Analysis

Organizações podem “fazer tudo corretamente e, ainda assim, ser vítima” de um ciberataque

Resiliência não é só um termo; é uma necessidade para qualquer organização. Conhecer e perceber o risco a que a empresa está exposta é necessário para prevenir e, quando o ataque acontecer, recuperar

Por Rui Damião . 04/12/2023

Organizações podem “fazer tudo corretamente e, ainda assim, ser vítima” de um ciberataque

À margem do evento que a Bitsight realizou em Lisboa durante o mês de novembro, Alex Laats, Chief Product Officer e General Manager da Bitsight, abordou, em entrevista, os desafios que as organizações estão a enfrentar para se protegerem.

A Bitsight procura ajudar os líderes das organizações a gerir o seu ciber-risco e a transformar a gestão da sua exposição, performance e risco. Os clientes da Bitsight procuram acelerar a transformação, enquanto expandem os seus ecossistemas distribuídos sem se preocuparem (ou reduzirem a sua preocupação) com a superfície de ataque cada vez maior.

Alex Laats explica que já não há fronteiras e, “na verdade, não há maneira de [as organizações] se protegerem por completo contra as perdas” porque uma empresa “pode fazer tudo corretamente e, ainda assim, ser vítima de um determinado evento” de cibersegurança.

Assim, a palavra cada vez mais utilizada é “resiliência” porque, se não existem fronteiras nem uma maneira de prevenir por completo a perda, então “é necessário minimizar a perda e manter-se resiliente ao enfrentar” essa mesma perda.

É preciso visibilidade

Com esta necessidade de as organizações se protegerem e de terem uma maior resiliência, ferramentas como a Bitsight – que fornece uma visão externa – complementam-se a outras ferramentas e soluções de gestão de exposição internas e de vulnerabilidades para dar a visibilidade necessária aos líderes das organizações para “identificar onde é que estão os ativos em risco”.

Ao mesmo tempo, é preciso ter esta visibilidade com uma equipa de IT relativamente pequena, mas, quando algo acontece, é preciso ter a capacidade de voltar a funcionar o mais rapidamente possível.

Laats dá o exemplo da Ucrânia que, nos últimos dez anos, tem sofrido ciberataques continuamente, com os sistemas a ir abaixo, mas conseguem sempre voltar. “Felizmente, o mundo empresarial não está nesta situação, mas as pessoas precisam de perceber que é um problema”, diz.

Para além da resiliência, outro grande desafio é a comunicação com os executivos não-técnicos, que entra na categoria de governance. Os CISO, explica Laats, encontram a comunicação e o governance como um dos pontos mais desafiantes porque o governance é definir standards e reportar os resultados, mas há a dificuldade de falar com um conselho de administração que, na sua maioria, não é composto por pessoas técnicas, e passar quais são os riscos cibernéticos para a organização.

Assim, as organizações devem definir os seus standards. Sabendo que não é possível ter como standard ‘perda zero’, então as organizações devem definir qual é o padrão de perda, assim como o tempo médio de recuperação de um evento cibernético e perceber qual é o standard que pode ser gerido. Depois, é preciso ter um plano de continuidade de negócio e recuperação de desastres para que a organização tenha um hot replacement para a infraestrutura, assim como um cold replacement.

Alguns membros do conselho de administração, refere Laats, percebem o risco e estes pormenores. “É preciso falar disto desta forma. Se for ao conselho de administração e disser que é impossível de fazer, o board vai pensar ‘precisamos de alguém que saiba o que faz’”, explica.

Impacto da inteligência artificial

A Inteligência Artificial (IA) ganhou um novo fôlego em 2023, sendo que as ferramentas de IA Generativa, como o ChatGPT, tiveram um impacto muito grande para as organizações e para os cidadãos. A tecnologia também vai ter impacto na cibersegurança.

Sobre o tema, Alex Laats começa por dizer que as ferramentas de IA Generativa tornam a vida dos cibercriminosos mais fácil para descobrir vulnerabilidades em software existente e encontrar novas vulnerabilidades zero-day que podem ser exploradas. Mas o mesmo pode ser dito sobre quem defende: as empresas que se dedicam à proteção de software podem utilizar a IA Generativa para descobrir falhas e, mais rapidamente, corrigir a solução.

Também na gestão de risco a IA Generativa pode ser uma ajuda. No caso específico de fazer o assessment de novos fornecedores, e numa altura em que as equipas são cada vez mais pequenas, a IA Generativa pode ajudar com grandes quantidades de informação. Com a tecnologia, “uma equipa de dois” pode “basicamente fazer o assessment do risco dos fornecedores de forma mais eficiente, mais rápida e com um volume maior”.

Threat intelligence também pode beneficiar bastante da IA generativa para entender o quão expostas estão as organizações através da análise de grandes quantidades de dados que existem espalhadas por várias fontes.

A necessidade de visibilidade externa

Para Alex Laats, os líderes de cibersegurança das organizações precisam de três grandes ferramentas: ferramentas de gestão de exposição, pentesting e visão externa, onde entra a Bitsight.

A Bitsight permite dar a visão externa da organização, principalmente “num ambiente complexo e dinâmico”. A empresa “ajuda as organizações a ver aquilo que, por vezes, não veem”, em conjunto com empresas e subsidiárias que foram sendo adquiridas pela empresa que permitem fazer scan de OT e scan de CVE que outras organizações não têm e que permitem dar sinais às empresas. Por fim, também é preciso ter boas práticas para fazer o onboarding de novos fabricantes.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.