Um grande estrago!

É notícia antiga, porém vale a pena ressaltar que um descuido pode causar um grande estrado!

Notícias apontam que relatórios de governança de risco de segurança da informação, incluíam a brecha em seus relatórios a 5 anos.

Essas ameaças foram ignoradas sucessivamente pelo chefe de segurança da informação da Equifax, o que nos remete ao ponto principal de todos os problemas que repercutiu em 2017, o que será que causou os graves incidentes de segurança da informação como os ataques de ransomware massivos e agora recentemente com a vulnerabilidade no Apache Struts que culminou no vazamento da Equifax.

Nesse contexto podemos analisar que as organizações que saíram na mídia afetadas pelos ataques possuem em seu arcabouço de políticas, processos e procedimento para tratativas e mitigação do risco associado a essas vulnerabilidades, além de ferramentas de TI para identificação e mitigação dos riscos associados.

São organizações de renome e consequentemente reconhecidas mundialmente, muitas com processos de auditorias internas e externas.

Sendo assim, analisando todos os pontos, o que aconteceu? Por que sofreram um ataque dessas proporções?

Conforme abordei na publicação anterior “O que é mais importante no PCN?” devemos refletir:

Como as pessoas dessas organizações estavam comprometidas com a segurança da informação?

A alta direção demonstrava efetivamente liderança e comprometimento com assuntos relacionados à segurança da informação?

Quanto do corpo diretivo participavam das decisões relacionadas a riscos de segurança da informação?

O quanto esse mesmo corpo diretivo defendiam as medidas e contramedidas de segurança da informação?

Quais as responsabilidades e principalmente quais os processos disciplinares estão formalmente definidos, implantados e comunicados?

Esses pontos são cruciais para entendermos como uma falha como essas acontecem, e não devemos menosprezar o incidente, ou imaginar que só acontece com grandes organizações, a grande questão é que pode acontecer com qualquer empresa.

É nosso dever como profissionais de segurança da informação realizar um bom plano de ação, negociar com as áreas responsáveis e finalmente acompanhar o efetivo encerramento, consequentemente redução do risco a níveis aceitáveis.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *