O que é que todo CISO precisa? Treinamento constante e reforço positivo
O CISO global da Avast diz que entender or atacantes e traduzir isso em um mecanismo "canônico" devem ser um objetivo para proteger melhor as organizações, e ressalta a importância de manter o foco no que é importante.
Uma maior compreensão da segurança cibernética nas empresas é necessária se você quiser ter uma melhor chance de resolver problemas de segurança, pede a diretora de segurança da informação (CISO) da Avast e uma das especialistas mais respeitadas do mundo sobre o assunto, Jaya Baloo.
Em entrevista exclusiva para a ComputerWeekly en Español, a executiva conta como foi enfrentar um ataque nos primeiros dias de sua chegada à empresa em 2019, e oferece aos profissionais de segurança cibernética e segurança da informação uma série de dicas sobre como sempre se manter atualizado através da educação constante, e como lidar efetivamente com as pressões de suas posições com o apoio de uma boa equipe e de uma rede social próxima.
Jaya Baloo, que foi reconhecida como uma das 100 principais CISOs globais de 2017, comentou que o ransomware continua sendo uma das principais ameaças –na medida em que ela já chama de ransomewhen, um jogo sobre palavras que implica que sua empresa certamente será atacada por malware– e ressaltou a importância de reuniões ponto a ponto para trocar informações e continuar aprendendo.
Nota do editor: Esta entrevista foi editada para clareza e concisão.
De acordo com um post no blog da HPE, ele enfrentou uma violação de dados em seu primeiro dia de trabalho. Como lidou com isso?
Jaya Baloo: Era uma maneira muito boa de começar um novo trabalho, porque significava que eu tinha que começar a trabalhar. Quando entrei para a Avast, eu realmente não sabia como os diferentes departamentos eram organizados, eu não sabia de quem eu precisava para o quê, e era muito estresse. No entanto, também foi muito produtivo, era como se eu estivesse bebendo da mangueira de incêndio por todas as coisas que eu precisava aprender muito rapidamente para entender o impacto do ataque e também o que precisava ser feito.
Eu não precisava dos primeiros cem dias, eu precisava do primeiro mês para entender tudo o que eu precisava, e então descobrir um plano para seguir em frente, o que foi ótimo. Também torna muito mais fácil quando você tem algo como uma espécie de incidente polarizador na empresa, porque fez com que todos os outros também percebessem qual era a coisa mais importante que precisávamos para o próximo ano. O incidente me ajudou a construir minha equipe e obter meu orçamento. Não é algo que eu desejaria em qualquer outro CISO que chega, mas você deve sempre ser capaz de procurar oportunidades diante das adversidades.
Que tipo de habilidades você acha que um CISO deve ter hoje para estar pronto para enfrentar riscos e violações, sempre que eles vierem?
Baloo: Eu acho que constantemente educar a si mesmo é definitivamente a coisa mais importante, mas você não pode saber tudo, o tempo todo, então ter uma boa equipe ao seu redor é super importante. Ser capaz de fazer as perguntas certas para a equipe, certificando-se de que você ainda está olhando para as coisas e falando não apenas dentro de sua equipe, mas com outros colegas, seja em sua indústria ou setor.
Também é importante consultar seus pares em nível nacional e regional, pois os atores de ameaças tendem a se deslocar por um setor e há também, muitas vezes, atores locais ou regionais que fazem uso de eventos específicos para tentar phish uma empresa ou fazer outros tipos de técnicas de ataque. Você não pode aprender muito se você apenas olhar para si mesmo, então você realmente tem que se equipar para ter ângulos diferentes o suficiente para examinar o mesmo problema.
Muitos meios de comunicação estão falando sobre ransomware como o "pão e manteiga" dos ataques. Na sua opinião e experiência, quais são as principais ameaças que a maioria das empresas deve estar ciente e o que elas têm que fazer para evitar se tornarem vítimas?
Baloo: Ransomware. Na verdade, eu não chamo mais de ransomware; eu chamo de ransomewhen, porque parece que é uma questão de tempo até que ele atinja. Minha maior preocupação são esses ataques de extorsão dupla, onde os atacantes não só exigem um resgate para obter um código de descriptografia, mas também ameaçam liberar seus documentos publicamente se o resgate não for pago. Acho muito difícil para muitas empresas seguir o conselho de "não pagar o resgate", embora eu ainda ache que é a coisa mais sensata a se fazer. Se não quer ser aterrorizado, não brinque com terroristas ou lide com eles. Dito isso, não é a coisa mais fácil para muitas empresas fazerem. Eles muitas vezes têm muito pouca ou nenhuma escolha a não ser tentar recuperar seus dados. Neste caso, eu encorajo trabalhar em um estágio incrivelmente inicial com a polícia e a única solução de longo prazo é realmente ter backups on-line e off-line, fazer todos os esforços para evitar que as vulnerabilidades ocorram e, em seguida, tentar educar sua força de trabalho. Isso tudo é muito bom, e funciona. Muitos ataques de ransomware são frustrados nesses estágios iniciais.
