A Gestão de Segurança da Informação e o ataque ransomware WannaCrypt

A Gestão da Segurança da Informação é a solução estrutural para evitar situações pontuais como o ataque recente. Muitas organizações foram pegas de surpresa, apesar da vulnerabilidade estar comunicada há dois meses. Sei que não é fácil as organizações realizarem rapidamente atualizações. Mas quem define esta estratégia? Quem assume o risco?

O ataque mundial acontecido nesta sexta feira 12 de maio, utilizando a técnica de sequestro de dados (criptografa de dados) e exigência pagamento pela liberação de uma senha que permite ao retorno à normalidade, exige algumas observações sobre a gestão da proteção da informação. Avalie a sua organização em relação aos pontos abaixo apresentados.

1. Aparentemente o código criminoso foi roubado da NSA/USA em um estudo (?) que faziam do Código tipo Ransomware WannaCry. Isto aumenta o risco de ataques.
2. Pelos primeiros levantamentos a vulnerabilidade explorada neste ataque foi corrigida pela Microsoft em março passado e significa que as organizações não são efetivas na atualização de código. “Não vamos atualizar agora pois custa muito. Vamos juntar com outras atualizações”. “Somos uma grande empresa, temos centenas de servidores. Fazemos a atualização total somente duas vezes ao ano”. “Esta exigência da Área de Segurança é absurda. Não podemos parar neste mês”
3. Para agravar, muitas organizações não possuem uma Gestão de Cópias de Segurança alinhada com os objetivos corporativos. Isto é com o negócio. Aliás, muitas empresas não possuem um Processo Corporativo de Segurança da Informação
4. O Corpo Diretivo da maioria das organizações não sabe o nível de maturidade em segurança da informação, incluindo nesta avaliação a efetividade das atualizações técnicas do ambiente computacional.
5. Poucas organizações possuem um planejamento das ações de segurança da informação aprovado pelo Corpo Diretivo, baseado em uma Gestão de Riscos de Segurança da Informação e revisado semestralmente.

Tudo isto leva a muitas vulnerabilidades. Às vezes nada acontece. Às vezes um 12 de maio.

Muito se tem a fazer. Mas, de uma maneira resumida faço as seguintes recomendações:

1. Manntenha seu ambiente computacional atualizado em relação aos produtos, ferramentas e técnicas de defesa. Se for terceirizado exija de seu fornecedor com evidencias.
2. Oriente seus usuários de informação como proceder para evitar a abertura de mensagens falsas e arquivos contendo códigos criminosos.
3. Tenha ou exija do seu fornecedor uma Gestão de Incidentes. Quantos incidentes e quais as suas gravidades, aconteceram nos recentes 90 dias?
4. Garanta a existência de uma efetiva Gestão de Cópias de Segurança.
5. Tenha ou exija do seu fornecedor uma proteção de barreira inteligente e de monitoramento da periferia do seu ambiente computacional.
6. Tenha um Processo Corporativo de Segurança da Informação, com um gestor sênior e com ligação direta com o Corpo Diretivo da organização.
7. A Gestão de Continuidade de Negócio deve considerar uma ampla gama de tipos de ameaças, inclusive similares a esta de 12 de maio.
8. Monitore e avalie constantemente todos os controles de segurança da informação, repassando para o Corpo Diretivo a priorização de ações e o risco da não implementação. Formalize que o Corpo Diretivo, como representante dos acionistas é o responsável por aceitar ou não o risco da não implementação.
9. Direcione a segurança da informação pelos objetivos corporativos e objetivos de negócio. Porém, isto significa que o Corpo Diretivo e as Áreas de Negócio precisam assumir responsabilidade.
10. Tenha uma Política de Segurança da Informação assinada pela presidência ou aprovada pelo Conselho de Administração.

Edison Fontes, CISM, CISA, CRISC

Estrategista e Gestor: Segurança da Informação, Risco Operacional, Continuidade de Negócio e Combate à Fraude de Informação, Governança.

• WannaCry