Quando falamos de automação de processos, é comum que os colaboradores da empresa se sintam ameaçados. Afinal, não seria a primeira vez que pessoas perdem o emprego para máquinas. Além disso, o avanço de tecnologias de IA como o DALL-E e Chat-GPT conseguem criar conteúdo que pode ser considerado arte e nem sempre é possível diferenciar de criações humanas. Mas quais os benefícios do RPA para os colaboradores?
A adoção de RPA já é uma realidade, com previsão de crescimento a uma taxa de 32,8% entre 2021 e 2028. Por isso, é uma prioridade para organizações de diversos setores. Apesar disso, sua adoção ainda possui alguns desafios a serem superados. Alguns deles são a falta de conhecimento dos colaboradores sobre os possíveis impactos que a adoção do RPA pode ter em seu trabalho e a baixa aderência devido ao medo de serem substituídos por mão de obra digital.
Por isso é importante destacar os benefícios do RPA aos colaboradores humanos. Confira a seguir 4 deles.
Benefícios do RPA para os colaboradores
1. Auxilia sem substituir
Para automatizar um processo, ele deve possuir determinadas características. Podemos citar, por exemplo:
Baseado em regras claras;
Baixa complexidade;
Muito repetitivo;
Muito volumoso;
Entrada digital de dados;
Padronizado, estruturado e maduro.
Essa lista deixa claro que um RPA não é adequado para realizar tarefas complexas que exijam alto grau de cognição e inteligência emocional. Um robô pode buscar palavras-chave em uma lista de conexões do LinkedIn, porém não poderá escolher o melhor candidato para a vaga. Qualquer decisão que exija algum tipo de análise subjetiva precisa de um ser humano. Assim, o RPA pode ser utilizado como um assistente que auxilia o colaborador, completando tarefas tediosas e cansativas que tomam muito tempo e são pouco produtivas quando executadas por um ser humano.
Além disso, o colaborador que desempenha a tarefa antes da implementação do RPA será uma peça fundamental no desenvolvimento do robô, pois é quem vai fornecer todas as informações sobre o processo que será automatizado.
2. Contribui para o desenvolvimento profissional
Sabemos os limites da capacidade humana de manter a atenção a uma atividade monótona e repetitiva. Após algum tempo realizando tarefas desse tipo, o tédio e o cansaço se instalam e começamos a pensar em outras coisas enquanto ainda estamos executando a tarefa. A distração e o cansaço comprometem nosso poder de processamento, aumentando a chance de erros.
Mas nossa cognição está equipada para lidar com situações mais interessantes do que preencher dezenas de formulários idênticos copiando e colando dados, ou faturar dúzias de Notas Fiscais Eletrônicas numa sequência repetitiva de cliques. Ou seja, ao delegar este tipo de tarefa para um RPA, os colaboradores focam em atividades mais criativas e desafiadoras, aumentando o engajamento e incentivando seu desenvolvimento profissional. Isso funciona ainda melhor se a empresa disponibilizar treinamentos e capacitação em conjunto com um bom plano de carreira.
3. Uma RPA evita acúmulo de trabalho
Um grande volume de tarefas frequentemente resulta em trabalho acumulado e uma equipe sobrecarregada, especialmente quando alguém do time precisa se ausentar por questões de saúde ou sai de férias. Neste caso o RPA prova seu valor, seja eliminando o trabalho acumulado ou evitando que o acúmulo ocorra em primeiro lugar.
4. Aumenta a qualidade de vida no trabalho
Funcionários altamente capacitados para funções complexas ganham mais autonomia no trabalho quando podem delegar tarefas simples e repetitivas para um RPA. Por isso, o aumento de autonomia alivia o esgotamento (burnout) [6] e aumenta a satisfação do colaborador. Isso faz todo o sentido quando levamos em consideração que as pessoas passam a ter a possibilidade de redescobrir seu propósito dentro da empresa e desempenhar papéis mais alinhados aos seus objetivos profissionais. Assim, o resultado de longo prazo será uma maior qualidade de vida no trabalho, com os benefícios do RPA ficando mais aparentes.
Vale ressaltar que é comum que trabalhadores humanos inicialmente torçam o nariz para o RPA, porém passem a ter uma atitude positiva após a implantação. As organizações que pretendem adotar esta tecnologia de automação devem ter transparência na comunicação com seus colaboradores antes de iniciar o processo, por exemplo, informando-os sobre como o RPA será um aliado, e não um inimigo.
Por mais que estejamos vivendo uma era de digitalização do trabalho, os recursos mais preciosos de qualquer organização são as pessoas. Portanto é indispensável que exista sinergia entre mão de obra humana e a mão de obra digital. Os benefícios do RPA como ferramenta de auxílio para colaboradores humanos, alinhada a uma cultura de valorização dos recursos humanos, tem o potencial de gerar benefícios que se traduzirão em equipes mais felizes e engajadas.
*Cristiane dos Santos Costa é consultora de Automação Inteligente de Processos na Protiviti, empresa especializada em soluções para automação e digitalização de processos, compliance, investigação, gestão de riscos, proteção e privacidade de dados.
Fontes de consulta
[1] Costa, S. A. S., Mamede, H. S., & Silva, M. M. (2022). Robotic Process Automation (RPA) adoption: a systematic literature review. Engineering Management in Production and Services, 14(2), 1-12. doi: 10.2478/emj-2022-0012
[2] Khatib, M. , Almarri, A. , Almemari, A. and Alqassimi, A. (2023) How Does Robotics Process Automation (RPA) Affect Project Management Practices. Advances in Internet of Things, 13, 13-30. doi: 10.4236/ait.2023.132002.
