This post is also available in: Português Español
Perguntas como “por que realizar um assessment de segurança” e “quando realizar um assessment de segurança” são cada vez mais consideradas por empresários dos mais variados ramos e tamanhos. Isso remonta ao próprio conceito de assessment; traduzindo, significa avaliação de segurança. É um serviço que basicamente analisa os riscos de segurança da informação em processos e tecnologias que uma empresa utiliza.
Trata-se então de uma avaliação pró-ativa que visa detectar ou identificar em qualquer sistema, rede, software ou dispositivo, ameaças ou vulnerabilidades. As descobertas dessa avaliação ajudam o negócio a planejar o que ele fará para responder e gerenciar o risco.
A profundidade e a amplitude de um assessment de segurança cibernética podem depender do tamanho da empresa, setor, limite de risco, cronograma e orçamento. Nesse contexto, podem existir vários indícios sugerindo que chegou a hora de a empresa realizar um assessment de segurança.
Um deles tem relação com oportunidades de negócio. Empresas podem enfrentar dificuldades para venda de produtos ou serviços para empresas que possuam maior maturidade em segurança. Muitas destas empresas exigem, inclusive, certificações de mercado para comprovar o empenho da empresa em busca da excelência em quesitos associados a segurança digital.
Outro motivo de considerar um assessment é para atender aos requisitos regulatórios. Por exemplo, existem muitas regras sobre testes de exposição cibernética em ambientes financeiros, de saúde, energia e educacionais. A conformidade começa com uma avaliação abrangente de risco cibernético, e também pode-se fazer recomendações com base nos resultados da avaliação para ajudar a organização a manter – ou conquistar – a conformidade desejada.
Há de se considerar também uma possível falta de experiência das equipes quanto à cibersegurança. As ameaças internas continuam sendo um dos maiores problemas quando o assunto é segurança cibernética.
A maioria dos funcionários não age de má fé, mas tem maus hábitos – feitos de modo inconsciente. Alguns colaboradores não veem problema em usar uma senha como “123456” em todos os logins. Mesmo aqueles com treinamento de conscientização de segurança podem ser vítimas de golpes de phishing. Além disso, funcionários sobrecarregados podem não perceber quando recebem uma fatura fake que se parece muito com as legítimas enviadas por fornecedores confiáveis, por exemplo. Assim, um documento aparentemente inocente e rotineiro pode fazer com que uma boa quantidade de dinheiro caia nas mãos de golpistas virtuais.
É necessário considerar também os ex-funcionários. Dependendo do tamanho da empresa e do volume de trabalho, talvez ainda não existam procedimentos claros e objetivos para lidar com o acesso de trabalhadores demitidos aos sistemas. Nem todo mundo se desliga das empresas de maneira amigável, então é preciso que se retire o acesso de todos os ex-funcionários antes mesmo de serem comunicados sobre sua demissão.
Atualização
A existência de estruturas físicas e lógicas defasadas entra na lista de motivos para considerar um assessment. Nesse contexto, é comum ouvir frases do tipo “o sistema já tem muitos anos, mas ainda supre bem às nossas necessidades”. Nesses casos, o problema não está em dar conta do recado ou não, mas na capacidade de defesa contra cibercriminosos.
O motivo é que softwares ou sistemas operacionais antigos são mais propensos a riscos cibernéticos. Quando o software atinge uma certa idade, o provedor deixa de oferecer suporte a essa solução. A Microsoft, por exemplo, está eliminando os patches e atualizações de segurança para o Windows 7. Assim, empresas que usam esse sistema operacional podem começar a pensar na troca para o Windows 10. Essa substituição pode ser trabalhosa, mas traz menos incômodos do que um eventual ataque cibernético.
Portanto, o ideal é não se acomodar com tecnologias antigas e ainda funcionais, acreditando que tudo está seguro porque ainda não houve uma falha. Os maiores perigos são as pequenas vulnerabilidades despercebidas que a equipe da empresa não conhece, mas os cibercriminosos sim.
Por falar em vulnerabilidades, a ausência de política de controle de dados é outro sinal de que chegou a hora de fazer assessment. Algumas situações são potencializadas, uma vez que o trabalho remoto tornou-se uma realidade cada vez mais presente nas empresas. Neste sentido, caso a empresa não tenha se preparado para esta mudança é altamente relevante executar um assessment de segurança.
Empresas que incentivam o colaborador a usar seu próprio dispositivo para executar as atividades na empresa (BYOD), devem desprender atenção extra. É uma abordagem repleta de vantagens, mas é necessário garantir que todos os funcionários tenham dispositivos adequados, para desempenhar suas atividades sem colocar em risco os dados corporativos. Outra questão é que os trabalhadores podem baixar softwares ou aplicativos maliciosos em seus dispositivos pessoais que dão aos cibercriminosos acesso aos sistemas da empresa. Assim, eles podem estar totalmente inconscientes de que seus equipamentos carregam malware e podem infectar os sistemas quando conectados.
Diante de tantas possibilidades de falhas diárias, o assessment mostra que a hora de fazê-lo é agora. Afinal, ciberataques e violações de dados são seriamente prejudiciais para os negócios. Se algo acontecer, a empresa poderá perder o acesso à rede ou aos sistemas por horas ou até dias. Cada momento de inatividade custa caro em termos de queda de produtividade, perda de receita, rotatividade de clientes e danos à reputação da marca – com valores bem mais significativos do que fazer assessment regularmente.