Tornou-se lugar-comum dizer que a segurança cibernética já não é mais como ontem. É bem verdade que os cibercriminosos continuam evoluindo seus métodos de ataque. Já não se trata mais de se preocupar apenas com agentes maliciosos. Em um mundo cada vez mais interconectado, é mais provável do que nunca que um agente interno cause acidentalmente uma violação de dados. Para perceber quão séria é a situação da cibersegurança, basta olhar para algumas violações ocorridas em 2017. A violação da Equifax® levou à perda de 143 milhões de registros pessoais.
Isso aconteceu com uma empresa que protege dados pessoais privados, imagine o desafio para aquelas com menos recursos de segurança que a Equifax. E com ransomwares como Petya, WannaCry e Bad Rabbit, os cibercriminosos já não precisam roubar registros de dados para ter sucesso em seus ciberataques. Eles podem simplesmente bloquear dados e mantê-los como reféns por tempo suficiente para causar uma catástrofe (e obter benefício financeiro). O que a indústria precisa é uma mudança de perspectiva em como pensamos a segurança, para que possamos lutar mais proativamente contra os cibercriminosos. Este artigo técnico descreve dez passos para ajudar você a alcançar o sucesso.
O que a indústria precisa é uma mudança de perspectiva em como pensamos a segurança, para que possamos lutar mais proativamente contra os cibercriminosos.
Nenhum negócio é 100% seguro. Você pode ter a melhor tecnologia de segurança e processos implementados do mundo, mas há sempre o risco de que um novo tipo de ataque possa atingir seus clientes primeiro. Ainda assim, a conversa muitas vezes centra-se em uma situação preto no branco na qual a empresa está ou não está segura. Esse tipo de proposição tudo ou nada nega a realidade da situação. Em vez disso, você deve focar no fator risco. A maioria das empresas já refletiram sobre os riscos de negócios de maneira geral, tais como imagem negativa na imprensa ou mudanças na demanda do mercado. Com a cibersegurança não deve ser diferente. Tenha em mente o seguinte:
Pergunte-se, “quanto de risco o negócio enfrenta?” Em vez de focar primeiro nas medidas de segurança, descubra o quanto uma violação de dados poderia prejudicar a reputação ou o produto/serviço final do seu cliente. Obviamente, um serviço de monitoramento de crédito como o Equifax enfrenta um risco enorme caso venha a perder dados, mas mesmo pequenas empresas poderiam estar em perigo se perderem informações de clientes. Na verdade, as pequenas empresas podem precisar se preocupar ainda mais, pois podem ser alvos fáceis de hackers (especialmente através de ataques automatizados). Para completar, falta-lhes a margem de folga financeira para protegê-las das repercussões negativas de uma violação. Ao ter uma conversa séria sobre riscos, os clientes ou as partes envolvidas podem visualizar melhor e saber concretamente o que está em jogo, tornando-se mais provável que eles levem a segurança a sério.
Defina métricas de segurança e depois supervisione-as com olhos de falcão. Definir métricas de segurança não só demonstra o valor do seu trabalho de segurança, mas também fornece uma verificação de integridade da sua segurança, apontando áreas de melhoria. Por exemplo, a porcentagem de programas sem os patches de segurança mais recentes de rastreamento irá alertar sobre potenciais falhas de segurança. Na verdade, essa métrica de rastreamento poderia ter evitado a violação ocorrida na Equifax, bem como o WannaCry, pois ambas as violações atacaram vulnerabilidades que tinham patches lançados há 2 ou 3 meses.
Uma segurança potente se origina em um gerenciamento adequado. Baseado no que foi dito acima, medir indicadores-chave no ambiente permite o aprimoramento de processos. A lógica é simples: “só pode ser gerenciado aquilo que pode ser medido.” Por exemplo, medir o nível de rapidez de sua equipe em responder a incidentes de segurança pode informar você sobre o que é preciso para melhorar processos de alguma maneira que ajude você a prestar melhores serviços aos seus clientes.