O que ainda me preocupa, no entanto, é a prevalência da nova geração de ataques que os limpadores apresentam. Limpadores são puramente destrutivos por natureza, pois nada pode ser recuperado. Novamente, aqui backups são super importantes. Acho que cabe a nós, como uma comunidade de segurança, trabalhar em nível local e regional, pensar em como podemos melhor rastrear os diferentes tipos de atores criminosos e estatais que estão ocupados criando e implantando limpadores. Porque você sabe que tríade de disponibilidade, integridade e confidencialidade. Se você não tem disponibilidade, todas as outras apostas não funcionam. Nós realmente precisamos ter certeza de parar e cortar os limpadores no botão.
Existem muitos passos que as empresas podem tomar para se proteger de hackers. As empresas devem garantir que tenham várias camadas de defesa, incluindo antivírus, firewall, detecção de intrusões, atualizar seu firmware e software regularmente e implementar direitos de acesso de uso adequados para seus funcionários. Também é extremamente importante que as empresas levem em conta o fator humano ao considerar a melhor maneira de garantir seus negócios. Os humanos cometem erros e os hackers gostam de explorar erros humanos, por isso é vital que as empresas discutam as melhores práticas de segurança com seus funcionários. Os testes de penetração são uma ótima maneira de as empresas verem onde estão suas fraquezas e o que os hackers podem explorar on-line e off-line. Os testes de penetração devem ser feitos várias vezes ao ano, pois os hackers estão sempre procurando e encontrando novos recursos para hackear empresas.
Há também uma tática chamada "defesa avançada", onde em vez de ter uma defesa em profundidade, que estaria dentro do seu território, você leva o ataque mais para o inimigo. Tirar o ataque do seu próprio conjunto de dispositivos e redes, e o que quero dizer com isso não é necessariamente ir na ofensiva contra atacantes, mas eu acho que todos nós precisamos de uma melhor compreensão dos próprios atacantes. Como eles estão atacando, que infraestrutura eles estão usando e como eles estão apoiando essa infraestrutura. Há tantos atacantes agora que, por exemplo, com sua infraestrutura de comando e controle eles ainda estão usando algoritmos gerados pelo domínio, o que significa que achamos muito difícil rastreá-los e derrotá-los. Precisamos pensar mais esperto sobre como obter uma imagem melhor dos atacantes. Poderíamos começar, por exemplo, fazendo coisas muito simples como ter uma taxonomia comum. Nem sempre sabemos como identificar um atacante, porque temos dez nomes diferentes para eles, então a indústria pode começar com algumas táticas simples. Nossa habilidade de entender os atacantes e suas ferramentas e procedimentos, e ter isso em uma espécie de mecanismo canônico simples onde todos podemos falar a mesma língua, seria super útil quando se trata de alcançá-los antes que eles possam chegar até nós.
Em 2021, ele participou de um evento onde entrevistou alguns hackers éticos sobre a capacidade de hackers de salvar vidas. Como resultado desse evento, você diria que o hacking ético realmente ajuda a salvar vidas?
Baloo: Sim, o hacking ético ajuda a salvar vidas. Falei com alguns diretores do hospital que usaram hackers éticos para entender o nível de ameaças que eles têm em seu hospital. Há realmente uma tradução direta de usar uma espécie de hacking exploratório para entender quais são suas fraquezas, para ser capaz de resolvê-las e estar em posição de salvar vidas. Instalações médicas e infraestrutura crítica estão sendo atacadas hoje, e se tivessem conhecimento preventivo de onde estão suas fraquezas, poderiam evitá-las antes que ocorressem. Eu costumava ser o CISO da KPN, e lá costumávamos gerenciar a infraestrutura nacional 911. Havia a mesma história, tentamos fazê-lo, encontramos vulnerabilidades, corrigimos e isso significa que toda vez que você disca 911 na Holanda, alguém responde. As chamadas passaram, não houve problema, porque testamos especificamente essa infraestrutura.
Como mulher, quão difícil foi para você chegar ao trabalho que tem agora?
