- Por Hayrton Rodrigues do Prado Filho
Conforme a NBR ISO 9001 de 09/2015 – Sistemas de gestão da qualidade – Requisitos, que especifica requisitos para um sistema de gestão da qualidade quando uma organização necessita demonstrar sua capacidade para prover consistentemente produtos e serviços que atendam aos requisitos do cliente e aos requisitos estatutários e regulamentares aplicáveis, e visa aumentar a satisfação do cliente por meio da aplicação eficaz do sistema, incluindo processos para melhoria do sistema e para a garantia da conformidade com os requisitos do cliente e com os requisitos estatutários e regulamentares aplicáveis, uma empresa deve determinar as questões externas e internas que sejam pertinentes para o seu propósito e para o seu direcionamento estratégico e que afetem sua capacidade de alcançar o (s) resultado (s) pretendido(s) de seu sistema de gestão da qualidade.
Dessa forma, a organização deve monitorar e analisar criticamente a informação sobre essas questões externas e internas. Deve-se ressaltar que as questões podem incluir fatores ou condições positivos e negativos para consideração e o entendimento do contexto externo pode ser facilitado pela consideração de questões provenientes dos ambientes legal, tecnológico, competitivo, de mercado, cultural, social e econômico, tanto internacionais, quanto nacionais, regionais ou locais.
Ao planejar o sistema de gestão da qualidade, a organização deve determinar os riscos e as oportunidades que precisam ser abordados para: assegurar que o sistema de gestão da qualidade possa alcançar seus resultados pretendidos; aumentar os efeitos desejáveis; prevenir, ou reduzir, efeitos indesejáveis; alcançar melhoria. Um desses riscos é o cibernético relacionado com a segurança da informação. Em 2021, houve o registro do aumento de 77% nos ataques cibernéticos no Brasil, colocando o país como o quinto maior alvo de cibercrimes. O prejuízo global foi de, aproximadamente, US$ 6 trilhões, segundo pesquisa da Roland Berger.
A Resh Cyber Defense fez uma radiografia das vulnerabilidades encontradas nesse período em uma amostra anonimizada de alguns importantes setores da economia. As vulnerabilidades são brechas em aplicações que, uma vez exploradas com sucesso por um cibercriminoso, podem levar a uma invasão dos sistemas, resultando em vazamentos e sequestros de dados, dentre outras consequências. Por este motivo é importante que estas falhas sejam identificadas e corrigidas a tempo.
O estudo foi preparado utilizando dados de vulnerabilidades encontradas ao longo de 2021 pela Resh Cyber Defense. As brechas foram classificadas por nível de criticidade em cada setor (conforme mostra a tabela abaixo), a fim de analisar a situação de cada um quanto à exposição aos riscos de invasão cibernética.
A identificação de uma brecha é o primeiro passo para a sua correção. Por isso, uma empresa que conhece as suas vulnerabilidades vai evoluir para um nível de segurança maior do que outra empresa que desconhece as suas brechas.
É comum que aplicações apresentem vulnerabilidades. A maioria delas são conhecidas e podem ser facilmente corrigidas. O problema é que ainda são poucas as empresas que incorporaram a cultura do mapeamento contínuo das suas brechas de segurança.
De acordo com a NBR ISO/IEC 27032 de 06/2015 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para segurança cibernética que fornece as diretrizes para melhorar o estado de Segurança Cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança, o gestor de qualidade também precisa estar atendo para a vulnerabilidade que é uma fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.
Dentro do contexto de um sistema de informação, a vulnerabilidade é uma falha, fraqueza ou propriedade do projeto ou implementação de um sistema de informação (incluindo seus controles de segurança) ou seu ambiente que poderia ser, intencionalmente ou não, explorado para afetar negativamente os ativos ou as operações de uma organização. A avaliação da vulnerabilidade deve ser uma tarefa contínua e integrada aos sistemas de gestão.
Como os sistemas recebem correções, atualizações ou novos elementos são adicionados, novas vulnerabilidades podem ser introduzidas. As partes interessadas exigem um profundo conhecimento e compreensão do ativo ou controle em questão, bem como as ameaças, os agentes de ameaças e riscos envolvidos, a fim de realizar uma avaliação abrangente.