Se você já assistiu a algum filme de roubo a bancos, sabe que o objetivo dos ladrões é sempre aplicar um grande golpe. No filme “Onze Homens e Um Segredo”, o alvo eram três cassinos. Em outros filmes, o objetivo é assaltar bancos. Na série da BBC “Sherlock”, Moriarty rouba as joias da realeza (e propositadamente é apanhado). Em cada uma dessas situações, as vítimas têm um segurança incrível para proteger seus bens. Quando se trata de proteger seus clientes, você precisa saber quais são as “joias da realeza” do seu ambiente, assim pode mantê-las longe dos Moriartys. Você provavelmente já tem um plano para manter e proteger servidores essenciais ou terminais críticos.
Agora, você precisa olhar para as “joias” guardadas dentro deles, que são os dados. E como provedor de serviços de TI do seu cliente, você já conhece o terreno, o que o ajuda a “visualizar a situação da rede” sob a perspectiva de um cibercriminoso. Para iniciar, defina os aplicativos, sistemas e dados da realeza. Além disso, você precisa descobrir quem são seus funcionários da realeza. Após fazer isso, implemente processos para protegê-los. Em muitos casos, se determinado indivíduo está comprometido, a empresa seria afetada de maneira devastadora. Imagine o que aconteceria se o laptop de um diretor financeiro for comprometido? Isso certamente causaria um grande problema para a empresa. Outras vezes, pode ser um processo ou ponto de acesso da realeza. Por exemplo, no caso da violação de dados da Target®, a vulnerabilidade do sistema se deu através de seu fornecedor de HVAC de terceiros! Em outros casos, você deve se concentrar nos dados da realeza. Por exemplo, registros de saúde contêm uma quantidade incrível de dados confidenciais, que muitas vezes podem se tornar um pagamento de resgate lucrativo para os cibercriminosos. Informações de crédito também podem ser atraentes para muitos hackers. Em suma, empresas devem definir suas joias da realeza e aumentar a segurança em torno destes itens. Além disso, as empresas devem rever regularmente suas políticas de segurança para esses itens, sejam indivíduos, sistemas, pontos de acesso ou dados importantes. Apesar de ser impossível proteger tudo, definir e proteger as joias da realeza da empresa deve ser a prioridade para qualquer um que fornece segurança cibernética.
Até agora, focamos na mudança de perspectiva de diálogo com seus clientes, de segurança para risco. Mas as regras fundamentais de cibersegurança ainda se aplicam: você precisa ter a tecnologia certa, os processos corretos e o esforço ideal para melhorar a segurança e reduzir o risco. Você ainda deve praticar a boa cibersanitização. Manter-se vigilante sobre a manutenção de segurança pode impedir uma avalanche de catástrofes. Muitas vezes, os ataques mais simples obtêm sucesso, como um ataque de phishing ou um download de e-mail malicioso. Então, certifique-se de fazer o seguinte:
Configure planos de resposta e remediação de incidentes antecipadamente. Assim, você tem uma cartilha clara para trabalhar quando uma catástrofe acontecer.
Talvez o mais importante seja perceber que não há simplesmente uma bala de prata disponível para usar aqui. É preciso fazer vigilância e esforços consistentes. E isso é boa notícia para o seu negócio de MSP, pois você pode continuar oferecendo um serviço extremamente valioso e recorrente para seus clientes.
Em matéria de segurança, nada é infalível. E como você provavelmente já sabe, também não existe uma abordagem única para a segurança. Em vez disso, você deve focar em fazer o investimento mais sábio com seus clientes. Você não quer investir alto, para evitar que os clientes se assustem com o preço da etiqueta e questionem o valor de seus serviços. No entanto, também não quer subestimar o investimento e deixá-los despreparados para potenciais violações. Considere a questão em uma base caso a caso. Determine quais são as “joias da realeza” de cada cliente e trabalhe com eles para determinar o melhor nível de segurança para a situação (e continue praticando uma boa cibersanitização básica). Converse com seus clientes desde o início do processo para poder definir as expectativas e determinar o melhor curso de ação para eles. Conforme você continua a fornecer serviços, proporcione atualizações periódicas para seus clientes. Você deve constantemente buscar como pode demonstrar seu valor e manter seus clientes seguros de que estão em boas mãos. Pode valer a pena revisitar o nível de segurança, trimestral ou semestralmente para ajudar os clientes a se manterem preparados para possíveis ameaças. Isto é absolutamente crucial para manter-se a par do cenário de segurança, que está sempre em evolução. Pense nisso: há poucos anos, o ransomware nem sequer era um grande problema. Agora, parece ser a arma preferida de muitos cibercriminosos.
