Se você está ciente da importância da segurança cibernética para proteger o seu negócio dos cibercriminosos, mas acha muito complicado colocar uma estratégia de segurança em prática, a aplicação da Regra de Pareto pode ser um excelente primeiro passo.
Desistir de investir em cibersegurança por conta da complexidade do tema e do aprimoramento contínuo das técnicas utilizadas no cibercrime definitivamente não é uma opção.
Segundo dados da Fortinet, o Brasil é o segundo país que mais sofreu ataques cibernéticos na América Latina no primeiro semestre de 2022.
Foram 31,5 bilhões de tentativas de ataques de Janeiro a Junho, o que representa 94% de aumento em relação ao mesmo período do ano anterior, quando o registro foi de 16,2 bilhões.
Na América Latina, apenas o México teve um número maior de tentativas de ataque, um total de 85 bilhões.
Considerando as investidas dos cibercriminosos na América Latina e no Caribe, o número é assustador: mais de 137 bilhões de tentativas de ataques cibernéticos.
Em termos mais específicos, o estudo também revelou a preferência dos cibercriminosos por estratégias mais sofisticadas, como o ransomware.
O ransomware é uma categoria de software malicioso que realiza a criptografia de dados em um dispositivo, tornando-o inutilizável.
Dessa forma, o cibercriminoso ameaça destruir ou divulgar os dados em questão caso a empresa não dê a ele o valor financeiro que ele estipula.
O aumento desse tipo de crime é visível em 2022, mas já vem crescendo vertiginosamente desde 2020.
Os chamados serviços de aluguel de ransomware (RaaS, ou ransomware as a service) cresceram abruptamente.
Os cibercriminosos que desenvolvem esse tipo de malware criam verdadeiros modelos de negócio que funcionam como empresas que oferecem a outros cibercriminosos com menor conhecimento técnico a possibilidade de utilizar o RaaS mediante o pagamento de parte do valor que é extraído das vítimas.
O relatório da Fortinet mostra que ocorreram aproximadamente 52 mil tentativas de distribuição de ransomware na América Latina no primeiro semestre do ano corrente, afetando empresas de todos os setores.
Esses dados demonstram uma espécie de pandemia de ataques cibernéticos, que certamente foi favorecida pela adoção do trabalho remoto sem o devido planejamento em muitas empresas, por conta da pandemia da Covid-19.
A situação é alarmante tanto quando se pensa no setor privado quanto quando o foco é o setor público, já que o cibercrime pode afetar economias como um todo.
Pensando especificamente no setor público, cabe citar a auditoria realizada no último ano pelo Tribunal de Contas da União (TCU).
Mais da metade das 422 instituições públicas que foram auditadas não possuem política de backup aprovada formalmente.
Além disso, 33 delas nem sequer fazem o backup do seu principal sistema, sendo consideradas extremamente vulneráveis aos ataques cibernéticos.
Isso é mais preocupante quando se pensa que organizações públicas têm se tornado alvos prioritários dos cibercriminosos.
Citamos esses dados para que você perceba que, se até mesmo grandes instituições públicas tornaram-se alvos fáceis do cibercrime, sua empresa não pode se considerar livre desse risco.
Mas o que tudo isso tem a ver com a Regra de Pareto? Esse princípio pode ser aplicado a vários contextos, o que inclui os primeiros e mais essenciais passos rumo à garantia da segurança cibernética em uma empresa.
Se você está preocupado com um possível vazamento ou uma inacessibilidade aos dados do seu negócio, mas ainda não sabe o que fazer, utilize a Regra de Pareto.
Nos próximos tópicos, você vai compreender do que se trata o Princípio de Pareto e como aplicá-lo à sua estratégia de cibersegurança. Continue a leitura!
O que é Regra de Pareto?
A Regra de Pareto corresponde a um princípio seguido em diversos setores que afirma o seguinte: 20% do esforço dedicado ao alcance de um objetivo são responsáveis por 80% do desempenho obtido.
Essa ideia pode ser aplicada a diversos aspectos. Por exemplo, considera-se que 20% dos produtos ou serviços comercializados por uma empresa correspondem a 80% do faturamento.
Com a Regra de Pareto também é possível considerar que 20% da sua equipe garante 80% dos resultados da empresa.
Se você ainda não conhecia o Princípio de Pareto, pode estar achando essa padronização muito intrigante.
Ela tem sido aplicada a diversos contextos e cenários e prevê essa proporção em muitas situações em que existe uma relação de causa e efeito.
Nesse sentido, a Regra de Pareto pode ser tomada como uma ferramenta de gestão muito eficaz, especialmente quando não se sabe onde concentrar esforços para obter determinado resultado.
O Princípio de Pareto foi sugerido pela primeira vez por Joseph Moses Juran, um consultor de negócios que procurava sistematizar seus trabalhos na área de gestão de qualidade.
Ele utilizou as observações propostas pelo economista italiano Vilfredo Pareto. Daí a denominação Regra de Pareto.
