atores mal-intencionados.
  2. Mudanças organizacionais: reestruturações, fusões ou aquisições frequentemente levam a alterações em sistemas e processos. Sem uma revisão de segurança adequada, dados sensíveis podem ficar expostos ou sistemas podem ser deixados sem a proteção adequada.
  3. Compliance regulatório: muitos setores têm regulamentações rigorosas sobre proteção de dados e segurança da informação. Assim, mudanças mal geridas podem resultar em violações destas regulamentações, resultando em multas e danos à reputação.

Conforme os tópicos abordados, fica claro de entender que, ao invés de avaliar os riscos de segurança cibernética apenas após uma mudança ter sido implementada, as organizações devem integrá-la desde o início do processo de gerenciamento de mudanças.

Para isso, é essencial que, antes de qualquer implementação em larga escala, as mudanças propostas sejam testadas em um ambiente controlado para identificar e mitigar potenciais vulnerabilidades. Vale ressaltar também que, após a implementação de uma mudança, é vital continuar monitorando e avaliando a segurança para detectar e responder rapidamente a quaisquer ameaças emergentes.

Por outro lado, quando novos sistemas são introduzidos ou processos são alterados, os funcionários devem ser treinados não apenas sobre como usar essas novas ferramentas, mas também em relação às práticas de segurança associadas.

Como resultado da integração da segurança cibernética no processo de gerenciamento de mudanças, as organizações passam a cultivar uma cultura na qual a segurança é considerada uma prioridade e não uma reflexão posterior.

A segurança cibernética e o gerenciamento de mudanças são duas faces da mesma moeda em um ambiente empresarial moderno. Enquanto o gerenciamento de mudanças visa melhorar e otimizar os processos de negócios, a segurança cibernética garante que essas mudanças não comprometam a integridade, a disponibilidade e a confidencialidade dos ativos digitais da empresa.

Integrar esses dois domínios não é apenas uma prática recomendada, mas uma necessidade imperativa para organizações que desejam prosperar em um mundo digitalmente conectado, mantendo-se seguras contra ameaças cibernéticas.

*Bruno Oliveira é consultor master de Segurança Cibernética da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, a Segurança da Informação provavelmente não vai acontecer. A gamificação para conscientizar sobre segurança pode ser uma estratégia importante pra isso

Existem várias causas possíveis para explicar essa visão de “coisa do pessoal da TI”. Uma delas, por exemplo, é a falta de percepção dos colaboradores sobre a importância do seu papel no processo de Segurança da Informação. Enquanto alguns profissionais se sentem inibidos e não entendem a “sopa de letrinhas” da tecnologia que envolve a área, outros estão tão habituados com as atividades que executam e têm um domínio tão completo sobre suas tarefas que encaram seu trabalho como algo trivial, não percebendo o valor das informações que utilizam e os impactos negativos que podem ocorrer caso esses dados sejam utilizados de forma inadequada.

Diante desse cenário, como mudar essa visão e conscientizar os colaboradores a criarem uma cultura da Segurança da Informação. Os treinamentos formais são úteis, importantes e necessários, mas não são o suficiente. Atualmente, ninguém mais quer ficar passivamente lendo manuais ou assistindo palestras tradicionais nas quais uma pessoa apresenta centenas de slides e a interação com o público é baixa ou nula.

Gamificação para conscientizar sobre Segurança da Informação

Um caminho para resolver essa questão é usar a gamificação,  um método de conscientizar pessoas e promover a mudança de comportamento utilizando a mecânica de jogos. Essencialmente, é pegar o que é divertido sobre os jogos e aplicá-lo a situações que talvez não sejam tão divertidas.

De maneira bem resumida, um caminho para conscientizar os colaboradores de forma a mudar seu comportamento e colaborar com a implantação de uma cultura de Segurança da Informação utilizando métodos de gamificação para conscientizar inclui:

A Segurança da informação não é apenas responsabilidade do pessoal da TI. Pelo contrário, ela deve ser uma prática ativa de todos os colaboradores da empresa, independente de função ou nível hierárquico.

Utilizar um processo de conscientização baseado em técnicas de gamificação pode facilitar bastante o engajamento dos colaboradores nessa cultura, beneficiando a todos.

*Armando Ribeiro é consultor de cibersegurança da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial. Nesse contexto, a cibersegurança na cadeia de suprimentos ganha cada vez mais importância.

Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores. 

Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).  

Cibersegurança na cadeia de suprimentos: consequências e sanções

Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável. 

Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos. 

Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados. 

Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos. 

Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.  

Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.  

Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços. 

Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando  indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas. A cibersegurança da cadeia de suprimentos é indispensável nesse processo.

*Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.

E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. 

No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações. 

Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas. 

Risco 

‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros. 

Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco. 

E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento. 

Ameaça 

Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização. 

Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes. 

Vulnerabilidade 

A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.  

Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão:  bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações. 

Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações. 

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Pentest e Red Teaming são duas práticas essenciais de cibersegurança que fortalecem a postura de uma organização ao descobrir vulnerabilidades em seus sistemas, redes, pessoas ou processos de negócios. Essas metodologias possuem objetivos, escopos, abordagens e tecnologias distintas. Entenda algumas dessas diferenças a seguir.

O pentest é um ataque simulado direcionado a um sistema ou rede específicos, com o objetivo de descobrir e relatar vulnerabilidades suscetíveis à exploração. Esse tipo de teste é projetado para avaliar controles primários, como gerenciamento de patches e vulnerabilidades, configuração e fortalecimento do sistema, criptografia, segurança de aplicativos, segmentação de rede, gerenciamento de acesso privilegiado e aplicação de políticas de segurança. O escopo desse engajamento é definido, e o custo varia com base na extensão e profundidade da avaliação.

Por outro lado, o red teaming oferece uma avaliação direcionada da postura de segurança de uma organização. Muitas vezes, concentra-se na capacidade de uma ameaça obter acesso não intencional, juntamente com testes de controles detectivos e preventivos.

Controles detectivos vs. controles preventivos

Controles detectivos incluem sistemas de detecção de intrusões (IDS), resposta a incidentes em endpoints (EDR), sistemas de gerenciamento de informações e eventos de segurança (SIEM), análise de logs e detecção de anomalias. Já os controles preventivos envolvem firewalls, listas de controle de acesso, sistemas de prevenção de intrusões (IPS), autenticação multifator (MFA) e segmentação de rede. O objetivo é identificar e explorar vulnerabilidades de maneira semelhante a um atacante real. Ao mesmo tempo, o teste avalia a capacidade da organização de detectar e prevenir ataques. O red teaming é um exercício baseado em objetivos destinado a simular ameaças do mundo real que visam uma organização.

Esses objetivos normalmente incluem a comprometimento do ambiente interno a partir de uma perspectiva externa, acesso a sistemas sensíveis ou interrupção de processos de negócios. Os caminhos de ataque ou metodologias do atacante nos exercícios de red teaming ajudam a avaliar a resiliência de uma organização contra vários atores de ameaças, incluindo estados-nação, crimes organizados e ameaças internas. Essa abordagem exige testadores altamente qualificados, que devem trabalhar de maneira lenta, deliberada e silenciosa para evitar detecção, o que pode resultar em um custo mais alto em comparação com os pentests. A complexidade e sofisticação do exercício, a necessidade de extensa pesquisa e reconhecimento, e a exigência de um maior nível de coordenação entre testadores e a organização são alguns dos fatores que contribuem para o maior custo.

Como escolher entre pentest e red teaming?

As organizações devem basear sua decisão em seus objetivos específicos e tolerância a riscos.

Em termos de tecnologia, ambas as práticas empregam várias ferramentas e técnicas, como scanners automatizados de vulnerabilidades, utilitários de teste de penetração manual e scripts personalizados para avaliar redes e sistemas-alvo.

Cibersegurança: práticas essenciais

Pentest e red teaming são práticas cruciais que ajudam a identificar e abordar vulnerabilidades potenciais em sistemas, redes e processos das organizações.

Contratar especialistas externos e imparciais para essas avaliações pode oferecer novas perspectivas e identificar problemas que equipes internas podem ignorar. É crucial não apenas identificar vulnerabilidades, mas também priorizar a remediação e validação oportunas para fortalecer a postura de segurança geral da organização. Ao considerar as descobertas desenvolvidas como parte de um red team ou pentest, os líderes podem tomar decisões informadas para proteger os ativos da organização.

Originalmente publicado por Jon Medina, Manny Gomez e Abdoul Cisse em Protiviti Inc. Traduzido e adaptado por Protiviti Brasil.