[3] Moreira, S; Mamede, H. S.; Santos, A. CENTERIS – International Conference on ENTERprise Information Systems / ProjMAN – International Conference on Project MANagement / HCist – International Conference on Health and Social Care Information Systems and Technologies 2022. Procedia Computer Science 219 (2023) 244–254.
[7] H. Harmoko, A. J. Ramírez, J. G. Enr´ıquez, and B. Axmann, ”Identifying the Socio-Human Inputs and Implications in Robotic Process Automation (RPA): A Systematic Mapping Study,” in International Conference on Business Process Management, 2022: Springer, pp. 185-199.
O que é Ownership Design e como ele pode evitar problemas comuns na TI?
Isso soa familiar? É sexta-feira, 16h, quando chega uma mensagem frenética do COO: “ninguém está conseguindo acessar o CRM. Por um acaso você começou uma atualização de fim de semana mais cedo ou algo parecido?”. Depois de realizar uma investigação (e ligar para casa para avisar que o planejamento do fim de semana se foi), você descobre que existe uma aplicação obsoleta em execução, que não possui mais suporte pelo fornecedor nem as atualizações recentes. Tempos atrás, o time de TI teve que passar por diversos obstáculos só para conseguir colocar essa aplicação em execução, pois era o que a área de negócios desejava.
Agora são 18h30, e todos os envolvidos estão reunidas em uma reunião no Teams. A área de negócios culpa o time de TI por não conseguir manter os sistemas operando. O time de TI culpa a área de negócios por insistir em utilizar um software obsoleto só porque “é o que usamos há décadas”. A chamada acaba. São 19h30 e, a despeito dos gritos e do apontamento de dedos, nenhum progresso foi feito. Você diz em voz alta: “ninguém quer tomar a questão para si. Onde está a responsabilidade?”. Isso soa familiar?
O que aconteceu?
Embora algo como a situação acima aconteça em diferentes tipos de organizações, de vários setores do mercado, ela tem uma causa raiz: Ownership Design. Compreendendo o conceito de Ownership Design, conseguimos ajudar a minimizar estes problemas e, por fim, alcançar a eficiência no ambiente geral de TI.
O que é Ownership Design?
Ownership Design, em tradução livre, seria o design e a implementação do famoso “sentimento de dono”). Ou seja, é, simplesmente, uma maneira de orientar com precisão o comportamento dos colaboradores, usando regras cuidadosamente projetadas, que definem como as pessoas assumem a responsabilidade das coisas.
Mas como? Aqui vai um exemplo real:
Todos nós gostamos de compartilhar nossas contas da Netflix – membros da família, vizinhos, colegas e até mesmo estranhos! Ainda que muitos usuários não percebam, compartilhar contas da Netflix pode ser um crime federal sob a Lei Fraude e Abuso de Computador (leis criminais a respeito de crimes cometidos com auxílio de computador nos Estados Unidos) e punível com até um ano de prisão. No entanto, o CEO da Netflix, Reed Hastings, transformou isso em uma oportunidade de marketing, dizendo: “adoramos que as pessoas compartilhem a Netflix”.
Isso pode soar contraintuitivo – uma empresa não deveria exigir que todos pagassem por seu próprio acesso? Ao permitir que as pessoas compartilhem suas contas, a Netflix espera que essas pessoas se tornem obcecadas com seus programas e eventualmente adquira sua própria assinatura. E essa estratégia de Ownership Design foi bem-sucedida.
Também conhecido como “roubo tolerado”, está é uma das muitas maneiras pelas quais o Ownership Design pode moldar o comportamento das pessoas.
Problemas comuns de Ownership Design
Aqui estão alguns dos problemas comuns de Ownership Design que podem ser encontrados em muitas organizações:
“Eu colho, você semeia”
A área de negócios quer uma aplicação, mas é o time de TI o responsável por implementá-la. Quando as coisas vão bem, o negócio se beneficia. Quando algo dá errado, é sempre culpa da TI. Então, o que está errado?
Se analisarmos esta questão pela ótica do Ownership Design, uma das causas raiz é o desalinhamento de interesses. Nessa relação, o interesse da área de negócios é uma aplicação melhor, o que exige mais esforços da TI. Enquanto isso, a TI opera com sua própria agenda crítica, e ao desviar esforços para um trabalho adicional, acaba por fornecer pouco ou nenhum benefício. Sendo assim, acaba gerando mais políticas e requisitos, como Acordos de Nível de Serviço (SLAs), que podem ser estabelecidos para forçar a TI a fornecer uma “melhor” qualidade de serviço. A realidade é que isso só funciona no papel.
Uma solução comum é o modelo chargeback (“cobrança retroativa”) . Isso permite que TI aloque seu orçamento para unidades de negócios específicas em vez de centralizá-lo em um único departamento, o que essencialmente torna as despesas rastreáveis, aumentando a transparência.
“Nuvem: um passe livre para a isenção de responsabilidade”
Mais e mais organizações estão migrando para a nuvem. Algumas delas adotam “cloud-first” (conceito de nuvem desde a concepção do projeto, o que pode trazer ganhos financeiros e eficiência operacional). A adoção da nuvem não apenas torna os limites da rede cada vez mais ambíguos, mas também torna o a definição de responsabilidades equivocada. Durante uma avaliação de segurança, a o departamento de TI em muitas organizações pode dizer: “Esta é uma plataforma em nuvem, não gerenciada por nós. Esse fornecedor de nuvem tem uma ótima reputação, então todos os usam.”. Dessa forma, a nuvem é usada quase como um passe livre para a isenção de responsabilidade.
