A segurança das operações evita violações de dados identificando preventivamente ações comprometedoras.
A segurança de operações (OPSEC) é definida como uma estratégia de segurança cibernética para proteger dados confidenciais de terceiros não autorizados.
A OPSEC envolve a análise de operações e sistemas de TI com a intenção de identificar ameaças potenciais e implementar as melhores práticas de segurança relevantes para resolvê-las preventivamente.
Este artigo aborda o significado, o processo e a importância da OPSEC.
O que é segurança operacional (OPSEC)?
Segurança de operações (OPSEC) é uma estratégia de segurança cibernética para proteger dados confidenciais de terceiros não autorizados. Envolve a análise de operações e sistemas de TI visando identificar possíveis ameaças e implementar as melhores práticas de segurança relevantes para resolvê-las preventivamente.
O principal objetivo da OPSEC é proteger dados corporativos confidenciais e sensíveis. Isso é alcançado identificando possíveis brechas de segurança cibernética e mitigando-as por meio de metodologias analíticas e estratégicas. O resultado pretendido é proteger informações confidenciais do acesso de entidades maléficas.
A OPSEC, como conceito, remonta a 1966. Em meio à Guerra do Vietnã, o almirante Ulysses Sharp da Marinha dos EUA formou uma força-tarefa de segurança multidisciplinar para investigar falhas operacionais, principalmente como um adversário poderia obter informações confidenciais sobre operações militares antes que os planos fossem executados.
Chamada de Operação Dragão Púrpura, esta investigação envolveu pessoal do Departamento de Defesa e da Agência de Segurança Nacional. Uma vez concluídas, as recomendações da equipe da Purple Dragon foram codificadas e denominadas ‘Segurança das Operações’.
Posteriormente, a OPSEC passou de uso estritamente militar para encontrar aplicações em outras partes do governo dos EUA e, com o tempo, para empresas privadas para proteger dados de clientes e outros segredos comerciais. Hoje, a OPSEC é uma parte crítica do ecossistema de segurança de dados que incentiva o compartilhamento seguro de dados.
Importância da OPSEC
A segurança das operações é crítica porque leva as empresas a analisar de perto as deficiências em sua postura de segurança e corrigir possíveis vulnerabilidades de uma forma que uma abordagem típica de segurança de dados não faria.
As equipes de TI e segurança podem aproveitar o processo OPSEC para simplificar seus sistemas técnicos e não técnicos, ao mesmo tempo, em que diminuem a pegada de risco cibernético e reforçam a proteção contra-ataques baseados em malware.
A implementação eficaz da OPSEC é vital para os usuários que procuram evitar a exposição não intencional de informações confidenciais ou classificadas. As medidas adequadas de OPSEC permitem que as empresas protejam os dados sobre suas capacidades atuais, empreendimentos futuros e outros detalhes confidenciais de caírem em mãos erradas.
Se esses dados atingirem agentes mal-intencionados, eles poderão usá-los para causar danos em grande escala. Por exemplo, um cibercriminoso suficientemente capaz pode usar credenciais de login de funcionário vazadas para planejar um ataque cibernético de penetração profunda e cometer roubo de identidade, spear phishing ou fraude.
Dividiremos a importância da OPSEC em finalidade, necessidade e ameaças abordadas.
Finalidade da OPSEC
O principal objetivo da OPSEC é permitir que os gerentes de TI vejam suas defesas de segurança cibernética da perspectiva de um estranho mal-intencionado. Essa abordagem permite a identificação proativa de pontos fracos e minimiza a probabilidade de ataques internos, espionagem e outros ataques cibernéticos.
Deixar de executar a OPSEC adequada pode ser um erro caro. Segundo o relatório Custo de violação de dados 2022 da IBM, o custo médio de uma violação de dados nos EUA é de US$ 9,44 milhões, enquanto o custo total médio global de uma violação de dados é de US$ 4,35 milhões.
Além disso, em um nível de endpoint individual, a OPSEC torna os funcionários um alvo mais difícil para crimes como roubo de identidade, phishing baleeiro e outras formas de fraude. O usuário médio se inscreve em vários serviços online, instala aplicativos e escreve comentários nas mídias sociais, o que pode deixar bits de informações pessoais para os invasores reunirem para criar um perfil abrangente. Uma análise OPSEC aprofundada ajuda a amarrar essas pontas soltas e proteger os dados corporativos.
A OPSEC oferece às organizações a confiança de que a segurança de seus dados é robusta e a garantia de que estão protegidas contra-ataques cibernéticos. Em última análise, o objetivo da OPSEC é combater a segurança de dados fraca, que geralmente é responsável pelo roubo ou perda de dados críticos. Tal evento pode levar a uma má experiência do cliente, perda de negócios e danos à reputação de uma empresa.
Necessidade de OPSEC
O objetivo da OPSEC é claro, mas certamente outras soluções de segurança cibernética também podem abordar os mesmos problemas?