Em um mundo de ameaças infinitas, a segurança pode fazer a diferença para você e seus clientes. O benefício para o seu negócio pode parecer óbvio. Ao fornecer uma segurança potente, você se destaca dos concorrentes que focam em serviços de manutenção e monitoramento simples. Você também atende a uma demanda óbvia para a segurança e impulsiona a sua credibilidade. O que pode parecer menos óbvio é como os clientes podem usar a segurança em seu favor. Imagine, por exemplo, que você atende um fabricante que é fornecedor para empresas de prestação de serviços públicos. Ter uma proposta de segurança forte poderia ajudar esse cliente a garantir mais contratos. Algumas empresas operam em um setor da indústria onde a segurança é um fator que pode fechar ou desfazer negócios: instituições financeiras, organizações de saúde, empresas farmacêuticas, prestadores de serviços de segurança nacional e serviços públicos, para citar alguns. Ser capaz de demonstrar uma capacidade de vigilância constante e avançadas técnicas de segurança pode ajudar as empresas a competir no mercado. Mesmo que seus clientes não atuem em um setor regulamentado, a segurança ainda poderia ser um argumento de venda para eles. Pode ser que eles não estejam cientes disso. Por exemplo, imagine uma empresa que cria termostatos inteligentes. Seus dispositivos poderiam ser cortados e mantidos reféns sob pedido de resgate, como alguns hackers demonstraram ser possível fazer em uma conferência sobre segurança de 2016. Embora esses ataques ainda não tenham acontecido, seus clientes poderiam mostrar que estão preparados para essa possibilidade. Na verdade, qualquer dispositivo da Internet das coisas (IoT) representa um risco para as organizações. Se você atua no ambiente do cliente, gerenciando seus riscos e mantendo uma cibersanitização adequada, eles adquirem um argumento de vendas adicional que os coloca à frente da concorrência.
Pode valer a pena revisitar o nível de segurança, trimestral ou semestralmente para ajudar os clientes a se manterem preparados para possíveis ameaças.
Quando uma nova regulamentação entra em cena, como no caso recente do Regulamento Geral de Proteção de Dados (GDPR), muitos na indústria de TI (e a imprensa especializada, em particular) se esforçam para entender suas implicações potenciais. Muitas vezes, isso gera pânico e confusão. No entanto, frequentemente, essas regulamentações apresentam novas oportunidades para MSPs que se mantêm na dianteira das informações (e apresentam as vantagens fortes para as pessoas cujos dados devem ser protegidos). Tenha em mente o seguinte:
Perceba como a regulamentação impulsiona a segurança. Com requisitos adicionais do GDPR ou mesmo de regulamentações mais antigas como o Health Insurance Portability e Accountability Act (HIPAA), as empresas foram obrigadas a ter uma melhor segurança. Seguindo as regras, você não só faz os clientes levarem a segurança a sério, mas também tem diretrizes para reduzir potenciais violações de dados (tanto de regulamentações, como da imprensa especializada, que oferece recursos educativos para ajudar na conformidade).
Atente para a regulamentação dos seus clientes potenciais. Algumas organizações podem estar sujeitas a regulamentações, caso operem em uma região específica. (Este é o caso em particular de quem trabalha com dados dos cidadãos da UE, sob o GDPR). Outros clientes podem trabalhar em áreas regulamentadas, como prestadores de serviços de saúde, finanças, educação e governo. Embora seja preciso dialogar com a consultoria jurídica em última instância (e estruturar seus contratos sabiamente para proteger seu negócio de MSP de responsabilidades adicionais), você precisará se manter a par das regulamentações para poder proteger adequadamente os seus clientes.
Regulamentações de privacidade estão aumentando. Com o GDPR, a abrangência das regulamentações de privacidade se expandiu. Agora, as organizações que operam fora da UE devem respeitar a regulamentação, caso entrem em contato com os dados pessoais de cidadãos da UE. Espero que isto seja um sinal do que estar por vir: abrangência ampliada e uma maior ênfase na privacidade dos dados.
