[Segurança] Resiliência CyberEmocional

Recentemente eu fui agraciado pela oportunidade de palestrar no Tempest Talks, um evento organizado anualmente pela Tempest que sempre traz assuntos muito interessantes apresentados por grandes palestrantes.

Neste ano, eles escolheram como eixo central do evento o tema da "resiliência cibernética", uma preocupação que tem se tornado cada vez mais presente no dia-a-dia dos executivos e dos profissionais de segurança da informação. Atualmente, todos os líderes devem assumir que sua organização enfrentará um ataque cibernético em algum momento. A estratégia de resiliência permite que, quando o ataque vier, a organização se recupere total e rapidamente.

Assim, eu tive o desafio de preparar algum conteúdo que abordasse esse tema da resiliência, e assim eu acabei propondo uma palestra focado no lado humano do desafio de prepararmos nossas empresas para o impacto de um ciber ataque.

Eu sou de uma geração que pegou algumas das primeiras grandes infestações por vírus, como o "I Love You" no ano 2000 e o "SQL Slammer worm" em 200X. Naquela época, conseguíamos recuperar o ambiente da empresa e eliminar completamente o vírus em cerca de um dia de trabalho (trabalho muito intenso, por sinal). Hoje, por outro lado, a resposta a um incidente de Ransomware representa vários dias, semanas e até meses das esquipes de segurança e tecnologia para conseguir restaurar o ambiente e o negócio!

A capacidade de resiliência deve ser construída. Para resistir, manter e recuperar suas operações frente a um incidente cibernético, as empresas devem investir em pessoas, processos e tecnologia. Mas, quando acontece um ciber ataque e a tecnologia falha (por exemplo, sua rede, seus servidores e até mesmo seu AD podem ser comprometidos), nós dependemos exclusivamente dos processos e das pessoas para retomar o ambiente. Cabe aos processos (previamente planejados e testados) e as pessoas (devidamente orientadas e treinadas) promover a continuidade dos negócios. Ações de treinamento e conscientização, portanto, são fundamentais em uma estratégia de resiliência.

Esse esforço dos profissionais, ou seja, esse foco nas pessoas, eu chamei de Resiliência CyberEmocional.

Por uma grande e feliz coincidência, em 2021 eu participei de parte dos esforços realizados pelo time de segurança do C6 Bank para revisarmos nosso plano de resposta a incidentes e treinarmos nossos colaboradores. Um dos pontos mais interessante desse esforço, ao meu ver, foram os exercícios de simulação de resposta a incidentes que realizamos na época, realizado no modelo de "Table Top Exercise" (TTX) - e compartilhar essa experiência foi o ponto focal da minha palestra.

Tal exercício permitiu treinar várias pessoas chave da organização e discutir como agir frente a um incidente cibernético. No nosso caso, optamos por realizar algumas turmas com públicos específicos, para direcionar o exercício para suas demandas e seus papéis em um cenário de resposta a incidentes.

Veja o vídeo da minha palestra no Tempest Talks:

Vou aproveitar e compartilhar aqui as referências que coloquei na minha apresentação:

• NIST SP 800-160 Vol. 2 Rev. 1 - Developing Cyber-Resilient Systems
• Building Cyber-Resilient Organizations with Fire Drills and Tabletop Exercises
• 10 Benefits of Running Cybersecurity Exercises (DarkReading)
• Cyber Resilience Act (EU)
• Scottish government offers cyber resilience training to hundreds of organisations
• Locked Shields
• Backdoors & Breaches, an Incident Response Card Game (sobre a versão online)

E veja também:

• Tempest Talks 2022: Conheça o tema, o lineup e as palestras do evento anual da Tempest, que acontece em outubro