O que tira o sono de CISOs do setor de governo?

MicrosoftTeams-image-61-scaled-e1652112582304.jpg
Lila Kee*
09/05/2022

Se há uma coisa que os diretores de segurança da informação (CISOs) de governos estaduais e municipais podem concordar é que eles têm pavor de ransomware.Com as informações digitais sendo criadas em velocidade recorde, os cibercriminosos têm acesso a uma quantidade sem precedentes de dados que podem ser atacados. Basta um clique não intencional para ser exposto à um malware, e todos sabem que isso pode gerar consequências desagradáveis. 

Há boas razões para se preocupar. De acordo com a Computer Forensics World, 4 mil ataques de ransomnware são relatados todos os dias desde 2016. Em 2021, uma empresa foi afetada por ransomware a cada 11 segundos, com o volume de incidentes aumentando 125% ano a ano. Isso é uma má notícia para os CISOs em geral, já que os danos globais em consequência de ransomware atingiram o valor de US$ 20 bilhões no ano passado. 

Mas não são apenas as organizações com fins lucrativos que estão sendo impactadas. Governos estaduais e municipais também estão sofrendo cada vez mais esse tipo de ataque. Ao contrário das corporações que contam com grandes equipes e recursos de TI, as entidades estaduais e municipais geralmente estão em desvantagem por causa de tecnologia ultrapassada, equipe reduzida e orçamentos apertados. Em 2020, essas organizações foram expostas a ransomware, o que impactou mais de 70 milhões de pessoas, com hackers buscando recompensas, para restaurar dados, que variaram de US$ 2.500 a US$ 5 milhões.

Mas, embora o ransomware seja a ameaça que domina todas as manchetes, o fato é que o que está causando um efeito negativo em cascata nos governos estaduais e municipais é o subfinanciamento e as infraestruturas de TI mais antigas, que tornam ainda mais difícil para os CISOs se protegerem contra ransomware. Recentemente, em conversas com especialistas de TI estaduais e municipais, cobrindo tópicos que vão desde ciclos de vida de certificados digitais e silos de dados até a falta de experiência interna, ficou claro que embora o ransomware está no topo da lista de preocupações, esses especialistas observam que é importante não perder de vista desafios maiores que estão por vir.

Silos de dados

Um desses obstáculos são os silos de dados. Não é possível gerenciar ou proteger o que não se pode ver, por isso é fundamental que os CISOs tenham acesso unificado e completo aos dados mais sensíveis.

Assim como acontece com infraestruturas legadas mais antigas, os dados são acumulados ao longo do tempo, com novas peças sendo adicionadas a essa infraestrutura mais antiga. Os silos de dados causam grandes obstáculos para a tomada de decisões — não apenas devido à falta de transparência, mas também pela grande dificuldade no compartilhamento de dados dentro de uma entidade. 

Embora os silos sejam necessários para restringir o acesso aos dados confidenciais, deve haver um equilíbrio entre proteção e compartilhamento de dados. Portanto, o compartilhamento e a tomada de decisões tornam-se quase impossíveis com acesso muito restrito.

Equipes não uniformes

Mas os silos não existem apenas nos dados. A maioria dos CISOs estaduais e municipais lidam com equipes de serviços de TI não uniformes.

Embora possam contar com uma equipe principal supervisionando a aquisição e a aprovação de, por exemplo, certificados SSL, normalmente são formadas por departamentos individuais que nem sempre trabalham bem em conjunto e, geralmente, não possuem os canais de comunicação necessários para garantir a proteção holística dos dados.

Isso contribui, não apenas para a tomada de decisões inadequadas, mas também para políticas de segurança ineficazes. Além disso, os processos de aprovação com muitas etapas tornam o processo de aquisição menos eficaz, sem mencionar o atraso na instalação e implantação de tecnologia extremamente necessária.

