LAB GSTI 2.0: Técnicas avançadas para roubar doces de crianças
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com Figura - Relationship and Attributes of the Risk Analysis Components [1] Quando se fala de ciber-ameaças está-se em grande parte a falar do surgimento de novos agentes ou técnicas responsáveis por explorarem, de forma mais ou menos intencionais, vulnerabilidades existentes nos ativos cada vez mais dependentes de tecnologias de informação . No entanto, não podemos esquecer que esses ativos são os recursos responsáveis pela guarda ou gestão de Informação, e quando falamos de Informação passamos a falar de objetivos de negócio e da forma como esta pode representar valor para os stakeholders da Organização e os recursos tecnológicos são apenas uma parte do sistema de informação . O conhecimento e entendimento deste modelo é um fator crítico para qualquer Organização ou Estado que se pretenda preparar para se defender ou combater ciber-ameaças, pois apesar de qualquer Organização partilhar o mesmo sistema conceptual, a forma como esse sistema está preparado e o valor que a Organização dá à Informação é que influencia a capacidade de uma adequada gestão de risco e controlo. Qualquer Organização que se encontre num estado avançado de maturidade e capacidade dos seus processos de governança e gestão do sistema de informação pode, e deve, encarar estes novos fenómenos como desafios complexos aos seus ativos para os quais os seus sistemas de melhoria contínua deverão adaptar-se. Por outro lado, a reduzida maturidade e capacidade dos processos leva a que muitas Organizações sejam alvos fáceis para qualquer tipo de crime , intencional ou não, sendo a maior sofisticação das ameaças o menor dos seus problemas. Para o primeiro grupo de Organizações a palavra Ciber é chave, para as outras continua a tratar-se apenas de um tema clássico de gestão Segurança. Conclusão Independente da origem ou forma do ataque ou do tipo de vulnerabilidade explorada, o importante é compreender que no final, como desde sempre, o que está em jogo é o poder, o dinheiro ou a fama resultantes da posse da Informação. Se os objetivos são os mesmos, então a prioridade deverá passar sempre por uma visão integrada da segurança da informação, seja ela ciber ou não! Antes de abordar o tema da cibersegurança deverá começar por compreender o valor que a Informação tem para a criação de valor e se a sua Organização é de facto um cofre-forte que passou a ser alvo de ataques bem mais complexos para os quais se deverá proteger e preparar para combater; ou se na verdade continua a ser uma simples criança a quem é muito simples roubar um doce! É importante entender que nem sempre um ataque ou roubo é mérito do atacante, muitas das vezes é o desleixo ou distracção do atacado que contribui de forma direta para o sucesso ou insucesso de um sistema de segurança. Cumprimentos desde Portugal… estamos juntos!
[1] IT Assurance Guide: Using COBIT
[1] IT Assurance Guide: Using COBIT