No decorrer da maior conferência internacional de segurança cibernética, Cyber Security Summit Brasil 2021, que aconteceu entre os dias 28 e 29 de setembro, Flavio Aggio, Chief Information Security Officer (CISO) da Organização Mundial da Saúde, trouxe a debate questões relacionadas ao fator humano no setor de cibersegurança e usou como exemplo as medidas empregadas pela OMS durante a pandemia.
Segundo Aggio, o que precisa mudar é o sistema operacional humano e não a maneira de pensar sobre tecnologias. “O que a gente faz é investir muito em tecnologia, mas esquecemos que quem a escreve são os humanos. Acredito que na segurança cibernética, as pessoas são os elos mais fortes e os mais fracos. Se você não conhece todos os riscos cibernéticos, deve conhecer e, se conhece, precisa administrá-los no nível apropriado”, comenta.
Para clarificar, o especialista fez uso das ações adotadas pela OMS durante a pandemia. De acordo com as informações, foram efetuadas auditorias externas e internas, que classificaram a cibersegurança como risco principal da organização. Aggio afirmou que esta ação foi fundamental para ajudar a organização a estar em conformidade com o setor em todas as atividades.
Posteriormente, o CISO compartilhou com os participantes o Modelo do Queijo Suiço, na qual os buracos do queijo representam as vulnerabilidades de um sistema e as fatias simbolizam as barreiras. Aggio, que recomenda a autenticação multifatorial, afirmou que o recurso foi um dos componentes mais importantes durante a pandemia. “A segunda camada é integrada ao centro de cooperação de segurança e gerenciamento de vulnerabilidades e a terceira é a inteligência contra ameaças, que procura por riscos que afetam a organização”.
Em conformidade com o especialista, 30 dias após adotar o modelo, a OMS conseguiu reduzir o número de falsificações de identidade em 70%. “Muitos malfeitores estavam se passando pela OMS em e-mails, assim que habilitamos a técnica, eliminamos aproximadamente 50 milhões de mensagens falsas”, conta.
Aggio aproveitou o evento para recomendar 8 passos para as companhias aperfeiçoarem as defesas, sendo eles:
-
Entender os riscos do ponto de vista do negócio;
-
Mudar o comportamento digital por meio de senhas únicas, longas e autenticação multifatorial;
-
Reconhecer o potencial conflito de interesses entre TI e segurança cibernética;
-
Mitigar vulnerabilidades de soluções e processos de TI;
-
Fazer atualizações de software continuamente;
-
Investir na redução do tempo para detecção e resposta ao hack;
-
Dispor de blue team e red team;
-
Implementar e manter iniciativas de conscientização sobre segurança cibernética.
O especialista terminou sua participação no Cyber Security Summit Brasil 2021 enfatizando que as empresas necessitam rever a segurança cibernética da perspectiva da ameaça e, com base nos riscos que a companhia está disposta a assumir, determinar quais ações podem ser adotadas.
