Max Havey [00:00:02] Olá e bem-vindos a mais uma edição do podcast Security Visionaries, um podcast sobre o mundo dos dados cibernéticos e da infraestrutura tecnológica, reunindo especialistas de todo o mundo e de vários domínios. Sou o apresentador de hoje, Max Havey, e hoje vamos falar sobre higiene cibernética com nosso convidado, Rich Davis, diretor de marketing de soluções de produtos da Netskope. Como o senhor está indo hoje, Rich?
Rich Davis [00:00:21] Sim. Olá, Max. É ótimo estar aqui. Estou ansioso pela conversa de hoje. Certamente um assunto que me é caro, pois já falei anteriormente, em detalhes, sobre o fator humano e como os seres humanos podem afetar as coisas. E, certamente, o tópico de hoje está muito alinhado com isso.
Max Havey [00:00:36] Sem dúvida. Então, sim, vamos começar aqui. Assim, no início do ano, tendemos a ver muitos dias de conscientização relacionados ao ciberespaço. Coisas como o National Change Your Password Day (Dia Nacional de Mudança de Senha), que será em 1º de fevereiro, ou hoje, quando for lançado, o Safer Internet Day (Dia da Internet Mais Segura). Mas, de acordo com a sua experiência, o senhor descobriu que esses tipos de dias de conscientização são realmente eficazes? Por exemplo, o que o senhor vê como impulsionador da mudança que os profissionais de segurança estão realmente buscando quando se trata de lidar com esse elemento humano?
Rich Davis [00:01:05] Sim, quero dizer, é claro que isso é uma faca de dois gumes. Em primeiro lugar, não podemos deixar de registrar qualquer publicidade. Qualquer publicidade, seja qual for a conscientização, é ótima. Acho que o problema é que, como acontece com todos esses tipos de coisas, isso pode se tornar uma espécie de "ok, vou fazer isso hoje e esquecerei outro dia." E, é claro, isso precisa ser um esforço durante todo o ano, certamente quando se trata de nossos usuários e das pessoas, que são a primeira linha de defesa. Portanto, eles precisam pensar sobre isso e sobre a segurança e o que estão fazendo no dia a dia. Então, novamente, é ótimo que nos concentremos nisso em um dia específico. Isso não é tão bom, pois pode fazer com que o senhor se esqueça do assunto outras vezes. E isso também é visto com frequência nos dados. Se o senhor observar alguns dos dados históricos sobre o comportamento do usuário, verá que, se uma ou duas semanas após o treinamento de conscientização sobre segurança for realizado, o resultado será melhor, as taxas de cliques no conteúdo serão menores. Havia maior probabilidade de fazer essas coisas. Eles se lembram de coisas como alertas de DLP que também caem, mas depois desaparecem. E, sim, é por isso que esse tipo de coisa é bastante eficaz. Sim. As organizações realmente precisam pensar que essa é uma evolução constante. Dia após dia, semana após semana.
Max Havey [00:02:16] Sem dúvida. A meia-vida do treinamento em segurança é muito baixa, com base em tudo o que já ouvi de nossos vários membros da equipe de CSO aqui. Portanto, é muito bom encontrar maneiras de manter a consciência durante todo o ano. Mas, em um único dia, parece ser um pouco ineficaz em geral.
Rich Davis [00:02:32] Sim, sim, com certeza. E acho que esses dias de internet mais segura e de mudança de senha deveriam ser, de certa forma, resignados àquele lixo de antigamente. E, na verdade, deveríamos estar pensando nisso, o senhor sabe, de forma muito mais holística.
Max Havey [00:02:47] Definitivamente, é mais uma conversa sobre higiene cibernética durante todo o ano, em vez de, o senhor sabe, apenas dias isolados em que eles são bem intencionados. Mas os resultados nem sempre são exatamente os que desejamos.
Rich Davis [00:02:56] Deveríamos chamá-la de vida mais segura na Internet. O senhor é mesmo?
Max Havey [00:02:59] Com certeza. E acho que isso nos leva à nossa primeira grande questão aqui, que é pensar na higiene cibernética. Por que o senhor acha que a higiene cibernética pode ser uma tarefa difícil, às vezes tediosa, para as organizações assumirem e tornarem um objetivo anual?