As regulamentações de segurança são realmente suas amigas. Elas melhoram a segurança não só das organizações individuais, mas para todos (o que é importante para a natureza interconectada da web). E, para os MSPs, setores regulamentados podem ser muitas vezes os nichos verticais mais lucrativos.
Como mencionado antes, a área de cibersegurança está em constante mutação. Não faz muito tempo, o backup no local era suficiente para ajudar as pessoas a recuperar dados. Agora, praticamente é preciso ter uma cópia adicional baseada em nuvem, pois algumas cepas de malware são voltadas especificamente para arquivos de backup. O ponto-chave é atualizar consistentemente o conhecimento da organização sobre a segurança, tanto para os seus clientes específicos, como para aqueles da indústria em geral. Aqui estão algumas dicas importantes:
Crie uma base de dados de conhecimento em sua organização. Primeiro, você precisa garantir que a sua organização tem as informações e habilidades de que precisa para atender adequadamente os seus clientes. Todos em sua organização devem ser treinados sobre os princípios básicos, tais como os fundamentos do monitoramento e a cibersanitização adequada. Ao trabalhar com clientes, alguns dos seus funcionários vão se tornar especialistas nesses clientes. Esses funcionários sabem os pontos fracos de um cliente e podem ser cruciais quando surgirem problemas. Mas certifique-se de que eles adicionam informações como configurações para um repositório central, uma base de dados de conhecimento ou até mesmo seu service desk, para que a organização não tenha que depender de um único ponto de falha.
Fique por dentro dos acontecimentos atuais. Estar na dianteira exige muita pesquisa e leitura. Comece dando uma olhada diariamente em artigos e fontes fornecidos por alguns canais de informação importantes.
Se encontrar uma fonte de que gosta, inscreva-se para receber newsletters ou notícias do blog. Aqui estão algumas boas recomendações:
The United States Computer Emergency Readiness Team: https://www.us-cert.gov
SANS.org (que possui newsletters e blogs): https://www.sans.org
The Cloud Security Alliance: https://cloudsecurityalliance.org
ZDnet: http://www.zdnet.com
Dark Reading: https://www.darkreading.com
CSO Magazine: https://www.csoonline.com
Leve as certificações em consideração. Certificações podem ajudar os funcionários a se manter na dianteira, por dentro das mais recentes tendências, e fornecem estruturas de ação para combater os vilões. Além disso, certificações podem ser uma excelente ferramenta de marketing, proporcionando credibilidade ao seu negócio de MSP. Em particular, busque obter a certificação Certified Information Security Services Professional (CISSP), a certificação Certified Ethical Hacker (CEH) ou a certificação International Information System Security Certificate Consortium (ISC)2.
Envolva-se com as comunidades. Também é útil conhecer outros profissionais de segurança da informação. Considere entrar para a ISACA e obter certificações através dessa entidade. Além disso, existem provavelmente diversas conferências em sua área, realizadas anualmente. Por exemplo, alguns dos grandes nomes incluem a RSA Conference, Black Hat Conference, DEFCON Hacking Conference, Cloud Security Expo e Cybersecurity Europe, entre outros.
O ponto-chave é atualizar consistentemente o conhecimento da organização sobre a segurança, tanto para os seus clientes específicos, como para aqueles da indústria em geral.
A segurança deve ser parte do DNA de praticamente toda organização. Tecnologia, embora útil, é um grande vetor. Com novas cepas de malware, sites maliciosos e e-mails de phishing sofisticados chegando online todos os dias, a tecnologia só pode ampliar as oportunidades de risco. Por isso, é importante oferecer treinamento de segurança regularmente para seus clientes (e seus funcionários). Ensine a eles hábitos de boa segurança, como mudar as senhas com frequência, usar credenciais diferentes para cada serviço (talvez usar um rastreador de senha) e ativar criptografia de dispositivo em seus dispositivos móveis. Isso irá proteger não só seu negócio, mas também o deles. Regular significa simplesmente que não deve ser uma oferta uma vez na vida. Forneça treinamentos de reciclagem sempre que possível. Você também deve enviar atualizações regulares de segurança para os usuários dos seus clientes (especialmente quando ocorre um grande ataque). Por exemplo, o ataque ao Google® Docs em 2017, embora sofisticado, usou um e-mail de phishing que enganou os usuários, fazendo-os fornecer suas credenciais do Google para um site falso. A partir daí os hackers passaram a ter acesso aos registros de contato e conta das pessoas, permitindo-lhes repetir o processo com amigos e colegas das vítimas. Um simples e-mail alertando seus clientes para não abrir um e-mail quando ocorrer um grande ataque pode evitar muitos aborrecimentos.
