Recentemente, uma auditoria do Tribunal de Contas da União (TCU) sobre a aplicação de controles básicos de segurança acabou comprovando que mais da metade dos órgãos públicos federais possuem brechas graves em seus sistemas computacionais e, portanto, expostos a ataques cibernéticos. Dentre os controles ausentes, os mais preocupantes foram a falta de uma correta gestão de ativos, a ausência de planos para correção de vulnerabilidades e plano de resposta a incidentes.
Veja algumas estatísticas preocupantes, de acordo com o TCU e destacada pela The Hack:
- 55,7% das organizações não tratam adequadamente ativos de hardware, tendo pouca ou nenhuma visibilidade dos dispositivos;
- 56,2% das unidades auditadas não mantêm um processo de avaliação e monitoramento de vulnerabilidades nos ativos de hardware e software e 46,7% não possuem um processo de correção de vulnerabilidades;
- 57,8% das organizações não possuem um programa contínuo de conscientização;
- 52,5% ainda não mantém um processo para recebimento de notificações de incidentes.
Como resultado desse trabalho, o TCU produziu e publicou ua cartilha com "Cinco controles de segurança cibernética para ontem", destacando os controles que identificaram como os mais urgentes, dentre 18 controles críticos de segurança indicados pelo CIS Critical Security Controls Version 8.
Fazendo um pequeno spoiler, os 5 controles destacados pelo TCU são:
- Inventário e controle de ativos corporativos: identificar e impedir a utilização de ativos de TI não autorizados/gerenciados como vetores de ataques cibernéticos;
- Inventário e controle de ativos de software: identificar e impedir a utilização de softwares não autorizados/ gerenciados como vetores de ataques cibernéticos;
- Gestão contínua de vulnerabilidades: evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI;
- Conscientização sobre segurança e treinamento de competências: reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social;
- Gestão de respostas a incidentes: melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.
Apesar de ser um documento direcionado para os órgãos públicos da Administração Federal, esse documento é bem útil para qualquer organização, e portanto, merece uma leitura.
Nenhum comentário:
Postar um comentário