Rich Davis [00:03:12] Sim, acho que parte disso é um aspecto histórico. Então, todos nós já passamos por isso, todos nós já recebemos aquele e-mail que tememos, e é o tempo anual que falta para o treinamento e o senhor pensa: "Ah, são oito horas, não tenho tempo para isso". E automaticamente temos essa opinião negativa. E acho que, como indivíduos, também temos essa sensação inerente de que não precisamos fazer isso, que sim, temos bom senso, sabemos o que estamos fazendo. Portanto, acho que isso tem um papel importante. E acho que isso é parte do problema. Também acho que, com muita frequência, isso é orientado pelos benefícios para a organização e não pelos benefícios para o indivíduo. E acho que há muito, e já vimos isso ser realmente bem-sucedido, quando o foco é o indivíduo em suas famílias. Se o senhor puder estender isso para, sabe, como manter o senhor e sua família seguros. Então, as organizações, creio eu, têm mais impacto porque o senhor as torna relevantes para aquele indivíduo.
Max Havey [00:04:01] Sem dúvida, apelar para o lado pessoal do usuário parece ser a maneira de torná-lo real para ele. E não se trata apenas, o senhor sabe, de falar sobre dados amplos, abstratos e confidenciais. É o número do seu Seguro Social. É preciso garantir que suas senhas estejam seguras e que suas informações bancárias estejam seguras, pois são informações pessoais e identificáveis por um motivo. Nessa mesma linha, em suas funções, como o senhor encontrou maneiras de promover melhores práticas de higiene cibernética em sua organização? Talvez enfatizar melhor esse tipo de elemento pessoal que faz parte de tudo isso?
Rich Davis [00:04:30] Sim. E acho que isso se resume a algumas coisas. Em primeiro lugar, como o senhor está elaborando esse treinamento. E sim, estamos focados, o senhor sabe, especificamente em identidade e senhas até certo ponto, mas é claro que é muito mais amplo do que isso. Acho que se trata disso, como o senhor diz, de tornar a coisa pessoal. E isso significa dar exemplos da vida real que podem acontecer com os senhores, tanto no sentido comercial, quanto no sentido pessoal. Portanto, relacione o roubo de seus próprios cartões de crédito pessoais ao roubo de PIA ou propriedade intelectual da empresa. E o efeito que isso pode ter. Porque, mais uma vez, o senhor o torna pessoal, real e vinculável ao que eles pensam no dia a dia e com o que eles podem se preocupar pessoalmente. Acho que se pensarmos nisso em termos do outro lado, que é o tempo. E, quando fazemos isso, acho que se trata realmente de uma alimentação gradual ao longo do ano. Acho que as organizações só podem dedicar um determinado tempo para treinar seus usuários em um ano, e muitas organizações vão para "Okay. Certo. Oito horas. Vamos fazer isso com o senhor nesta data." E, na verdade, uma maneira muito mais eficaz é separar isso. Sim, o senhor pode ter, por motivos de conformidade, a necessidade de fazer determinado treinamento anualmente, porque precisa atender a esses requisitos, mas fora disso, o tempo é muito melhor aproveitado. O objetivo é alimentá-lo gradualmente e ter esse treinamento na hora certa, mas também torná-lo relevante para as situações que a empresa está enfrentando. Se o senhor puder, de fato, informar o usuário, o seu pessoal sobre os tipos de ameaças que são relevantes para a sua organização, em vez de torná-lo muito genérico. Por outro lado, ele fornece ao senhor esse vínculo com a organização. Eles podem entender por que estão sendo solicitados a fazer determinado treinamento. Portanto, o senhor obterá uma resposta geral melhor a esse treinamento. E já vi isso em primeira mão na minha vida passada, trabalhando com organizações e tentando acompanhar as mudanças de comportamento, passando desse tipo de programa de treinamento que ocorre uma vez por ano para um programa de treinamento muito mais direcionado, que se estende ao longo do ano, no qual o conteúdo é alimentado por gotejamento, e o treinamento é muito, muito mais amplo do que apenas aquele e-learning que ocorre uma vez por ano nesse portal.
Max Havey [00:06:44] Sem dúvida. E só para aprofundar um pouco mais, como o senhor falou, sabe, encontrar maneiras de tornar esses tipos de treinamentos relevantes para o usuário específico em sua família, em sua vida diária. Bem, o senhor pode nos dar alguns exemplos de como isso se parece e como isso acontece?