E aqui está o problema: isso não é verdade. A história nos ensinou que uma má implementação pode minar uma grande tecnologia. Neste caso, entra a delegação de responsabilidades.
Para superar esse problema, uma organização deve garantir que os colaboradores entendam quais são suas responsabilidades. Muitos provedores de serviços de nuvem já possuem documentações que podem ser usadas como referência. Por exemplo, a AWS tem um modelo de atribuições compartilhadas que descreve como as responsabilidades são compartilhadas entre eles e os clientes.
“Construa uma comunidade, não silos”
A governança tradicional de TI nos diz para definir claramente as propriedades, as funções e as responsabilidades. Geralmente, isso acaba fazendo com que as pessoas gastem mais tempo para encontrar alguém para culpar, transformando a governança de TI em um jogo de apontar dedos. Agora, vamos parar e realizar uma análise da realidade: quantas dessas funções e responsabilidades foram implementadas com sucesso de maneira assídua?
A governança excessivamente sofisticada apenas cria um fardo a ser imposto, gerando um ambiente de tensão em vez de criar um senso de comunidade. Somos todos humanos, e nossas práticas de negócios devem levar em conta isso. Um típico exemplo desta situação é a classificação da informação e rotulagem de dados. Muitas reuniões de governança de dados se transformam em jogos de apontar o dedo sobre quem deve aplicar rótulos e como esses rótulos devem ser aplicados. Em seguida, os usuários são culpados por não aplicarem corretamente os rótulos. Isso fere os sentimentos de todos!
Em vez de uma abordagem simples e direta, a governança de TI precisa funcionar mais como um balizador . Você pode aumentar ou diminuir a baliza, conforme necessário. Isso também é conhecido como “ambiguidade projetada”. Usando novamente a classificação da informação como um exemplo, na maioria das organizações, quão realista é para um usuário memorizar páginas de definições e categorizar adequadamente a sua sensibilidade toda vez que um documento é criado? Os fatores humanos devem ser levados em consideração – nós todos somo ocupados (e um pouco preguiçosos de vez em quando). Pode ser mais eficaz fornecer uma “regra prática” definida aos usuários para esta classificação, em vez de políticas excessivamente sofisticadas. Quando as tecnologias automatizadas estiverem prontas, uma opção é transferir a imposição desta responsabilidade para tecnologias automatizadas que possam entender o contexto de um documento em vez de simplesmente combinar padrões. Por exemplo, utilizar a IA para categorizar os dados com base nessas regras sofisticadas de uma maneira muito mais confiável. Afinal, a IA deve ser imune a algumas de nossas falhas humanas.
Use o Ownership Design como uma ferramenta
Os exemplos discutidos aqui são apenas a ponta do iceberg. Problemas de Ownership Design podem ser encontrados em toda governança de TI e, muitas vezes, podem ser as causas subjacentes de muitos problemas de governança de TI. Infelizmente, isso se deve à natureza humana, porque é inerente à nossa natureza perguntar: “o que eu ganho com isso?”.
Não se deixe enganar pelo termo Ownership Design. Não é uma abordagem simples. Em vez disso, deve ser usado como um balizador: você deve aumentar ou diminuir esta baliza, conforme necessário. O objetivo final nunca é ter uma designação clara de quem possui o quê, mas sim usá-lo como uma ferramenta para moldar o comportamento das pessoas. E quando usado corretamente, o Ownership Design pode ser uma ferramenta extremamente poderosa.
*Jacky Guo e Eric Mauser, Gerentes de Segurança e Privacidade da Protiviti INC.
Danos à reputação, resgates pesados e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.
Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.
Ransomware: ataques cada vez mais sofisticados
À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.
Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:
Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware
Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO
Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware
Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças.
Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.
Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas
Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.
Apoie a conversa com um painel de métricas apropriadas
Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).
Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.
No cenário atual de ameaças à segurança cibernética, com um volume cada vez maior de incidentes, é notável pensar que a gestão de vulnerabilidades proativa continua sendo um desafio para as empresas. As organizações estão adotando técnicas de gerenciamento de exposição a ameaças para gerenciar riscos de negócios decorrentes do desenvolvimento e aplicação de tecnologias como conectividade da Internet das Coisas (IoT), computação quântica e realidade aumentada. As práticas de gestão de vulnerabilidades representam o método mais comum para limitar proativamente a exposição a violações e explorações cibernéticas prejudiciais resultantes dessas adoções de tecnologia.
Um programa de gestão de vulnerabilidades bem projetado fornece transparência corporativa sobre vulnerabilidades, fraquezas e configurações incorretas conhecidas publicamente, que são priorizadas para correção com base no possível impacto nos negócios e na probabilidade de exploração bem-sucedida. Idealmente, a saída do programa é então repassada para a tecnologia operacional e equipes de segurança para aplicar patches de segurança a vulnerabilidades conhecidas, o que reduz diretamente o risco de segurança cibernética dos negócios.
As organizações muitas vezes lutam, no entanto, para integrar programas de gerenciamento de ameaças e vulnerabilidades às operações de segurança. Sem a integração adequada, há um risco significativamente maior de deixar vulnerabilidades críticas expostas a ataques cibernéticos, como roubo de dados ou ransomware.
A seguir estão alguns dos desafios comuns que impedem a integração adequada de programas de gestão de vulnerabilidades nas operações de segurança:
Falta de visibilidade total do ambiente na gestão de vulnerabilidades
Para que os programas de gerenciamento de vulnerabilidade reduzam efetivamente os riscos, as organizações devem ter visibilidade dos sistemas e aplicativos existentes em seu ambiente de tecnologia. Afinal, não é possível corrigir, remediar ou proteger algo que não é visível.
