Aviso Site sobre uso de Cookies:

A proteção dos dados pessoais é importante para o IIA Brasil. Usamos cookies para analisar o tráfego do site e assim melhorar os nossos serviços. A continuação do uso do nosso site, sem alterar as configurações do seu navegador, confirma a sua aceitação desses cookies.
Para mais informação, consulte a nossa política de cookies.


CONCORDO, continuar...

HOME > Notícias > On the Frontlines: Evitando o Inferno Cibernético

On the Frontlines: Evitando o Inferno Cibernético

On the Frontlines: Evitando o Inferno Cibernético
15/02/2023



Publicado em 14 de dezembro de 2022, por Christopher Kelly

A auditoria interna pode ajudar a detectar vulnerabilidades de cibersegurança e reduzir a probabilidade de que sua organização seja a próxima grande manchete.

Cerca de 40% da população da Austrália, incluindo o primeiro-ministro Anthony Albanese, recentemente tiveram suas informações pessoais e requerimentos de seguro de saúde confidenciais roubadas por invasores cibernéticos. Como a organização anfitriã, Medibank, se recusou a pagar o pedido de resgate de US$ 10 milhões, dados de clientes e funcionários vazaram na dark web, onde ainda podem ser usados por mais cibercriminosos para ataques de phishing, assédio e chantagem. O Medibank da Austrália entra para uma longa lista de organizações que sofreram ciberataques de destaque, incluindo a Sony Pictures (2014), Ashley Madison (2015), Maersk (2017), Solarwinds (2020), JBS (2021) e Colonial Pipeline (2021).

O cyber agora habita a zona cinza militar, com organizações civis na mira. Os cibercriminosos em nível estadual são hábeis em encontrar maneiras de invadir as redes de TI por meio de explorações técnicas e engenharia social. Eles miram alto e os resultados de seus ataques são devastadores. Se você é CAE de uma organização que sofreu um ciberataque amplamente divulgado, espere ser questionado pelo conselho, executivos e, talvez, pelo recrutador que o entrevistará para seu próximo cargo.

Felizmente, devido ao amplo mandato organizacional da auditoria interna, é provável que poucos membros da gestão possam se equiparar ao nosso conhecimento enciclopédico do mesmo universo que os cibercriminosos desejam explorar.

A auditoria interna tem um papel upstream valioso na detecção de vulnerabilidades e na redução da probabilidade de um ataque bem-sucedido. Então, por onde começar?

Embora algumas pessoas possam ficar tentadas a recomendar um checklist de todos os cibercontroles de rede disponíveis e a instalação de camadas de aplicativos de monitoramento, isso pode criar muitos obstáculos para os usuários no envio de e-mails e anexos, acesso à rede, compartilhamento de arquivos, uso de dispositivos inteligentes e trabalho remoto.

De qualquer forma, mesmo se todos os controles disponíveis estiverem ativados, vulnerabilidades provavelmente continuarão existindo, se usuários excessivamente limitados continuarem encontrando soluções alternativas para contorná-los para fazer seu trabalho, enfraquecendo ainda mais as defesas cibernéticas.

Uma abordagem melhor segue a orientação do Framework de Cibersegurança do National Institute for Standards & Technology dos EUA, de estabelecer uma linha de base para o perfil atual de cibersegurança e, em seguida, conduzir uma avaliação de riscos e análise de lacunas para priorizar os controles necessários. O valor desse exercício é ampliado ao envolver o conselho, a equipe de gerenciamento de riscos, o departamento de TI, especialistas externos e seguradoras.

Ao definir a linha de base do perfil atual de cibersegurança, embora o negócio principal possa ser amplamente compreendido, as organizações geralmente têm outras atividades de negócios periféricas ou terceirizadas para partes externas na cadeia de suprimentos. É aqui que o amplo mandato da auditoria interna é vantajoso. Se as atividades comerciais secundárias não estiverem no radar da gestão, elas podem criar pontos de entrada fracos. Isso pode incluir algo tão simples quanto bancos de dados gerenciados por terceiros para boletins informativos e programas de fidelidade do cliente. Descobrimos que esses bancos de dados carecem de criptografia, são invisíveis para a gestão e contêm mais campos de dados pessoais do que o necessário. Esses dados podem ser úteis para cibercriminosos para roubo de identidade, ataques derivados de phishing e disseminação na dark web, com custo à reputação da organização hospedeira.

Depois que o contexto de negócios é compreendido, ele pode ser mapeado no diagrama de rede de TI e no registro de ativos de TI. Isso pode revelar a existência de sistemas operacionais, firewalls e aplicativos no fim de sua vida útil. Como sistemas legados, muitas vezes, não podem ser corrigidos com cibercontroles atualizados, como autenticação multifatorial, eles facilitam que intrusos consigam acesso usando apenas um login adivinhado de forma inteligente e uma senha redefinida pelos funcionários amigáveis do helpdesk de TI – ou por meio de truques de engenharia social. Um diagrama de rede de TI atualizado e um registro de ativos verificados em comparação com o conhecimento íntimo da organização pela auditoria interna ajudarão a trazer à tona essas vulnerabilidades periféricas e legadas.

Um benefício simultâneo desse processo de mapeamento é que ele pode ilustrar o que um intruso poderia acessar se tivesse privilégios de administrador global. Uma rede totalmente plana poderia permitir que um administrador privilegiado acessasse todas as pastas, arquivos, e-mail, propriedade intelectual, backups, os direitos de acesso de todos os outros usuários e a capacidade de instalar novos softwares. É por isso que os privilégios de administrador global são o bilhete de ouro de um cibercriminoso.

No entanto, os membros do conselho podem ignorar os pontos fracos das contas do administrador, que podem incluir:

  • Não ser protegida com autenticação multifatorial.
  • Fornecer privilégios maiores do que o necessário para o pessoal júnior de TI.
  • Contas que não são canceladas quando membros da equipe administrativa deixam a organização.
  • Contas compartilhadas genericamente por conveniência entre vários administradores, às vezes incluindo prestadores externos de serviços de TI.

A segurança da conta de administrador pode ser reforçada, garantindo que cada conta seja atribuída a um indivíduo específico para uma finalidade específica, e excluída quando esses privilégios não forem mais necessários.

Embora apreciando os insights vivenciais que consultores externos podem trazer, a familiaridade interna da auditoria interna com a organização, sua cadeia de suprimentos e atividades comerciais periféricas significa que ela tem uma vantagem vital na redução da probabilidade de ciberataques bem-sucedidos.

Copyright © 2023 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 18 DE JANEIRO DE 2022.

 

Receba nossa newsletter