Baloo: Em geral, você tem o ceticismo inicial e as dúvidas. No entanto, não sei se é porque sou uma mulher. Acho que os homens podem ter isso também. Eu acho que é sempre sobre provar a si mesmo e para as mulheres você pode ter que provar a si mesmo mais de uma vez. Tive muita sorte, porque sempre tive pessoas que me promoveram, sem que eu tivesse que fazer [tudo] sempre por mim e não acho que todos tenham tanta sorte. É muito importante reconhecer que precisamos ser capazes não só de apoiar as mulheres, mas também de apoiar todas as pessoas que são diversas e também aspectos da neurodiversidade e diversidade de gênero. Precisamos pensar além dos homens contra das mulheres. Há tantas outras pessoas que têm menos vantagens e que precisamos ajudar.
Qual é a lição mais importante que você aprendeu trabalhando no setor de cibersegurança?
Baloo: A importância de equilibrar as diferentes considerações e aceitar que você nunca vai eliminar completamente os riscos, mas você vai tentar reduzi-los da melhor maneira possível. É preciso que haja um equilíbrio em termos de quanto dinheiro, esforço, orçamento e pessoas estão sendo colocados em um determinado conjunto de problemas. Acho que a segurança cibernética não é o único lugar onde esse equilíbrio precisa ser encontrado, mas há muito barulho das táticas de "choque e temor" que estão acontecendo em nossa indústria agora. É preciso que haja um maior grau de entendimento geral dentro das empresas quando se trata de segurança cibernética, se quisermos ter uma chance melhor de realmente resolver problemas de segurança.
Que tipo de ameaças a Avast espera para o futuro e como a empresa está se preparando para lidar com esses novos riscos?
Baloo: Somos uma empresa como qualquer outra empresa. Acho que sempre fomos um alvo muito interessante, por causa do tipo de serviços que prestamos, mas também pelo número de clientes que temos. As pessoas estão aproveitando a marca Avast para encenar vários tipos de ataques, não apenas contra nós, mas abusando da confiança que nossa marca tem para espalhar malware por meio do malware de marketing sob a marca Avast para atingir as pessoas. Precisamos fazer um trabalho melhor de compreensão da pegada da marca, aquela que é legitimamente criada por nós, bem como a potencial pegada secundária que os atacantes criariam para atrair vítimas que usam nossa marca como seu apelo.
Qual é a lição mais importante que Jaya Baloo quer compartilhar com seus colegas CISOs?
Baloo: Vá em frente e continue aprendendo, e não se esqueça de dar ou dar um abraço de vez em quando. Eu acho que com a quantidade ridícula de estresse que os CISOs enfrentam, às vezes perdemos de vista as coisas realmente importantes que também temos que fazer. Os CISOs fazem parte de uma empresa maior; tente reduzir os riscos e todo o estresse pode causar visão do túnel. Abraços, encontrar amigos na empresa e saber que você tem essa responsabilidade conjunta e que nem tudo está nos ombros dos CISOs. Eu realmente encorajaria todos a encontrar apoio social. Eu recebo o meu da minha equipe. Eu recebo mais inspiração e apoio da minha própria equipe. Abraços e verificações de sanidade, é disso que todo CISO precisa.
O que você pode compartilhar para incentivar mais mulheres a participar do setor ITC/InfoSec?
Baloo: Se você realmente pensar sobre isso, todas as indústrias têm sido tradicionalmente dominadas por homens. Não consigo pensar em uma única indústria que não fosse. O grande fluxo de mulheres para o trabalho em uma escala significativa só aconteceu cerca de 50 anos atrás. Ainda existem muitas profissões dominadas por homens, não apenas a indústria infosec. Trata-se realmente de tentar descobrir como podemos entrar positivamente não só na indústria, mas empoderar outras mulheres a fazer isso também e que tipo de coisas podemos fazer para seguir em frente e ajudar outras pessoas a descobrir o quão grande é e elevar suas próprias carreiras.
Falo muito em público e falo para mostrar o que é possível, para que outras mulheres ouçam sobre minha experiência e se inspirem. No entanto, às vezes me surpreende com os tipos de perguntas que ainda me perguntam, como: "É possível ter uma carreira em tecnologia e ter uma família?" Eu mesmo tenho três filhos, viajo muito para dar palestras e tenho um trabalho em que também viajo, assim como posições externas fora do meu trabalho na Avast. Não é fácil, e ninguém disse que seria. O equilíbrio é fundamental, e sempre foi sobre tentar encontrar um equilíbrio entre as diferentes partes da sua pessoa e fazer todo o seu potencial satisfazê-lo. Seu potencial como ser humano, esposa e mãe, mas também como alguém que quer ter uma carreira satisfatória e objetivos mais acadêmicos.
Nossa habilidade de entender os atacantes e suas ferramentas e procedimentos, e ter isso em uma espécie de mecanismo canônico simples onde todos podemos falar a mesma língua, seria super útil quando se trata de alcançá-los antes que eles possam chegar até nós.
Abraços e verificações de sanidade, é disso que todo CISO precisa.