Falta de tecnologias de varredura apropriadas e configurações incorretas de varredura
Identificar vulnerabilidades críticas exploráveis em tempo hábil é crucial para preencher as lacunas de segurança de forma eficaz e reduzir a superfície de ataque desprotegida. Comportamentos e ações que criam lacunas de segurança e causam problemas de visibilidade incluem não implantar ferramentas de varredura apropriadas em toda a empresa, não validar a cobertura de varredura em relação a um inventário de ativos definido e muitas vezes centralizado regularmente e/ou configurações incorretas de varredura (como executar varreduras não autenticadas) — qualquer um deles pode resultar em relatórios de vulnerabilidade imprecisos.
Metas conflitantes entre as equipes de TI e de segurança
Metas conflitantes geralmente criam atritos entre as equipes de TI e de segurança, dificultando a adequada gestão de vulnerabilidades e patches.
O sucesso da TI geralmente é medido pelo tempo de atividade da tecnologia, que é impactado negativamente quando sistemas ou aplicativos exigem correção programada, o que requer janelas de manutenção de aplicativos para aplicar patches ou alterações. Consequentemente, as equipes de segurança responsáveis por proteger os sistemas das organizações e proteger os dados podem não receber o tempo e os recursos necessários para aplicar alterações ou patches para proteger tecnologias críticas para os negócios.
Muito para lidar
Redes grandes podem ter centenas de milhares – se não milhões – de vulnerabilidades. Muitas organizações lutam para visualizar, analisar e priorizar adequadamente as vulnerabilidades quando identificadas por ferramentas de gerenciamento de vulnerabilidades. Isso pode resultar na limitação do escopo e na prevenção de ações necessárias para abordar as correções de segurança mais críticas que permanecem sem correção enquanto as atualizações menos importantes são corrigidas.
Tempo de atraso entre as verificações da gestão de vulnerabilidades
Para a maioria das organizações, as verificações de vulnerabilidade são executadas fora do horário comercial principal, normalmente uma vez por semana. No entanto, há um atraso entre a identificação de uma vulnerabilidade positiva e a próxima verificação de vulnerabilidade que cria uma lacuna de visibilidade. No período de uma semana entre verificações regulares, a equipe de segurança não consegue verificar se um patch foi aplicado com sucesso. Portanto, deve presumir que o host continua vulnerável. Infelizmente, as vulnerabilidades críticas recém-descobertas geralmente são rapidamente armadas, e uma semana pode ser um tempo muito longo para que as lacunas de segurança permaneçam sem solução. Essa lacuna de visibilidade geralmente deixa as equipes de segurança incertas sobre a validade de seus controles de segurança.
Para superar esses desafios comuns e obter o máximo valor de um programa de gerenciamento de ameaças e vulnerabilidades, as organizações devem considerar como incorporar o gerenciamento de vulnerabilidades em sua estratégia geral de operações de segurança. Comece seguindo estas práticas recomendadas:
Manter um inventário de ativos.
Para qualquer organização avaliar e entender seus riscos, primeiro ela deve entender o cenário tecnológico atual. As empresas devem manter um inventário de ativos ou banco de dados de gerenciamento de configuração e compará-lo regularmente ao escopo do programa de gestão de vulnerabilidade. Quaisquer diferenças entre o inventário de ativos e o escopo de varredura devem ser resolvidas rapidamente para reduzir ou remover lacunas de visibilidade. Por exemplo, sistemas como hardware podem ser perdidos durante verificações baseadas em rede (em vez de baseadas em agente). Isso porque as verificações ocorrem fora do horário comercial e muitos laptops estão fora da rede nesse período. Isso é especialmente verdadeiro no ambiente de trabalho em casa (Home Office) que resultou na pandemia do COVID-19.
Aproveite a inteligência de ameaças para priorizar as correções.
As empresas devem pesquisar as ameaças e indicadores de comprometimento (IOCs) mais comuns em seu setor e correlacioná-los às vulnerabilidades correspondentes. As organizações devem começar concentrando-se nas vulnerabilidades que podem ser mais acessíveis a invasores externos. Normalmente, os sistemas voltados para o exterior e a zona desmilitarizada (DMZ) são os mais facilmente visados, enquanto os sistemas acessíveis apenas à rede interna podem exigir que um invasor ignore várias camadas de segurança primeiro.
As organizações podem então mapear vulnerabilidades conhecidas pelos frameworks de risco como MITRE ATT&CK e organizá-las em “cadeias” de ataque. Elas demonstram como os invasores podem aproveitar vários problemas de menor criticidade para obter acesso. Esses mapeamentos ajudam as empresas a determinar a verdadeira criticidade das vulnerabilidades. Além disso, a equipe de segurança pode usar threat hunting para determinar se vulnerabilidades críticas foram exploradas no ambiente antes de a vulnerabilidade ser identificada e corrigida.
Gestão de vulnerabilidades: aplique a automação.
Adotar a automação de segurança pode ajudar as organizações a minimizar a duração das tarefas demoradas entre a identificação de vulnerabilidades, priorização, comunicação e correção. A automação pode ajudar a permitir etapas imediatas de redução de risco, como colocar em quarentena sistemas identificados como imediatamente exploráveis da rede interna restante. Essas etapas podem fornecer às equipes de TI mais tempo para testar e implantar patches, reduzindo simultaneamente a possível exposição de vulnerabilidades exploráveis.
