quinta-feira, 11 de julho de 2013

O leite derramado

Por Renato Maia*

Quando criamos a TechBiz Forense Digital, quase 10 anos atrás, tínhamos uma convicção: prevenir apenas não era suficiente. Realizávamos, antes do nascimento da Forense Digital, projetos na área de segurança da informação para grandes empresas pela TechBiz Informática. Tinhamos uma apresentação institucional que apresentava a Segurança da Informação como um “processo” cíclico com três fases macro: Prevenção, Detecção e Reação. A grande maioria dos projetos era de softwares, tecnologias e processos preventivos. Alguns raros projetos tinham foco em detecção – essencialmente implantações de sistemas de detecção de intrusão para redes, que na grande maioria dos casos eram muito pouco utilizados de fato. Mas era raríssimo encontrarmos empresas preocupadas ou preparadas para a fase seguinte, a da reação. E, apesar da falta de sinais de que o mercado estava preparado, criamos nossa empresa focada nesta etapa.

Sempre dizia, e digo ainda, que somos a empresa do “Leite Derramado”, pois nossa atuação iniciava-se quando algum incidente ocorrido era detectado e precisava de uma resposta adequada, seja ela a contenção, a redução dos danos potenciais ou mesmo uma investigação digital e perícia completa. 

Nosso pioneirismo exigiu um esforço enorme de evangelizar nossos clientes sobre a importância de estarem preparados para reagir, responder, investigar. Por maior que seja o investimento em medidas preventivas, eventualmente elas podem falhar. E é preciso saber o que fazer neste momento. Estar preparado, com pessoas qualificadas, com processos bem definidos e com software e tecnologia. 


Acredito que tivemos sucesso e conseguimos, a cada ano, realizar parte da nossa visão empresarial: assegurar que empresas e organizações, públicas ou privadas, estejam amplamente equipadas e preparadas para combater crimes digitais e incidentes de segurança da informação.

Estas memórias me vieram devido a dois importantes relatórios recentes que procuram, cada um à sua maneira, passar exatamente a mesma ideia central que motivou a nossa existência: prevenir apenas não é suficiente. É fundamental estar preparado e equipado para reagir. O primeiro documento é o Verizon Data Breach Report 2013. Neste documento 47.000 incidentes de segurança da informação - sendo 621 com vazamento/roubo de informações confirmados – são analisados e apresentados de maneira extremamente interessante. Sua leitura – que não é técnica ou pesada – é obrigatória para entender um pouco a realidade atual da área.

Uma das conclusões mais relevantes e fortes do documento é: “We strongly recommend readers consider the detection of failures (in a reasonable time frame) as a success. The security industry has long been overly focused on prevention. Let’s keep preventing, but enhance our ability to detect threats that slip through our defenses (which they will inevitably do).” Em bom português e em tradução livre minha: considerem a detecção de falhas em um tempo razoável um sucesso. Precisamos ampliar nossa capacidade de detectar ameaças que passem por nossas defesas – o que inevitavelmente acontece.

Dois dados obtidos pela análise dos incidentes do relatório chamam a atenção e embasam esta conclusão e recomendação: em 2012, 66% dos incidentes com vazamento de informação permaneceram desconhecidos pelas organizações, vítimas por meses. E 69% deles foram descobertos por terceiros – não foi a vítima que descobriu o problema, foi uma empresa parceira, um cliente, a imprensa...

O segundo relatório foi lançado recentemente pelo Gartner e se chama “Prevention is Futile in 2020 : Protect Information Via Pervasive Monitoring and Collective Intelligence”. O título diz tudo. Prevenção será inútil em 2020. Dois desafios citados no documento que destaco aqui: “Information security can no longer prevent advanced targeted attacks.” “Too much information security spending has focused on the prevention of attacks and not enough has gone into security monitoring and response capabilities.” E uma recomendação também merece destaque: “Invest in your incident response capabilities. Define and staff a process to quickly understand the scope and impact of a detected breach.” São mensagens fortes e importantes.

Se assumirmos como premissa fundamental que medidas preventivas não funcionarão 100% das vezes; e que, especialmente contra adversários motivados, persistentes e focados em você, prevenir não é solução, fica no ar a pergunta: qual alternativa nos resta? Esta resposta é a essência da nossa empresa e da nossa oferta. Nos resta a capacidade de detectar e responder com rapidez, reduzindo o alcance e danos potenciais.