Manter-se em contato com uma grande comunidade de especialistas em segurança irá ajudá-lo a permanecer na vanguarda da luta contra os bandidos.
A cibersegurança provavelmente será sempre uma necessidade para o mercado. Ao posicionar o seu negócio para atender os desafios de segurança (mantendo-se em dia com as tendências ao usar as etapas que mencionei antes), você terá sempre maneiras de conquistar novos negócios. A segurança pode preparar o caminho para outros serviços importantes para o seu negócio. Por exemplo, você poderia iniciar a conversa com clientes falando de segurança em camadas, mas usando-a para convencer os clientes do valor agregado de um ambiente bem gerenciado, de forma holística. Você pode conquistar os clientes com o tópico segurança, mas que tal melhorar o desempenho da rede ou do backup de documentos-chave, no caso de alguém acidentalmente excluir um arquivo? Uma vez que você iniciou a conversa com um cliente potencial sobre segurança, pergunte ao cliente de que outros serviços ele pode estar precisando.
Os cibercriminosos têm suas próprias comunidades. Eles aprendem a fazer suas negociatas na web e na dark web. É importante encontrar seus próprios aliados nesta luta. Seja entrando para organizações profissionais, participando em encontros ou conferências, ou mesmo lendo artigos online e compartilhando-os, esteja em contato com uma grande comunidade de especialistas em segurança que poderão ajudá-lo a permanecer na vanguarda da luta contra os bandidos. Não se limite às comunidades de cibersegurança. Praticamente, todo ponto de encontro para MSPs e profissionais pode ser vantajoso para você. Por exemplo, assistir a um treinamento de vendas pode ser um meio de aprender como posicionar melhor os serviços de segurança. Pode ajudá-lo a aprender como posicionar melhor a questão do risco, o que levará a um faturamento ainda melhor nos negócios. Você não tem que lutar contra os bandidos sozinho
O cenário de cibersegurança em constante mudança significa que seu negócio terá muitas oportunidades para aproveitar. Na verdade, nossa própria pesquisa demonstra isso. Recentemente, fizemos um levantamento de mais de 400 empresas em todo os EUA e Reino Unido. O resultado aponta que mais de 80% das organizações planejam modificar como contratam serviços de segurança gerenciada nos próximos 12 meses. E, de fato, dentre aqueles que atualmente gerenciam sua segurança internamente, 82% pretendem terceirizar pelo menos alguns dos seus serviços de segurança dentro dos próximos 12 meses. Números como esses demonstram claramente que os MSPs capazes de fornecer serviços de segurança têm muitas oportunidades para garantir novos negócios. E com a natureza de presença constante de ameaças de segurança, esse é um mercado que não vai desaparecer tão cedo. Basta lembrar de manter essas dicas de segurança em mente: foco no risco, investimentos sábios, praticar uma cibersanitização adequada e permanecer no topo das tendências e mudanças. Ao fazer isso, você se manterá proativo na luta contra os cibercriminosos e terá como resultado clientes satisfeitos.
E se você gostou desse guia, fique à vontade para baixar e leva-lo com você. Acesse: addee.com.br/seguranca-proativa
Pai, Marketeiro, Gestor e Vendedor, é um profissional apaixonado por tecnologia, churrasco e cerveja. Possui mais de 15 anos de experiência em marketing, vendas e gestão, sendo os últimos 10 dedicados ao mercado de Tecnologia e Serviços de TI. Ao longo dos últimos anos, se especializou no mercado MSP e contribuiu para que dezenas de empresas redesenhassem seus negócios, processos, serviços e ofertas. Atua como líder do time de Marketing, Eventos e Conteúdos da ADDEE, trabalhando para Revolucionar o Mercado de Gestão de TI.
You must be logged in to post a comment.