Como exemplo, considere o cenário em que os ataques de phishing que implantam ransomware são uma ameaça comum para o setor de uma organização. Nesse caso, a ameaça é um ransomware e as vulnerabilidades podem ser pontos fracos de configuração. Como, por exemplo, permitir documentos do Word habilitados para macro por meio de gateways de e-mail e um sistema não corrigido. Embora uma ferramenta de gerenciamento possa detectar a vulnerabilidade, ela pode se perder e ser ignorada na confusão dos relatórios. Com uma plataforma unificada de detecção de ameaças, uma vez que a vulnerabilidade seja detectada, uma resposta automática começará, evitando uma violação.
Complemente com simulações de violação e ataque.
As plataformas de gerenciamento de vulnerabilidades descobrem vulnerabilidades conhecidas e explorações potenciais. Por outro lado, os recursos de simulação de violação e ataque destacam pontos fracos de configuração, lacunas de detecção e prevenção e problemas de arquitetura. As organizações devem garantir que um plano eficaz de resposta e recuperação seja avaliado adequadamente por meio de exercícios práticos. Isso deve ser testado periodicamente e ajustado à medida que o cenário de ameaças, pessoas, sistemas e processos mudam. Ao combinar o gerenciamento de ameaças e a gestão de vulnerabilidades, as organizações podem aumentar sua confiança na segurança e diminuir seu risco geral.
Comunique as métricas de sucesso ao conselho.
Um programa de gerenciamento de vulnerabilidades bem projetado pode ajudar uma organização a visualizar como os riscos de segurança estão sendo tratados. Além disso, pode pintar uma imagem vívida do progresso ao longo do tempo. A apresentação de métricas de vulnerabilidade ao conselho e à liderança demonstrará melhoria contínua e ROI nos esforços de gerenciamento de vulnerabilidade. Ou, pelo contrário, destacará a necessidade de investimento adicional.
Integrando a plataforma de gerenciamento de vulnerabilidades a outra de detecção e resposta a ameaças, a organização pode acionar ações sem precisar de outra tecnologia. Essa abordagem integrada não apenas economiza tempo, mas também permite que a equipe tome outras ações de correção rapidamente, limitando a exposição da vulnerabilidade e reduzindo o risco.
Shinoy George, Diretor de Segurança e Privacidade da Protiviti INC.
A gestão de vulnerabilidade é uma disciplina com a qual muitas organizações lutam devido a um fator simples: complexidade. Hoje, os ambientes tecnológicos mudam a uma velocidade cada vez maior, enquanto confiam em sistemas legados para dar suporte aos principais processos de negócios.
Em resposta a esse desafio de complexidade, os profissionais de segurança cibernética continuam a criar novos processos de gestão de vulnerabilidade para gerenciar o problema. Isso inclui verificação de vulnerabilidades, bancos de dados de gerenciamento de configuração (CMDB), IDs comuns de vulnerabilidades e exposição (CVE), políticas, patch by dates e uma variedade infinita de relatórios. Em suma, os profissionais de segurança cibernética tornaram um problema complicado ainda mais complicado. Nós – ou seja, os profissionais de cibersegurança – temos feito tudo errado. É importante que CIOs e CISOs reconheçam essa verdade à medida que exploramos métodos que podem ser usados para simplificar a solução de gestão de vulnerabilidades e criar uma chance maior de sucesso em nossas organizações.
Gestão de vulnerabilidade: o ótimo é inimigo do bom
Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas. Com muita frequência, essa busca pela perfeição leva à perda de tempo. Descobrimos que a abordagem mais eficiente durante a resolução de problemas é uma mentalidade de “evolução acima da perfeição”. Essa perspectiva é mais comumente alcançada começando com o que sabemos ser verdade em qualquer situação. Seja aproveitando armazenamentos de dados corporativos, fazendo suposições fundamentadas com base em vulnerabilidades de segurança cibernética conhecidas e suas características, ou mais simplesmente gerenciando a quantidade de ambiguidade de um determinado processo, a evolução sempre deve ser a prioridade.
Crie um processo efetivo de correção de vulnerabilidades
Um desafio comum entre a TI e os negócios que geralmente surge nos programas de gestão de vulnerabilidades é criar um processo de correção bem-sucedido que seja realista para todas as partes interessadas. Por isso, a implementação de um processo de correção de vulnerabilidades bem-sucedido começa com a compreensão de como a TI funciona e trabalha dentro de sua estrutura de recursos atuais. Quando o negócio continua a impor expectativas irreais, nada é realizado. Em vez disso, entender e desenvolver um processo para o estado atual do programa de gestão de vulnerabilidades e, posteriormente, prever as expectativas para um estado futuro geralmente é a melhor prática. Comunicar o risco em termos de entendimento do negócio e alinhar as expectativas do negócio ao modo como a TI funciona é a chave para definir parâmetros bem-sucedidos para cronogramas de correção de vulnerabilidades.
Identifique o verdadeiro problema
Os programas de gestão de vulnerabilidade geralmente adotam o mantra de “conserte e esqueça” sem examinar e explorar adequadamente a causa raiz do problema. Alguns podem se referir a isso como a abordagem “jogo da marretada”, que geralmente é adotada quando o objetivo de uma solução de gestão de vulnerabilidade é eliminar o acúmulo de patches ausentes. O problema com essa abordagem, se não for detectado no início, é que as vulnerabilidades conhecidas serão consistentemente remediadas (ou “corrigidas”) sem entender o contexto dos problemas sistemáticos, o que permite que a frequência desses problemas persista.