Uma das primeiras análises com o propósito de confirmar o princípio foi realizada com base no cultivo de ervilhas.
No fim do século XIX, Vilfredo Pareto observou que 20% das vagens produziam aproximadamente 80% das ervilhas.
No início dos anos 1900, ele também observou que 80% das terras italianas pertenciam a 20% da população do país.
A partir de então, ele começou a estudar a proporção com ainda mais afinco e aplicá-la a diversas situações.
Mas foi apenas na década de 1940 que a Regra de Pareto foi reconhecida a partir dos estudos de Juran.
A universalidade das aplicações do Princípio de Pareto pode criar desconfianças em relação à regra, mas a verdade é que ela realmente funciona.
A Regra de Pareto pode ser usada em análises econômicas, tecnológicas ou sociológicas, associando-se também a outros conceitos, como o princípio estatístico da Distribuição de Pareto e o Princípio da Escassez do Fator, ligado à Engenharia de Software.
A divulgação de vários cases, estudos e livros, principalmente ligados ao marketing e à administração, foram os responsáveis pela popularização da Regra de Pareto.
E é justamente a partir do contexto administrativo, que o princípio pode ser aplicado à criação de uma estratégia de cibersegurança.
Em suma, a Regra de Pareto diz que a menor parte dos recursos corresponde à maior parte dos resultados.
A aplicação desse princípio, que pode ser considerado estatístico ou matemático, tem como principal consequência a melhora dos resultados obtidos.
Assim, se você precisa com urgência de bons resultados em termos de cibersegurança, vale a pena utilizar a Regra de Pareto.
Aplicando a Regra de Pareto à segurança digital
Ao aplicar a Regra de Pareto à área da cibersegurança, é possível deduzir que 20% das vulnerabilidades de segurança podem ocasionar 80% dos incidentes.
Isso significa que você deve sanar todas as vulnerabilidades que conseguir, mas manter o foco principal de seus esforços nesses 20%.
Com base na ideia de que a menor parte dos recursos corresponde à maior parte dos resultados, estabelecida pelo Princípio de Pareto, um estudo recente da CETIC.br apontou três ações que podem reduzir 80% dos incidentes de segurança cibernética reportados ao CERT.br, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
Essas ações podem ser consideradas demasiadamente óbvias por serem simples e não envolverem a necessidade de grandes conhecimentos tecnológicos.
Porém, elas não têm sido colocadas em prática pela maioria das empresas, por envolverem atividades diversas e terem alguns requisitos.
Vamos falar nos próximos subtópicos sobre cada uma dessas três medidas que podem ser associadas à Regra de Pareto quando o tema é a segurança digital.
Atualização dos softwares
A possibilidade de explorar vulnerabilidades conhecidas de um software é considerada a principal porta de entrada para os malwares.
Conforme relatório da US-CERT, existem correções conhecidas para as 10 vulnerabilidades mais exploradas pelos cibercriminosos com o objetivo de comprometer os sistemas e redes governamentais.
Essas vulnerabilidades são recorrentes e algumas das correções, que podem ser aplicadas em sua mitigação, já existem há mais de cinco anos.
Sendo assim, ainda que o cibercrime esteja ganhando novas nuances e explorando técnicas mais avançadas, ele se aproveita de vulnerabilidades que se perpetuam e que poderiam ser rapidamente corrigidas.
Mas muitos protocolos considerados extremamente inseguros continuam sendo utilizados nas organizações.
É o caso do protocolo Server Message Block versão 1 (SMBv1), que apresenta uma vulnerabilidade ligada ao estouro de buffer.
Essa vulnerabilidade foi explorada em ataques mundialmente conhecidos como os do Wannacry, que ocorreu em 2017, e do NotPetya, ocorrido em 2018.
Muitas vezes, a manutenção dos softwares atualizados não é promovida nas empresas por conta de uma falta de planejamento ou do adiamento repetido em função da impossibilidade de parar as atividades dos dispositivos.
Em outros casos, as atualizações de versões de softwares e a aplicação de correções não são tarefas tão simples.
Isso acontece principalmente em organizações que utilizam sistemas mais antigos, dependendo de versões e protocolos totalmente inseguros.
Como os cibercriminosos estão cientes disso, eles continuam investindo na exploração dessas vulnerabilidades, o que faz muito sentido quando se pensa na Regra de Pareto.
Por isso, se a sua empresa está entre aquelas que dependem desses sistemas antigos, é fundamental o estabelecimento de um plano de ação com o objetivo de migrar ou substituir os sistemas legados.
Outra ação necessária é o desenvolvimento de uma política de atualização e realização de correções, considerando a amplitude dos aspectos envolvidos.
Essa política deve levar em conta os procedimentos de gestão de mudanças e a análise de riscos.
Realização do hardening de todos os dispositivos e sistemas
O hardening pode ser definido como um processo que visa ao mapeamento das ameaças, à mitigação de riscos e à execução de atividades corretivas de equipamentos e servidores de tecnologia da informação e comunicação.
