No início deste ano, OPSWAT notificada por um dos nossos fornecedores externos de serviços de comunicação sobre um incidente de segurança da parte deles que tinha o potencial de expor informações de contacto comerciais limitadas associadas ao nosso cliente. A notificação foi enviada diretamente pelo fornecedor e foi seguida de uma coordenação ativa entre a equipa deles e a nossa.
Não havia indícios de atividade maliciosa nos OPSWAT , nem provas de fuga de dados do nosso cliente, nem qualquer ameaça em curso no momento em que fomos notificados. Ainda assim, tratámos a situação com a seriedade que merecia.
Na qualidade de CISO, incidentes como este vêm reforçar várias realidades que são fáceis de discutir em teoria, mas muito mais difíceis de gerir na prática.
Em primeiro lugar, o risco de terceiros já não é uma preocupação secundária. As empresas modernas estão profundamente interligadas. As plataformas de identidade, as integrações SaaS e os sistemas de interação com o cliente criam valor empresarial real, mas também aumentam a superfície de exposição quando algo corre mal fora do seu controlo direto. Mesmo quando a sua própria postura de segurança se mantém sólida, o impacto pode ainda assim atingir a sua organização.
Em segundo lugar, a transparência dentro da empresa é tão importante quanto a contenção. Assim que tivemos clareza quanto ao âmbito e ao impacto, optámos por comunicar diretamente com os nossos colaboradores. Não considerámos que se tratasse de uma ameaça iminente, mas sabíamos que as pessoas tomam melhores decisões quando estão bem informadas. Em vez de gerar incerteza através do silêncio, decidimos construir confiança através da comunicação.
Em terceiro lugar, a qualidade da resposta define-se pela preparação, não pelo pânico. As nossas equipas de segurança, TI e aplicações empresariais conseguiram agir rapidamente porque as funções, os procedimentos de escalonamento e os processos de tratamento de provas já estavam estabelecidos. Os registos foram preservados. As vias de acesso foram analisadas. A informação sobre ameaças foi utilizada para identificar riscos secundários. Essa disciplina foi construída com antecedência, antes mesmo de o incidente ocorrer, precisamente porque sabíamos que a disciplina não surge durante um incidente sem um trabalho de base prévio.
Por fim, incidentes como este são frequentemente seguidos de tentativas de phishing ou de engenharia social. Mesmo quando os sistemas permanecem seguros, as pessoas podem continuar a ser alvo de ataques. Reforçar a vigilância, verificar pedidos inesperados e comunicar atividades suspeitas continuam a ser algumas das defesas mais eficazes de que dispomos.
Apresento esta perspetiva para sublinhar um princípio mais abrangente, em vez de destacar um incidente específico relacionado com um fornecedor. A cibersegurança vai além da prevenção de violações; envolve também a forma como uma organização responde a incidentes que afetam o seu ambiente, a clareza da sua comunicação e o reforço contínuo da confiança entre as partes interessadas.
Na OPSWAT, continuaremos a encarar a segurança como uma responsabilidade operacional, e não como uma função secundária. Isso significa exigir de nós próprios e dos nossos parceiros padrões elevados, comunicar abertamente quando for necessário e manter os pés no chão, sabendo que a resiliência se constrói através da preparação e das pessoas, e não da perfeição.
- Mike Barker
Diretor de Segurança da Informação (CISO) e Diretor de Operações (COO), OPSWAT