Rich Davis [00:07:00] Sim. Vou dar ao senhor um exemplo relevante para mim. Tenho filhos que acabaram de se tornar adolescentes e que, pela primeira vez, começaram a ter controle de suas próprias contas bancárias. Passamos de cuidar deles mesmos a dar-lhes acesso a aplicativos em seus telefones e a poder usar o Apple Pay. Portanto, isso é pessoal para mim diretamente, mas o foco é: bem, como o senhor protege isso? O senhor não quer que seu dinheiro suado, que pode ter sido ganho em tarefas domésticas, desapareça da noite para o dia porque o senhor foi descuidado com suas informações. Portanto, o senhor sabe, desde pequenos, começamos a conversar com eles sobre como se manterem seguros. Ambos têm gerenciadores de senhas nos quais podem armazenar suas principais credenciais. Falei sobre o motivo pelo qual isso é necessário e tentei torná-lo relevante para a situação em que o senhor se encontra. Portanto, acho que esse é apenas um ótimo exemplo de como o senhor pode tentar tornar isso relevante. Portanto, eles agora usam gerenciadores de senhas diariamente. Isso significa que eles têm apenas uma credencial da qual precisam se lembrar. Pode ser complexo porque há apenas uma coisa a ser lembrada. E isso acontece com uma criança de 13 e 15 anos. Portanto, se eles conseguem fazer isso, o senhor sabe, não há razão para que todas as pessoas, do ponto de vista comercial, não possam fazer a mesma coisa. Minha filha agora me encaminha, dá uma olhada e diz: "Ah, pai, olha como essa é óbvia". E, o senhor sabe, é um ótimo exemplo de como podemos realmente ver, sabe, o benefício do que estamos fazendo. Acho que outro ótimo exemplo é torná-lo relevante para o que as pessoas entendem no dia a dia. Portanto, se o senhor olhar para o YouTube, verá que houve uma enorme série de hacks em canais muito conhecidos do YouTube, incluindo alguns dos maiores canais de tecnologia e segurança do mercado. Linus Tech tTips. Um dos maiores tipos de dicas que muitas pessoas observam nessa área. Eles tiveram sua conta do YouTube comprometida e são pessoas que adotam as melhores práticas de segurança, usam gerenciadores de senhas, usam 2FA, mas ainda há uma maneira de contornar isso. E é aí que o elemento humano, mais uma vez, tem que entrar, pois não se trata apenas de proteger e impedir que as pessoas obtenham acesso, mas de detectar e informar essa organização muito rapidamente. E, nesse caso específico, alguém observou um comportamento incomum. E, em vez de tentar encobrir e pensar que fizeram algo errado, eles entraram em contato com alguém da organização imediatamente e puderam lidar com o problema muito, muito mais rapidamente. E, mais uma vez, isso entra no campo de, bem, qual é a exposição do senhor? Mesmo que alguém tenha conseguido violar uma organização, que outras ferramentas o senhor tem à disposição? Porque não se trata apenas de autenticação. E, certamente, quando falamos com os usuários, não se trata apenas do aspecto da identidade. São outras coisas que eles podem fazer para garantir a proteção das informações.
Max Havey [00:09:50] Sem dúvida. E para clicar duas vezes no que o senhor acabou de mostrar. Como a autenticação multifator e os princípios de confiança zero, outro termo que costumamos usar muito neste programa e amplamente no mundo em conversas sobre segurança cibernética. Como esses tipos de coisas se encaixam nisso como ferramentas que as organizações podem usar para ajudar a promover melhor a higiene cibernética e manter essa conversa em andamento?