O gestor deve realizar um inventário das vulnerabilidades conhecidas e deve manter um rigoroso protocolo e de preferência separado física e logicamente do ativo ou controle a que se aplica. Se houver uma violação de acesso e o inventário de vulnerabilidades for comprometido, este inventário seria uma das ferramentas mais eficazes no arsenal de um agente de ameaça para perpetrar um ataque.
As soluções para vulnerabilidades devem ser buscadas, implementadas e quando uma solução não for possível ou viável, que os controles sejam colocados em prática. Essa abordagem deve ser aplicada em caráter prioritário, sendo que as vulnerabilidades que apresentam um risco mais elevado devem ser tratadas primeiramente.
Os procedimentos de divulgação de vulnerabilidade podem ser definidos no âmbito do compartilhamento e coordenação de informação. O importante é saber que um bom programa de gestão da qualidade pode naufragar quando um ocorrer um ataque cibernético usando, por exemplo, um software malicioso como spyware, worms e vírus. A informação é muitas vezes obtida por meio de técnicas de phishing.
Um ataque pode ocorrer como um vetor de ataque singular ou realizado como um mecanismo misto de ataque. Estes ataques podem ser propagados, por exemplo, por meio de sites suspeitos, downloads não verificados, e-mails de spam, exploração remota e mídias removíveis infectadas.
Os ataques podem vir de duas principais categorias de dentro da rede privada; e os ataques de fora da rede privada. Há casos, contudo, em que os ataques são uma combinação de ambos os tipos, dentro e fora de uma rede privada. Outros mecanismos, que estão crescendo em uso e sofisticação para a realização de ataques, são aqueles baseados em sites de redes sociais e no uso de arquivos corrompidos em sites legítimos.
Dessa forma, o gestor de qualidade deve integrar um programa de segurança de informação à qualidade. A implementação de tal estrutura requer que as organizações e os indivíduos colaborem para se reunir (virtual ou fisicamente) e determinar as políticas específicas, os controles e as medidas a tomar a fim de atingir os seus objetivos de compartilhamento e coordenação de informação segura, eficaz, confiável e eficiente em resposta a incidentes emergentes de segurança da informação.
As seguintes etapas de alto nível são recomendadas como um guia para a implementação: identificar e reunir as organizações e os indivíduos relevantes para formar a comunidade de rede de compartilhamento e coordenação de informação, seja formal ou informalmente; determinar a função de cada organização/indivíduo envolvido seja como organizações provendo informações (OPI), organizações recebendo informações (ORI) ou ambos os casos; estabelecer o tipo de informação e a coordenação necessário que seria benéfico para a comunidade; realizar a categorização e a classificação das informações para determinar se qualquer informação sensível e/ou de privacidade está envolvida; estabelecer as políticas e os princípios que regem a comunidade e as informações envolvidas; determinar os métodos e os processos necessários requeridos para cada categoria e classificação de informações envolvidas; determinar os requisitos e os critérios de desempenho e estabelecer um código de boas práticas e assinar o non-disclosure agreement (NDA), se necessário; identificar os padrões e os sistemas técnicos exigidos e adequados para apoiar a implementação e as operações da comunidade; preparar-se para a operação; coletar lista de contatos e realizar workshops de conscientização e treinamento para preparar as partes interessadas; realizar os testes regulares, incluindo cenários de explicação e simulação, conforme necessário; e realizar as revisões periódicas, pós-teste e pós-incidente para melhorar os sistemas de compartilhamento e coordenação, incluindo pessoas, processos e tecnologia envolvidos; ampliar ou reduzir o tamanho da comunidade, se necessário.
Deve-se lembrar que a gestão de uma empresa sempre deve evoluir e os controles de segurança da informação reduzem o risco e melhoram o tratamento e a gestão de incidentes, porém os criminosos cibernéticos e outros meliantes continuarão a desenvolver novos ataques ou evoluir ataques atuais para superar as proteções existentes. Por isso, é também importante para as organizações implementarem os sistemas e as infraestruturas que permitam uma abordagem mais dinâmica e rigorosa para a detecção, a investigação e as respostas a um ataque de segurança.
Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital adnormas, do blog https://qualidadeonline.wordpress.com/ e é membro da Academia Brasileira da Qualidade (ABQ) – hayrton@hayrtonprado.jor.br