Toda empresa que se preze considera a integridade de seu negócio principal e a proteção do cliente inegociável. Embora existam soluções tecnológicas além da segurança das operações para proteger os dados da empresa, a OPSEC reforça o valor e a importância da segurança dos dados adotando uma abordagem mais holística. Uma organização que adota as melhores práticas de OPSEC tem mais chances de entender a importância de investir em proteções de segurança cibernética, em vez de fazê-lo para verificar alguma lista de tarefas ou atender aos requisitos regulatórios mínimos absolutos.
Violações de dados são caras, demoradas e, o mais importante, ruins para os negócios. Forte OPSEC reduz a exposição de risco da empresa a ataques externos e internos e reforça os sistemas de tecnologia da informação. Ao entender a necessidade de OPSEC, as partes interessadas ficam mais motivadas para proteger dados confidenciais, proteger sistemas contra ameaças cibernéticas e focar na continuidade dos negócios. Isso, por sua vez, cultiva a tranquilidade e garante que os dados confidenciais estejam protegidos contra qualquer ameaça.
Principais ameaças abordadas pela OPSEC
Agora que sabemos o propósito e a necessidade da segurança das operações, vamos entender as principais ameaças que o OPSEC aborda.
1. Riscos de terceiros
A maioria das organizações hoje, independentemente do tamanho ou setor, depende de fornecedores terceirizados por vários motivos. Como tal, eles precisam ter certeza de que esses terceiros lidam com os dados aos quais têm acesso com sensibilidade e segurança. Afinal, as violações de dados por parte de um fornecedor terceirizado são geralmente consideradas responsabilidade da organização principal com a qual o consumidor tem um relacionamento. As medidas adequadas de OPSEC podem ajudar a manter o ecossistema do fornecedor seguro para as empresas e seus clientes.
2. Engenharia social
Os ataques de engenharia social ocorrem quando os cibercriminosos manipulam as vítimas para tomarem ou omitam ações específicas, como a divulgação de dados confidenciais ou a desativação das verificações de segurança. Um exemplo típico de engenharia social é o phishing. A OPSEC ajuda as empresas aqui, divulgando a conscientização sobre a detecção e prevenção de tais ataques.
3. Gerenciamento de patches
Os cibercriminosos prosperam explorando as fraquezas sistêmicas, e o gerenciamento de patches é uma área onde as empresas devem se concentrar. A OPSEC orienta constantemente os usuários a atualizar para as versões de software mais recentes para minimizar os riscos.
4. Malware e ransomware
Malware é um código malicioso criado com o propósito explícito de interromper os sistemas da empresa. Ele visa informações confidenciais e dificulta a capacidade de uma empresa fazer negócios. Da mesma forma, o ransomware infecta redes corporativas e torna os sistemas reféns atrás de um acesso pago, geralmente até que um resgate em criptomoeda seja pago. As medidas de OPSEC podem auxiliar os usuários a evitar serem vítimas desses crimes cibernéticos.
5. Vulnerabilidades gerais
Por fim, as medidas OPSEC ajudam os usuários a evitar ataques cibernéticos que visam pontos fracos mais gerais, como infraestrutura de TI desatualizada, redes não seguras, erro humano causado por treinamento e conscientização insuficientes e políticas de segurança inadequadas. Um plano de avaliação de risco cuidadoso usando o processo OPSEC pode ser benéfico para abordar essas questões.
Processo OPSEC
Em poucas palavras, o processo OPSEC é um método para proteção de dados. Ele ajuda as organizações a identificar as informações que requerem proteção, realmente protegê-las e analisar como a falha na proteção dessas informações pode ser usada contra elas. Ele também pode desempenhar um papel na governança de dados corporativos.
Aprenderemos mais sobre o processo OPSEC e algumas práticas recomendadas.
Etapa 1: identificação do ativo de dados
A primeira etapa do OPSEC é a identificação dos ativos de dados e sua classificação com base em vários parâmetros, incluindo sensibilidade e criticidade.
A maioria do pessoal de segurança tem uma ideia pré-existente razoavelmente boa sobre os dados de sua organização e quais partes dos dados são mais confidenciais. Os dados confidenciais geralmente incluem detalhes de contato do cliente, informações de contas bancárias, números de cartão de crédito, demonstrações financeiras, pesquisa de produtos, propriedade intelectual e credenciais de login de funcionários.
Curiosamente, uma boa estratégia de OPSEC é abordar o gerenciamento de riscos como se o analista de ameaças cibernéticas fosse um cibercriminoso. Uma pergunta útil a ser realizada durante a identificação de ativos de dados é: ‘Quais são os dados mais valiosos de nossa empresa?’ O objetivo aqui é identificar as informações que provavelmente serão de maior interesse para os malfeitores e formular hipóteses sobre como eles fariam para obtê-las.
Uma vez identificados os dados críticos, os usuários também podem começar a classificar as informações menos críticas. Não é possível para nenhuma organização proteger ativamente todas as entidades de dados; no entanto, é altamente recomendável criar e manter um inventário atualizado de pelo menos os ativos de dados razoavelmente importantes.
Etapa 2: identificação da ameaça
A segunda etapa da OPSEC é a determinação das ameaças potenciais às classes de ativos identificadas na primeira etapa. Idealmente, essa etapa exige que o pessoal de segurança e outras partes interessadas de todas as equipes se reúnam e façam um brainstorming sobre as ameaças hipotéticas à segurança dos dados.