Falta de profissionais

Conforme observado anteriormente, a falta ou inexperiência de profissionais é uma grande dor de cabeça para a maioria dos CISOs estaduais e municipais. Não se trata apenas de uma questão de falta de profissionais, mas muitos deles às vezes não têm o conhecimento necessário para lidar com diversos dos problemas de segurança mais relevantes.

Considere uma situação em que uma equipe não tenha experiência em trabalhar com Autoridades de Certificação (CA) da Microsoft. A falta desse recurso impossibilita os serviços de certificados automatizados, mesmo se houver um provedor para emitir certificados para identificação de dispositivos. Além disso, o aumento do trabalho remoto durante a pandemia pode contribuir com a confusão entre funcionários inexperientes e subqualificados.

Estados e municípios seguros

Infelizmente, a autoridade limitada que os CISOs estaduais e municipais têm é uma preocupação, pois muitas vezes são vistos apenas como consultores. Ao contrário das empresas privadas que empregam CISOs na liderança executiva e muitas vezes nas funções do conselho de administração, os CISOs públicos geralmente não são os tomadores de decisões quando se trata de segurança. Muitas vezes fazem recomendações para políticas e abordagens de segurança, mas poucos têm autoridade para tomar decisões finais.

Isso leva os CISOs a oferecer sugestões que às vezes são ignoradas, expondo a organização a riscos ainda maiores. Muitas dessas limitações também são causadas pela falta de orçamento para atender as  recomendações. Isso dificulta ainda mais o acompanhamento de outra área importante como os ciclos de vida dos certificados. 

Esse processo normalmente envolve seis áreas principais:

• Geração de chaves públicas/privadas e Certificate Signing Requests (CSR) usando sistemas de criptografia atualizados;

• Inscrição (solicitação e recuperação);

• Provisionamento/instalação de certificados nos terminais;

• Renovação do certificado;

• Revogação do certificado;

• Configuração (por exemplo, clientes de e-mail).

Em um cenário ideal, o processo deve ser holístico e automatizado. Um sistema confiável não é apenas consistente, mas também atende efetivamente aos requisitos de conformidade e permite que a automação aumente a eficiência. Esse processo de gerenciamento de certificados deve ocorrer em redes complexas para garantir proteção completa e evitar falhas.

Infelizmente, como muitos CISOs estaduais e municipais não têm largura de banda ou recursos suficientes, esses processos são ineficientes e carecem de consistência. O alinhamento com um parceiro valioso pode ajudar a projetar, instituir e gerenciar esses ciclos de vida de certificados, independente da experiência ou dos recursos internos. Isso ajuda a superar muitas das restrições que normalmente afetam as infraestruturas estaduais e municipais.

Para gerenciar certificados corretamente, o processo de gerenciamento do ciclo de vida não deve ser manual, não é que não pode ser feito dessa forma, mas isso deixa a tarefa mais complexa. Ao não automatizar o processo, a entidade incorre em riscos como não possuir um inventário preciso de todos os certificados, contar com uma equipe inexperiente supervisionando a infraestrutura de chaves públicas (ICP) e métodos de gerenciamento de certificados desatualizados.

Ao trabalhar com fornecedores, os governos estaduais e municipais geralmente procuram o menor custo sem entender as limitações dessa abordagem, uma vez que os perigos ficam evidentes, é sempre tarde demais e precisam sair a procura de um fornecedor mais eficiente e preparado. Ao procurar fornecedores em potencial, é necessário avaliar sua experiência e como podem ajudar na transição de procedimentos antigos para aqueles mais alinhados a algoritmos e padrões de segurança atualizados. Certifique-se de que o fornecedor possua uma forte compreensão de seus processos atuais e tenha um plano para o futuro.

O cenário de ameaças continuará a crescer, vai ficar mais complexo e inteligente. Agora é a hora dos CISOs estaduais e municipais conhecerem os pontos fracos de sua infraestrutura e se prepararem de forma adequada para o futuro.

*Lila Kee é chief product officer (CPO) da GlobalSign.

Compartilhar: