5 Controles de Segurança Cibernética para Ontem

A auditoria do Tribunal de Contas da União (TCU), ao avaliar a aplicação de controles básicos de segurança, identificou que mais da metade dos órgãos públicos federais no Brasil possuem brechas graves em seus sistemas computacionais e, portanto, expostos a ataques cibernéticos.

Neste ciclo de avaliação do TCU, que contemplou 377 organizações, foram avaliadas as implementações de vinte medidas de segurança básicas relacionadas a cinco dos dezoito controles críticos de segurança cibernética  estabelecidos no framework do Center for Internet Security (CIS), versão 8: inventário e controle de ativos de hardware corporativos; inventário e controle de ativos de software; gestão contínua de vulnerabilidades; conscientização sobre segurança e treinamento de competências; e gestão de respostas a incidentes.

Pontos de atenção em relação à implementação dos controles avaliados

  • Quanto aos inventários de ativos de hardware e de ativos de software, que são considerados os controles mais básicos, a maioria das organizações (55,7%) não trata adequadamente os ativos de hardware não autorizados. Assim, não os impedindo de se conectarem em suas redes; e muitas (44,8%) não tratam os softwares não autorizados, não os impedindo de serem executados em seus dispositivos.
    .
  • No que tange à gestão contínua de vulnerabilidades, a maioria das organizações (56,2%) não mantém um processo de avaliação e monitoramento dos ativos de hardware e software, com vistas a eliminar, mitigar ou corrigir vulnerabilidades, bem como aprimorar configurações, controles e táticas de defesa. Por outro lado, muitas (46,7%) não mantêm um processo de correção de vulnerabilidades, atuando para detectá-las e corrigi-las antes que possam ser exploradas por atacantes.
    .
  • Em relação à conscientização e à capacitação dos colaboradores em questões e competências relacionadas à segurança da informação e à segurança cibernética, a maioria das organizações (57,8%) não mantém um programa contínuo de treinamento em segurança com vistas a mostrar aos colaboradores os riscos e ameaças aos quais os ativos e dados da organização estão sujeitos e a como agir para evitá-los ou mitigá-los.
    .
  • No que concerne à gestão de incidentes de segurança da informação, apesar de a maior parte das organizações (65,8%) ter designado pessoal responsável por gerenciar um processo de tratamento de incidentes. Por outro lado, quase metade (47,2%) ainda não mantém informações de contato para reporte de incidentes e pouco mais da metade delas (52,5%) ainda não mantém um processo para recebimento de notificações de incidentes.

Assim, como resultado desse trabalho, o TCU produziu e publicou uma cartilha chamada Cinco Controles de Segurança Cibernética para Ontem, destacando os controles que identificaram como os mais urgentes, dentre 18 controles críticos de segurança indicados pela estrutura do Center for Internet Security (CIS), versão 8.

No relatório, os 5 controles avaliados e reforçados pelo TCU foram os seguintes:

Controle 1: Inventário e Controle de Ativos Corporativos

Esse controle tem por finalidade identificar e impedir a utilização de ativos de TI não autorizados/gerenciados como vetores de ataques cibernéticos.

Refere-se ao controle #01 do CIS Controls v8, contendo 5 medidas de segurança (IG1 = 2/5, IG2 = 4/5, IG3 = 5/5).

Controle 2: Inventário e Controle de Ativos de Software

Busca identificar e impedir a utilização de softwares não autorizados/gerenciados como vetores de ataques cibernéticos.

Refere-se ao controle #02 do CIS Controls v8, contendo 7 medidas de segurança (IG1 = 3/7, IG2 = 6/7, IG3 = 7/7).

Controle 3: Gestão Contínua de Vulnerabilidades

O controle em questão possui como finalidade evitar a exploração de vulnerabilidades conhecidas nos ativos corporativos de TI.

Refere-se ao controle #07 do CIS Controls v8, contendo 7 medidas de segurança (IG1 = 4/7, IG2 = 7/7, IG3 = 7/7).

Controle 4: Conscientização sobre Segurança e Treinamento de Competências

Tem como finalidade reduzir a possibilidade de incidentes e ataques derivados do comportamento humano – engenharia social.

Refere-se ao controle #14 do CIS Controls v8, contendo 9 medidas de segurança (IG1 = 8/9, IG2 = 9/9, IG3 = 9/9).

Controle 5: Gestão de Respostas a Incidentes

Busca melhorar a capacidade de identificar potenciais ameaças e ataques, evitar que se espalhem e recuperar rapidamente dados e sistemas eventualmente corrompidos.

Refere-se ao controle #17 do CIS Controls v8, contendo 9 medidas de segurança (IG1 = 3/9, IG2 = 8/9, IG3 = 9/9).

Considerações Finais

Como pode ser visto, os resultados indicam uma situação de alto risco para a segurança cibernética do setor público federal. Essa situação, afinal, justifica a implementação urgente dos 18 controles críticos do CIS e, em especial para ontem, dos cinco controles avaliados visando à proteção contra ameaças cibernéticas e redução da probabilidade de invasões.

Acesso e Download do Relatório Completo

cinco-controles-seguranca-cibernetica-tcu

Para cada um dos controles, o relatório apresenta a visão geral, sua criticidade, as medidas de segurança, boas práticas e outras referências nos anexos.

Logo, esse é um relatório atualizado e bastante útil para qualquer tipo de empresa, inclusive privadas. Dessa forma, não deixe de acessar o conteúdo.

Para saber mais, acesse o relatório Cinco controles de segurança cibernética para ontem.

 

 

 

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Site Footer