Nossa solução para essa abordagem é simples: as organizações devem dedicar recursos para realizar análises de causa raiz para seus problemas mais críticos. Essa análise pode ser conduzida de várias maneiras, mas geralmente começa simplesmente perguntando “por quê.” Até que o tempo adequado seja investido para conduzir a análise da causa raiz no nível do programa, a verdadeira causa dos tipos de vulnerabilidades críticas mais persistentes permanecerá desconhecida.
Permanecer consistente na comunicação dos resultados do programade gestão de vulnerabilidade
Como profissionais de segurança da informação, comunicar os resultados do programa de gestão de vulnerabilidades pode ser um processo estressante se feito sem o contexto e a direção apropriados. Por exemplo, comunicar os resultados aos responsáveis errados pode gerar confusão que resulta em processos de reporte menos eficientes. Felizmente, muitos desses problemas podem ser resolvidos com consistência e transparência. Assim, a comunicação dos resultados do programa de gestão de vulnerabilidades deve ser consistente para fornecer tendências e evolução ao longo do tempo. Os resultados do desempenho do programa também devem ser transparentes ao público-alvo para destacar as vitórias e deficiências do programa. Ou seja, a obtenção de feedback é importante para confirmar a compreensão de quando esses processos de reporte de gestão de vulnerabilidades estão sendo iniciados.
Adapte as métricas à gestão executiva
O fator mais importante ao determinar as métricas que serão usadas para diagnosticar a integridade de um programa de gestão de vulnerabilidade é a polarização. As métricas devem polarizar o público para fornecer conforto suficiente para permanecer sentado ou atenção suficiente para sair de suas cadeiras. Isso é mais comumente visto na prática, definindo limites para as métricas do programa que melhor respondem à pergunta “quão ruim é?”. Além disso, quando se trata de reportar à gerência executiva, as métricas precisam fazer sentido para o pessoal que não é de TI. A armadilha da complexidade também pode aparecer quando se trata de personalizar métricas.
Ao operar de forma eficaz, as métricas do programa devem destacar as áreas problemáticas maiores ou mais importantes dentro da organização. Por isso, as métricas devem ser usadas como a telemetria de um programa de gestão de vulnerabilidades. Assim, vincular as métricas do programa às metas organizacionais e também alterar as métricas quando as metas são alcançadas é extremamente importante. Os riscos continuarão a evoluir ao longo do tempo e nossas métricas devem se adaptar para permanecer alinhadas com essas mudanças. Além disso, as métricas de gestão de vulnerabilidades devem ser claras e diretas para ajudar a organização a entender sua postura de segurança atual.
E agora?
A pergunta que segue essa orientação simples e eficaz é muitas vezes: “e agora?”. A implementação das conclusões acima em um programa organizacional grande e complexo começa com a comunicação. Por isso, o primeiro passo é comunicar as partes interessadas sobre os desafios do programa e a abordagem para resolver conflitos e reduzir riscos. A mudança deve começar pequena, aproveitando os dados organizacionais e relatórios de gerenciamento de vulnerabilidade enriquecidos. Exemplos de curto prazo incluem o desenvolvimento e atualização de processos de gerenciamento que se alinham com a TI e combinam isso com o desenvolvimento de relatórios que respondem perguntas simples. Como profissionais de segurança, devemos sempre nos responsabilizar para que mudanças reais ocorram.
A sociedade e a tecnologia avançam a passos largos. Na mesma velocidade, se faz necessário que organizações invistam em segurança da informação, apostando em profissionais capacitados, ferramentas inovadoras, políticas de segurança adequadas, treinamentos e tudo que torne o ambiente corporativo cada dia mais seguro e insuscetível a falhas. Nesse contexto, a implementação de um SOC (Security Operations Center, um Centro de Operações de Segurança) reúne estratégias importantes que servem de resposta a muitas dessas demandas. Graças ao valor da informação, hoje em dia, cada vez mais empresas investem em seu próprio centro de operações de segurança.
Com um SOC, softwares de coleta e análise de dados permitem monitorar em tempo real a infraestrutura e alertar sobre quaisquer eventos que ameacem o negócio, com monitoração preventiva de ataques, resposta rápida a incidentes, armazenamento de logs e gestão preventiva de fraudes, invasão ou qualquer ocorrência de vazamento de dados, perda de informações ou impacto à continuidade do negócio.
No mercado, diversas ferramentas estão disponíveis para esse fim. Uma das mais utilizadas é o Elasticsearch, um dos mais poderosos instrumentos de indexação e busca de dados. Mas afinal, o que vem a ser isso? O Elasticsearch faz parte do pacote conhecido como ELK Stack, que se trata de uma sigla para três projetos Open Source (Elasticsearch / Logstash / Kibana), adicionados ao projeto X-Pack, e que podem ser resumidos da seguinte forma:
Elasticsearch – É o mecanismo de busca e análise de dados, mas também pode ser utilizado como fonte de dados da aplicação, ou seja, ele provê o armazenamento de dados.
Logstash / Beats – São responsáveis pela ingestão de dados no Elasticsearch. O Filebeat, ou simplesmente Beats, é capaz de monitorar arquivos de Log, os quais são analisados e depois importados para o Elasticsearch. O Logstash é um pipeline de processamento de dados do lado do servidor que absorve dados de uma variedade de fontes, transforma-os e os envia para um local de destino onde serão depositados e analisados.
Kibana – É uma interface WEB a qual permite que os usuários visualizem de forma fácil com diagramas, mapas e gráficos, os dados do Elasticsearch, tudo em tempo real, podendo criar e salvar Dashboards que atendam da melhor forma possível e facilitem a visualização e compreensão pelo analista.
