O que o caos no Twitter nos revela sobre a segurança dos nossos dados?
Por Richard Davis, chefe de Redes e Soluções de Segurança
da Netskope para EMEA
Essas últimas semanas estão intensas para o Twitter, desde
as demissões em massa e o anúncio apressado do retorno da comercialização do
recurso que permite a falsificação de pessoas e marcas, até o bloqueio não
intencional de alguns usuários que habilitaram uma configuração específica de
autenticação de múltiplos fatores (MFA).
Além disso, vimos também grandes demissões de
indivíduos-chave nos grupos de Segurança da Informação, Privacidade e
Compliance. E a situação muda a cada dia!
À primeira vista, pode parecer que isso tem um impacto
maior para as pessoas que para as empresas/negócios, mas toda questão destaca como é fácil
para a percepção de uma empresa mudar da noite para o dia e levanta questões
sobre a estabilidade das posturas de segurança entre os fornecedores.
Então, o que podemos aprender com tudo isso que está acontecendo no Twitter?
Em primeiro lugar, devemos reconhecer que, embora a
aquisição do Twitter venha sendo promovida há muito tempo, a maioria dessas
mudanças não foram anunciadas com antecedência. Isto significa que é possível
que a postura de segurança e privacidade de uma empresa que hospeda nossos
dados seja alterada da noite para o dia, e isso envolve nosso próprio perfil de
risco de cibersegurança.
Sua empresa está preparada para isso? Até que ponto a
segurança da sua empresa depende de controles nativos dentro da própria tecnologia
do seu provedor de aplicações? Qual é a sua capacidade de aplicar rapidamente
os controles de segurança na nuvem no caso de qualquer mudança em sua aplicação
ou provedor de serviços na nuvem?
Quando questões como estas surgirem com qualquer fornecedor
de tecnologia que possua dados organizacionais, as equipes farão perguntas e
estarão interessadas em planos de risco, tais como:
- Qual o impacto disso na
disponibilidade de serviços?
- Isso irá impactar as
atualizações de serviços?
- Isso
transforma as linhas de comunicação que temos com o fornecedor e como isso
pode afetar nossa capacidade de resolver problemas?
Sob o modelo de
responsabilidade compartilhada, as empresas precisam ter um mapa de controles e
responsabilidades, e estes devem ser revisados para antecipar quaisquer
mudanças de risco diante de quaisquer mudanças importantes nos negócios de seus
fornecedores. Os processos devem ser bem definidos, documentados e
continuamente verificados, permitindo que a empresa esteja à frente de qualquer
problema.
Em segundo lugar, isto ressalta o risco permanente para uma empresa na qual
funcionários armazenam e trocam dados sensíveis na infinidade de aplicações
SaaS. Das quais a maioria, inclusive, não estão sob o controle de suas equipes
de TI. Permitir o uso de uma aplicação SaaS confiável (mas não gerenciada) nem
sempre representa um risco tão grande quanto o uso de um serviço de
transferência de arquivos não confiável com uma política de privacidade ruim.
Mas é fundamental lembrar que a divulgação dos seus dados em toda parte só
aumenta o risco de que um serviço exponha essas informações.
É por isso que tantas empresas preferem implementar uma política de acesso
baseada em zero trust, limitando a quantidade e o tipo de dados que estão
expostos a tais serviços.
Precisamos também
considerar a possibilidade de que um ou mais funcionários possam sabotar o
serviço, vazar dados sensíveis ou simplesmente cometer um erro porque estão
estressados e sobrecarregados. Como uma ameaça interna (potencialmente em
grande escala) afetaria sua empresa se questões semelhantes ocorressem em um de
seus fornecedores de aplicações ou de nuvem?
Como em qualquer estratégia de segurança cibernética, é fundamental considerar o equilíbrio entre risco e benefício comercial. Dessa forma, enquanto as empresas continuam consumindo serviços de nuvem em um ritmo crescente, talvez a queda do Twitter ajude a aumentar a conscientização dos líderes no board em relação a esses novos tipos de risco. Além disso, existe a esperança de que isso talvez também nos ajude como profissionais de infraestrutura e segurança a justificar nossos programas e o investimento contínuo, tanto em controles de segurança na nuvem quanto em estruturas de segurança de zero trust.
Nenhum comentário