Rich Davis [00:10:12] Sim, tem havido muita movimentação para a autenticação multifator, e muitas organizações estão usando isso agora. Eles também estão usando o gerenciamento de acesso privilegiado para adotar uma abordagem ainda mais profunda para grande parte desse acesso privilegiado. Acho que a questão é que sempre há uma maneira de contornar, embora haja um ser humano envolvido, sempre há uma maneira de contornar a possibilidade de roubar tokens multifator, fazendo com que o usuário os insira em páginas de credenciais falsas e faça login imediatamente. E então eles podem, é claro, criar seu próprio MFA. Muitas dessas técnicas também podem ser contornadas de outra forma. Portanto, não é tão simples como colocar todas essas práticas recomendadas. As organizações realmente precisam pensar no conceito de, bem, como posso evitar a perda de dados caso o pior aconteça? Vou presumir que, em algum momento, um dos meus usuários terá suas credenciais roubadas. Alguém vai conseguir acesso. Tenho que limitar esse raio de perda. Tenho que limitar essa superfície de ataque. E é aí que coisas como os princípios de confiança zero entram em ação. Porque se o senhor estiver pensando em um usuário que trabalha diariamente, em um mundo ideal, ele deve ter apenas a menor ansiedade necessária para fazer seu trabalho e nada mais. Portanto, se o trabalho deles é entrar em uma plataforma financeira e fazer a entrada de dados. Então, eles devem ter acesso apenas a esse aplicativo. O senhor deve ter regras para definir como e quando eles podem acessar. Mas o mais importante é que há uma série de ações que eles podem realizar. Não há necessidade de obter relatórios. Não é necessário que eles consigam extrair dados e enviá-los para serviços públicos de compartilhamento de arquivos etc., o que, obviamente, é exatamente o que esse ataque conseguirá quando estiver tentando roubá-los, tentar extrair informações e tentar usar serviços remotos para exfiltrar esses dados. E é aí que entra todo esse conceito de realmente ter uma confiança adaptável, não gosto do termo confiança zero. Ele se baseia em bons princípios, mas é realmente uma confiança adaptativa contínua. Trata-se de analisar a situação atual, analisar as ações, analisar vários critérios diferentes, incluindo a autenticação do usuário, a localização do usuário, as ações do usuário, as ações históricas e as ações atuais para tomar essa decisão. Isso deve ou não deve ocorrer. E, portanto, usando esse tipo de abordagem, o senhor pode limitar sua superfície de ataque caso o pior aconteça. O senhor também pode usar esses tipos de políticas para acionar alertas quando as organizações começarem a perceber uma diferença no comportamento. Por exemplo, a análise comportamental da entidade do usuário (UEBA) é uma ótima ferramenta, e uma ferramenta ainda melhor quando está profundamente incorporada a vários outros elementos de política para conduzir esse tipo de processo de alerta e resposta a incidentes.
Max Havey [00:12:55] Sem dúvida. E acho que o grau de alertar os usuários quando eles estão fazendo algo arriscado e detectar esse tipo de coisa, esse tipo de proteção de dados é fundamental. Há algum tempo, Steve Riley, da nossa equipe de CSO, escreveu uma série de artigos falando sobre aplicativos SAS com vazamentos que as pessoas estão usando, sejam eles, você sabe, webmail ou buckets do Amazon S3 ou blobs do Azure, como não ter as permissões adequadas configuradas para esses diferentes serviços que as pessoas usam no dia a dia, certificando-se de que estão mantendo as coisas relativamente bloqueadas e não expondo acidentalmente os dados porque não percebem que deixaram isso aberto para qualquer pessoa na Internet que tenha esse link. Qualquer um que force sua entrada ou tenha encontrado uma maneira de entrar em tudo isso. É muito fácil configurar algo de forma errada e nem mesmo perceber o que o senhor fez.
Rich Davis [00:13:45] Sim, e se observarmos muitos dos incidentes que tivemos nos últimos dois anos, é que foram organizações que não tiveram necessariamente uma conta comprometida e acesso dessa forma, mas apenas dados que estavam no local errado e aos quais alguém teve acesso que não deveria ter. Seja ele público ou de alguém de sua organização que tenha acesso a um conteúdo que talvez não devesse ter e, em seguida, o coloca em um local onde não deveria colocá-lo, pois não deveria ter acesso a ele em primeiro lugar, e depois ele é transferido para um local que não deveria. E esse é, obviamente, o outro aspecto do fator humano, que é treinar e ajudar nossos usuários a entender a melhor maneira de usar os sistemas e onde eles devem e não devem colocar os dados. É claro que isso leva a um tópico totalmente diferente, sobre o qual poderíamos falar o dia inteiro, sobre usuários e se estamos ou não facilitando o trabalho deles. O senhor sabe, as pessoas usam ferramentas porque é fácil, certo? Porque é fácil fazer as coisas. E esse é um tópico completo sobre a implementação de soluções e metodologias de acesso que facilitam o trabalho do usuário. Se o senhor puder colocar esses mecanismos, facilitará o trabalho do usuário, mas ainda assim ficará dentro dos limites do que a empresa permite e dos controles de segurança existentes. Eles não seguirão esses outros caminhos para tentar contornar essas ferramentas. Então, novamente, poderíamos falar sobre esse tópico por horas e horas, mas ele está muito ligado a toda essa filosofia de autenticação, que é apenas um aspecto de todo esse conceito de confiança adaptativa contínua.