X-Pack – Apesar de ser uma ferramenta paga, possui diversos componentes gratuitos. É capaz, por exemplo, de fazer o monitoramento do cluster, emitir alertas e relatórios e análise de grafos.
Como funciona
No Elastic, todos os documentos são indexados. Isso significa que tudo é registrado e armazenado em um banco de dados. Quando realizamos uma busca, o Elastic efetuará a análise através do índice invertido.
Isso é possível porque os índices invertidos alimentam o mecanismo de busca, armazenando todo o conteúdo, sejam palavras, números, caracteres etc., que podem estar presentes em um determinado número de documentos, encontrando paridade entre o conteúdo armazenado e os mesmos. No índice invertido do Elastic, ele não armazena apenas a ocorrência das palavras, mas, também sua ordem. Sendo assim, quando um novo texto é lido, o Elastic já tem a resposta, obtendo os resultados rapidamente, classificando o Elastic em uma ferramenta de busca eficaz e com resultados praticamente em tempo real.
No Elastic também podemos utilizar a funcionalidade de Filter (Filtros), o qual podemos salvar dados de pesquisa para realizar buscas e consultas repetidas, garantindo uma entrega aprimorada e eficiente.
Como usar
Através do recebimento dos Logs, podemos, por meio de análise desses dados do Log, praticamente em tempo real, conduzir ações para combater/evitar eventos maliciosos ou suspeitos em determinado ambiente. Abaixo veremos alguns exemplos de casos de uso diários do Elastic, no campo da Segurança da Informação:
Monitoramento de Active Directory (AD)
Criação de Contas Administrativas
Inclusão de Contas em Grupos Administrativos
Reativação de Contas Inativas
Tentativa de Login através de Conta Bloqueada
Tentativa de Bruteforce
Logon fora do horário de trabalho
Monitoramento de Firewall
Conexões VPN/SSL fora do horário de trabalho
Conexões RDP fora do horário de trabalho
Conexões VPN/RDP de fora do país
Tentativa de Conexões VPN/RDP através de conta Bloqueada
Monitoramento de Antivírus
Alertas de Malwares / Ransomwares
Alertas de Atualização de Vacina
Esses são apenas alguns exemplos dentre uma gama enorme do que pode ser feito com essa ferramenta. É valido reforçar que, hoje, o Elastic é uma das ferramentas mais promissoras do mercado profissional e cumpre com excelência o que se propõe como uma solução contra ameaças e vulnerabilidades do cliente.
Kibana: saiba mais sobre seu uso em um Centro de Operações de Segurança
Uma das tarefas principais do Centro de Operações de Segurança é o monitoramento, que inclui toda e qualquer atividade de rede, servidores, bancos de dados, antivírus, enfim, quaisquer procedimentos que possamos identificar algum tipo de vulnerabilidade que possa dar “entrada” para eventos maliciosos. Uma das principais ferramentas para esse monitoramento é o Kibana, uma interface gráfica acessada via navegador WEB para visualização dos dados coletados pelo Elastic.
Com o Kibana podemos, basicamente, obter qualquer tipo de visualização com painéis e gráficos (pizza, barras, mapas, medidores, etc.) criando dashboards personalizados para termos uma visão geral desses dados.
Tipos de Visualizações
Através do menu “Visualize Library”, é possível acessar todos os modelos de visualizações disponíveis no KIbana. Já em “Create Visualization” temos a opção de criar utilizando estes modelos já existentes. Entenda algumas das possibilidades de visualização da ferramenta:
Visualização Métrica – Tudo o que ela faz é exibir um único número (contador) com base na agregação do Elasticsearch.
Barra Vertical – Mostra a quantidade de Logs recebidos em um gráfico de eixo XY, em um determinado intervalo de tempo.
Gráfico de Área – Mostra essencialmente o mesmo que o gráfico de Barras, exceto que a área abaixo da linha é destacada.
Gráfico de Linhas – O gráfico de linhas é muito parecido com os gráficos de barras e de área, sendo sua configuração praticamente a mesma. A sua vantagem é que poder criar várias informações dentro de um único gráfico, economizando tempo e deixando-o mais compacto que os demais.
Gráfico de Pizza ou Torta (Pie) – Este gráfico é totalmente diferente dos demais, pois contém um conjunto de dados específicos e mais adequados para este tipo de gráfico. Ele divide em “fatias” uma contagem total dividida em subcategorias.
Para termos uma ideia pratica de como utilizar esses modelos de visualizações, podemos ter um contador de falha de logons, utilizado a visualização métrica, por exemplo. Ou poderíamos ver em tempo praticamente real uma tendência de recebimento de logs e suas oscilações para cima ou para baixo, utilizando gráfico de Barras ou de Linhas ou, no caso de querermos dois ou mais dados comparativos, como, por exemplo, total de logs de Logons Realizados x Falhas de Logons, usaríamos a visualização de Linhas. E usando o gráfico de Pizza, poderíamos ter uma visualização de um total de Falhas de Logons dividido por Usuário ou por Host, por exemplo. Enfim, temos uma gama enorme de opções para podermos montar cada visualização e inseri-la posteriormente no dashboard.
Os dashboards são conjuntos de visualizações criadas geralmente exibindo dados relacionados e vindos de uma mesma fonte de dados. Com o Kibana, é possível criar versões personalizadas dessas visualizações da dados, que possam ser acessadas mais rapidamente e de maneira constante.
Exemplo de dashboard configurado.
