helpnetsecurity.com: “A failing cybersecurity market is contributing to ineffective performance of cybersecurity technology, a Debate Security research reveals.”…
A noticia pode ser lida na integra em: https://www.helpnetsecurity.com/2020/10/23/cybersecurity-is-failing-due-to-ineffective-technology/
Comentário:
É o caso clássico e recorrente que se encontra em grande parte das organizações, devido a não consciência do problema real e das suas implicações.
As vulnerabilidades e alvos cibernéticos a explorar podem ser divididos em 3 grandes áreas de actuação:
- Riscos e alvos de Rede: São na realidade apenas 10% da abrangência do problema e normalmente apenas este é razoavelmente mitigado.
- Riscos e alvos de Sistemas e aplicações: São 30% do problema a resolver, pode ser aplicado “hardening” para o ajudar a mitigar.
- Riscos e alvos Humanos: O grande risco e alvo, representa 60% do problema a resolver.
Ou seja, se for gasto todo o dinheiro e recursos do planeta em mitigação de rede, o máximo de eficiência que se pode atingir é 10%, infelizmente isso é esquecido.
Conforme já publicado anteriormente (https://defenselifecycle.com/noticias/ciberataques-e-hacking-como-sao-efectuados/), é dado especial ênfase às vulnerabilidades humanas,
Por outro lado, todos devíamos de saber, que cibersegurança é a parte de ferramentas e metodologias da segurança de informação. Visualizando, se a Segurança de Informação for uma fabrica (com todos os recursos humanos e equipamentos, gestão, controle, processos e conhecimentos) então a cibersegurança será constituída apenas pelas ferramentas em si e processos independentes; obviamente que não é de esperar que essa fabrica seja eficiente (isto se chegar a produzir algo), pois núcleos desgarrados simplesmente não funcionam.
Mas, se pelos dois motivos anteriores o estado actual é mau, ainda vai piorar.
Existem infelizmente uma confusão de funções profissionais, um administrador de sistemas, rede, aplicação, etc; é um técnico que garante o bom funcionamento dessa parte da infraestrutura (podendo utilizar ferramentas de cibersegurança e algumas metodologias; por muito empenho que tenha e dedicação), pelo contrário, um técnico de segurança de informação, é a evolução do de administrador sénior (segundo alguns autores e requisitos de certificação são necessários 15 anos de experiência) mas não apenas limitado a uma área especifica, sabe como e quando utilizar as ferramentas e metodologias e a tirar o máximo proveito das mesmas e das suas interacções, sabe métodos de gestão e de processo e especialmente é totalmente proactivo.
E é neste ultimo ponto que reside outro problema final, PROACTIVIDADE, ser apenas reactivo, simplemente não impede nada de acontecer, pois se o actor malicioso for cuidadoso, ele estará fora do alcance legal e por isso sem penalidades.
Conclusão
Esta noticia é alarmante, porém, é o que se encontra nas organizações.
Com a necessidade de mitigar o problema as organizações caem no erro de fazer “outsourcing” ou transferir o problema para terceiros; infelizmente não resulta e é apenas um desperdício de dinheiro e recursos; pois, têm de ser implementada toda a “framework” (https://defenselifecycle.com/noticias/iso-27000-sistema-gestao-seguranca-informacao/) e serem eles próprios a manter.
Para além de resolver esse problema, vai optimizar gastos e controlar o investimento das mitigações.
Infelizmente no mercado vê-se o oposto, gastar recursos imensos, em “soluções milagrosas” de carácter comercial em que o objectivo é a venda de “pacotes” e não a transferência de conhecimentos e implementações de SGSI, ou ainda em “jeitinhos” por terem lido algo ou utilizarem uma ou outra ferramenta de cibersegurança
Nenhuma ferramenta é milagrosa, especialmente quando o factor humano existe (e é 60% do problema), a desilusão apenas surge porque se espera que o “pacote (“hardware”, “software” ou “outsourcing”) comprado resolva os problemas, infelizmente é apenas uma ilusão se markting.