Max Havey [00:15:14] Bem, e isso introduz especificamente uma espécie de círculo completo aqui, onde, o senhor sabe, um dia de mudança de senha é uma boa desculpa para as pessoas mudarem a senha, mas muitas pessoas vão receber essa notificação de mudança de senha e vão adiar para o dia seguinte e para o dia seguinte e para o dia seguinte, e então não vão mudar a senha até que seja absolutamente necessário. Assim, isso se torna uma espécie de frustração para alguns usuários. E acho que essa é uma maneira interessante de reunir tudo isso, pois ter esse tipo de prática de higiene cibernética durante todo o ano, mantendo essas coisas em andamento, não vai resolver todos os problemas, mas manter essa conversa sempre ativa, sempre em andamento com sua organização, significa que o senhor não tem apenas esses dias. O senhor sabe, eu só penso em segurança cibernética um dia por ano, quando definitivamente tenho que mudar minhas senhas.
Rich Davis [00:15:59] E, é claro, a única coisa que não queremos que eles façam é mudar a senha para algo que seja fácil de lembrar, que esteja bem no final do livro. Ou inclua uma planilha do Excel. Essa é a outra desvantagem de mudar as senhas, certo? E exigir senhas em vários sistemas. Então, sim, é por isso que eu defendo muito um gerenciador de senhas. O senhor tem uma senha complexa e importante que pode ser lembrada. O senhor faz o rodízio regularmente. E, é claro, também alternamos as senhas porque é uma boa prática, pois isso bloqueia alguém. Portanto, se alguém tiver acesso, a conta será bloqueada. E esse é um dos principais motivos pelos quais fazemos isso. Mas, em última análise, tudo se resume a esse usuário. Temos que facilitar as coisas para os usuários. Temos que explicar às pessoas por que isso é tão importante e temos que implementar ferramentas que realmente as ajudem a tomar uma boa decisão e a não recorrer a essas práticas ruins.
Max Havey [00:16:54] Com certeza. E meio que nos leva ao final de nossas perguntas aqui. Rich, se o senhor tivesse que dar um tipo de conselho para os profissionais de segurança no que se refere à higiene cibernética e, sabe, facilitar e melhorar esses processos de modo geral para que seja uma conversa ao longo do ano, qual seria esse conselho?
Rich Davis [00:17:10] Bem, conversei com muitos líderes além da parte de segurança da organização. E onde eu vejo as organizações com a melhor abordagem é quando isso se torna uma iniciativa de negócios. Muitas pessoas veem isso como uma iniciativa de segurança, mas essa é uma iniciativa de negócios. Portanto, conseguir a adesão dos executivos, obter patrocínio, ter um CEO que faça uma pequena introdução em vídeo sobre a importância disso, fazer com que os líderes de negócios se apropriem de suas próprias ferramentas e ajudem a disseminá-las para seus funcionários é fundamental para que isso aconteça. Portanto, meu conselho aqui é que, se o senhor ainda não estiver fazendo isso, considere como pode passar de uma iniciativa de segurança para uma iniciativa de negócios mais ampla e abrangente.
Max Havey [00:17:55] Com certeza. A coisa que atrairá mais olhares para isso, que envolverá mais pessoas nisso. Assim, isso não se torna uma questão mais ampla. Ninguém quer acabar nas manchetes por causa de uma violação ou qualquer outra coisa como resultado de um problema de segurança cibernética. Portanto, é para o bem de toda a organização para a qual o senhor está trabalhando fazer esse esforço.
Rich Davis [00:18:11] Sim, 100%.
Max Havey [00:18:12] Excelente. Bem, Rich, imagino que o senhor e eu poderíamos continuar falando sobre isso por mais ou menos uma hora, mas acho que estamos chegando ao fim do prazo. Então, muito obrigado pelo senhor ter se juntado a nós. Essa palestra foi excelente, e o senhor teve muitos insights excelentes para oferecer aqui.
Rich Davis [00:18:24] Max, só tenho a dizer que foi um prazer me juntar ao senhor hoje. Espero que alguns de nossos ouvintes tenham pelo menos, sabe, uma ou duas dicas, uma ou duas coisas que possam tirar do podcast de hoje e levar para suas organizações.
Max Havey [00:18:37] Excelente. E os senhores estão ouvindo o podcast Security Visionaries, e eu fui o apresentador, Max Havey, se gostaram deste episódio, compartilhem-no com um amigo e assinem o Security Visionaries na plataforma de podcast de sua preferência. Lá, o senhor pode ouvir nosso catálogo de episódios anteriores e ficar de olho nos novos que serão lançados a cada duas semanas, apresentados por mim ou pela minha co-apresentadora, a maravilhosa Emily Wearmouth. O senhor será visto no próximo episódio.
Por que Netskope 
){kind=icon}