O objetivo é a preparação para o enfrentamento das tentativas de ciberataques, sobretudo aquelas que exploram as contas privilegiadas.
Nesse sentido, fazer o hardening é fundamental mesmo que você esteja mantendo todos os seus softwares atualizados e não utilize sistemas antigos.
A realização do hardening pode ser empregada, por exemplo, para alterar configurações de fábrica dos dispositivos, descartando usuários e senhas que sejam amplamente conhecidos no ambiente organizacional.
Também é possível empregar essa prática para desabilitar todos os protocolos inseguros e os que não são utilizados.
O hardening também é chamado de blindagem e objetiva remover as possibilidades de acesso e parâmetros desatualizados.
Assim, o hardening também pode incluir:
- A limitação de um software à utilização apenas por quem exerce a função específica ligada a ele;
- A aplicação e manutenção de patches de sistema operacional e de aplicações atualizados;
- A imposição de uma política de senhas;
- A revisão das permissões de sistemas de arquivos.
Ainda que pareça complicada a ampla aplicação desta técnica, vale a pena o esforço, já que ela remove completamente o acesso de usuários não autorizados, fortalecendo os sistemas organizacionais.
Portanto, fica muito mais difícil a colocação de scripts maliciosos nos servidores da sua rede, o que reduz drasticamente os riscos corridos em termos de cibersegurança.
Nesse processo, as vulnerabilidades de segurança vão sendo descobertas, o que ajuda os gestores a administrar melhor os riscos e promover as mudanças necessárias.
Essa medida é muito valorizada pelas autoridades em proteção de dados e pode cooperar inclusive para a melhoria da imagem da empresa.
Para colocar o hardening em prática, você deve considerar todos os dispositivos conectados à sua rede, incluindo servidores, impressoras, estações de trabalho, dispositivos de rede e todos os computadores.
Veja abaixo alguns passos fundamentais para realizar o hardening:
- Renomear ou desativar contas internas;
- Determinar os protocolos necessários;
- Proteger os sistemas básicos de entrada e saída (BIOS);
- Identificar e remover aplicativos e serviços desnecessários;
- Documentar todo o processo de proteção do sistema.
A partir dessas ações, colocadas em prática organizada e sistematicamente, você estará seguindo a proposta da Regra de Pareto no que diz respeito à cibersegurança.
Melhorias dos processos de identificação e autenticação
Se você chegou até este ponto da leitura, deve ter percebido que as três propostas de ações para colocar em prática a Regra de Pareto em sua estratégia de cibersegurança estão interligadas.
Ao atualizar os seus sistemas e colocar o hardening em prática, você já estará contribuindo para a melhoria dos processos de identificação e autenticação em serviços e sistemas.
Os adeptos do cibercrime costumam seguir o caminho mais fácil e, por isso, os sistemas que não utilizam a autenticação multifator são mais explorados nos golpes digitais.
Parece simples, mas é provável que você ainda não esteja tomando esse cuidado fundamental: não utilize apenas senhas como fatores de autenticação em seus sistemas.
Utilizar múltiplos fatores de autenticação é uma missão simples que pode evitar muitos transtornos.
Como o roubo de credenciais de acesso é um dos pontos sensíveis em que o cibercrime mais investe, a autenticação multifator é uma saída óbvia para o problema.
Lembre-se, a Regra de Pareto estabelece que 20% dos esforços são responsáveis por 80% dos resultados.
A autenticação multifator é um esforço simples com implementação rápida. Ela consiste na utilização de dois ou mais fatores ou credenciais para verificar a identidade de um usuário quando ele tenta acessar um sistema.
Ou seja, a senha pode continuar sendo utilizada, mas conta com pelo menos uma credencial adicional.
O token e os dados biométricos são credenciais cuja utilização tem crescido diante do avanço do cibercrime.
A adoção desta medida é fundamental para o controle de acesso principalmente quando se trata de contas privilegiadas, como as dos administradores do sistema.
Assim como ocorre com o hardening, a melhoria dos processos de identificação e autenticação também é muito valorizada por autoridades de proteção de dados.
Conheça a plataforma EcoTrust
A EcoTrust é uma plataforma de cibersegurança que utiliza a inteligência em riscos cibernéticos para direcionar a atenção da gestão de TI quanto às precauções para evitar as maiores possibilidades de investidas cibercriminosas.
Nesse sentido, podemos dizer que ela pode ser uma forte aliada na aplicação do Princípio de Pareto na área da segurança digital.
A partir dos recursos disponíveis na plataforma, você consegue identificar e priorizar a solução dos riscos relacionados às vulnerabilidades que mais impactam os processos do seu negócio.Conheça a EcoTrust e aplique a Regra de Pareto à sua estratégia de cibersegurança para otimizar os seus resultados e manter os seus sistemas seguros. Você pode solicitar uma demo para verificar na prática os benefícios. Até o próximo artigo!