À medida que cresce a importância de garantir uma maior proteção de dados, confiabilidade e conformidade com órgãos reguladores, as empresas aumentam o investimento em segurança da informação e este é somente um exemplo de como isso pode ser feito através do monitoramento de uma central de SOC. Caso haja interesse em conhecer melhor esse serviço e as ferramentas apresentadas aqui, entre em contato com o time de especialistas da Protiviti no site.
*Renato Mirabili é Consultor de SOC na Protiviti Brasil.
O correio eletrônico — e-mail — é um dos meios de comunicação mais utilizados atualmente. Estima-se que, em média, 144 Bilhões de e-mails são enviados diariamente, sendo que mais da metade deles correspondem a informações empresariais. Assim, dentre este enorme e constante fluxo de e-mails, há aquelas mensagens não solicitadas — conhecidas como SPAMs, que insistem em aparecer nas caixas de mensagens nos momentos mais inoportunos.
O principal perigo dos SPAMS está na possibilidade de conterem, ou levarem a sites que tenham, malwares e outras ameças digitais. E é muito comum que se utilizem de técnicas para enganar o leitor, conhecidas como phishing. Esta prática torna o SPAMS uma ameaça virtual potencialmente disruptiva e perigosa para pessoas comuns e também empresas.
Em nossos recentes projetos de resposta a incidentes de segurança da informação, nos deparamos com o aparecimento de um grande número de SPAMs capazes de burlar mecanismos de segurança empregados. Ao analisar detalhadamente estes e-mails, verificamos que, apesar de serem SPAMs, estavam passando pelas validações de segurança, mesmo que a camada de proteção das empresas apresentassem técnicas anti-spam.
O que são e de onde vem os SPAMs?
O termo SPAMMING representa o uso de sistemas e dispositivos capazes de enviar informações (mensagens) não solicitadas. Uma das formas mais comuns de SPAMMING é o e-mail SPAM, no qual informações não requisitadas são recebidas em forma por e-mail.
Os SPAMs podem ser categorizados em:
UBE (Unsolicited bulk email): e-mails não solicitados, enviados em larga escala.
UCE (Unsolicited commercial email): e-mails com propagandas comerciais/promocionais, enviadas de forma não solicitada para as pessoas.
Os SPAMMERS (pessoas que produzem SPAMs) têm diversas motivações para realizar tal prática, sendo a maioria relacionada ao ganho monetário. Isso pode ocorrer por meio da obtenção e venda de uma lista de e-mails válida, infecção de sistemas através de vírus/malwares e visualização de propagandas (advertising).
Como uma das formas mais comuns e utilizadas de SPAMMING é feita através de e-mail, as próximas seções apresentarão como isso é feito por meio do correio eletrônico. Acompanhe a leitura e entenda tudo sobre spams.
Quais são e como funcionam os mecanismos ANTI-SPAMs
Atualmente, há um grande número de tecnologias focadas no combate aos spams, utilizando um ou mais mecanismos de validação conhecidos. A seguir, apresentamos os principais protocolos e técnicas anti-spams utilizados.
SPF
O Sender Policy Framework (SPF) é um sistema de validação de e-mails cujo objetivo é verificar se o emissor das mensagens está autorizado a utilizar o nome de domínio para enviar os e-mails.
Esta verificação se torna necessária pelo fato do campo “MAIL FROM”, que é responsável por indicar o emissor do e-mail, ser passível de alteração. Desta forma, podemos criar um e-mail usando uma conta do provedor X e alterar o campo “mail from” no cabeçalho da mensagem eletrônica para uma conta do provedor Y, escondendo a real origem da mensagem.
DKIM
O DKIM (DomainKeys Identify Mail) é um mecanismo de autenticação com foco em mitigar falsificação de e-mails (spoofing). De maneira geral, o emissor assina digitalmente o cabeçalho e a mensagem usando uma chave privada.
Ao receber o e-mail com a assinatura digital, o receptor busca a chave pública (usando query DNS) e verifica a autenticidade das informações. A confiança está no registro DNS do emissor, pois somente ele poderia gerenciar seus registros.
DMARC
O Domain-based Message Authentication, Reporting & Conformance (DMARC) é um protocolo de autenticação de mensagens eletrônicas e é amplamente utilizado por provedores de e-mail. Ele atua baseado nos protocolos SPF e DKIM e tem como principal característica a definição de políticas de ações para mensagens não-autorizadas.
Basicamente o DMARC utiliza as mesmas verificações do SPF e DKIM, porém, permite definir o que será feito com as mensagens que não forem autenticadas. Por exemplo, é possível criar uma política para “quarantenar” mensagens não autenticadas e enviar um reporte de erro para o domínio de origem.
Bayesian Filtering
O Bayesian filtering é uma técnica anti-spam baseada na classificação probabilística criada por Naive Bayes.
O filtro correlaciona tokens (expressões, palavras-chave, links etc.) com e-mails classificados como spams e legítimos. Com base neste correlacionamento, o teorema de Bayes é utilizado para calcular a probabilidade de um e-mail ser legítimo ou spam.
Blacklist de DNS
Outra técnica utilizada contra spams é o bloqueio de DNS considerados “maliciosos”. Desta forma, cria-se uma lista de bloqueio (blacklist) com todos os domínios relacionados a envio de spams.
A lista é aplicada diretamente no appliance anti-spam ou no servidor SMTP, filtrando as mensagens antes mesmo de chegarem nas caixas postais dos destinatários.
Como vimos, o spam é uma prática recorrente e que pode causar muitos danos tanto a pessoas como a corporações. Estar protegido deles e conhecer os principais recursos de prevenção irá ajudá-lo a prevenir perdas.
* Danilo Pessoa Cardoso, especialista em Segurança da Informação na Protiviti Brasil.