Um método sugerido é o uso de exercícios de ‘mesa de segurança cibernética’ que incentivam a percepção de ameaças como ‘oportunidades do ponto de vista dos agentes de ameaças’. Naturalmente, esses exercícios teriam que ser conduzidos com foco em OPSEC.
No contexto da segurança cibernética, as ameaças geralmente envolvem ações maliciosas executadas para destruir ou desviar informações críticas. O objetivo mais importante é ganhar dinheiro ilícito ou infligir danos no nível organizacional. Ameaças de segurança comuns incluem ransomware, malware, phishing e até mesmo ameaças internas.
Um exercício de segurança cibernética pode ser aprimorado indo além do ato malicioso e considerando o ator malicioso. Isso ocorre porque, dependendo da posição global da organização e de vários outros fatores, os agentes de ameaças podem ser qualquer pessoa, desde hackers independentes, funcionários descontentes e entidades cibercriminosas organizadas até governos estrangeiros. Esta etapa exige que as partes interessadas criem hipóteses para todos os cenários relevantes em que dados confidenciais são comprometidos.
Nesta fase, o resultado da OPSEC é uma lista abrangente de todos os ativos de dados corporativos e as ameaças potenciais que eles enfrentam. Esses dados devem, idealmente, ser capturados em um catálogo de ameaças de dados ou tipo semelhante de ‘registro de risco’ que pode ser atualizado quando novas ameaças são detectadas.
Etapa 3: identificação da vulnerabilidade
Depois que os ativos e as ameaças que eles enfrentam são capturados, a próxima etapa é a identificação de vulnerabilidades nas medidas de segurança cibernética existentes que os agentes de ameaças podem perceber como uma oportunidade de explorar.
A detecção e identificação de vulnerabilidades normalmente depende de testes de penetração ou software de verificação de vulnerabilidades. Independentemente do método utilizado, o objetivo é a identificação de vulnerabilidades de segurança e sua posterior priorização para correção. A identificação de vulnerabilidades conhecidas também pode ser simplificada com a ajuda de informações de segurança e gerenciamento de eventos (SIEM) ou usando o catálogo de vulnerabilidades e exposições comuns (CVE) ou outro banco de dados de vulnerabilidades.
Uma parte crucial desta etapa é avaliar as soluções e processos tecnológicos já existentes para detectar vulnerabilidades. É importante lembrar que as soluções de segurança vêm com vulnerabilidades, independentemente da marca ou versão; enquanto alguns são, sem dúvida, melhores que outros, nenhum é perfeito. Uma conversa com o provedor de serviços pode ser útil aqui.
Por fim, os usuários devem ter cuidado com explorações de dia zero, vulnerabilidades geralmente não descobertas ou desconhecidas que só podem ser tratadas após a tentativa de exploração.
Etapa 4: análise de risco
Uma vez identificados os ativos de dados, ameaças e vulnerabilidades, o processo de análise de risco pode finalmente começar a sério. O objetivo desta etapa OPSEC é priorizar a mitigação dos incidentes de segurança hipotéticos com base no potencial de interrupção mais significativo.
Com base na avaliação de vulnerabilidade realizada na etapa 3, os usuários devem classificar suas vulnerabilidades conforme a probabilidade de serem exploradas por um cibercriminoso, os danos incorridos no caso de uma exploração bem-sucedida e o dinheiro e outros recursos necessários para lidar com as consequências.
Neste ponto do processo OPSEC, o usuário já teria todos os dados necessários para inserir nesta fórmula:
Ameaça x Vulnerabilidade x Valor dos Dados = Pontuação de Risco
Essa fórmula auxiliará os usuários a analisar o nível de risco associado a cada ativo de dados. O resultado esperado é uma probabilidade razoavelmente precisa de ocorrência de uma ameaça e o impacto teorizado.
Quanto maior a pontuação de risco projetada para um determinado ativo de dados, maior deve ser a alocação de recursos para mitigar o risco. Os usuários também devem comparar o custo da prevenção com o valor dos dados ao priorizar os riscos.
Uma vez concluída a análise de risco, deve ser criado um relatório de análise de risco abrangente. Esse relatório pode descrever o valor, o risco e a vulnerabilidade de cada ativo de dados, juntamente com a probabilidade de ocorrência de incidentes e os controles de segurança recomendados. Este relatório pode auxiliar na tomada de decisões gerenciais sobre políticas, procedimentos e questões orçamentárias.
Etapa 5: mitigação de riscos
A etapa final aqui é a mitigação de riscos. Nesta etapa, os usuários devem implementar contramedidas para minimizar o risco de ameaças. A abordagem ideal para a mitigação de riscos em OPSEC exige as melhores práticas tecnológicas e processuais.
As medidas tecnológicas de OPSEC para mitigação de riscos podem incluir firewalls, criptografia, detecção de ameaças, software antivírus e outras soluções automatizadas de segurança cibernética. Por outro lado, as melhores práticas processuais podem incluir ações como o uso das atualizações mais recentes de hardware e software, treinamento de funcionários em segurança cibernética e implementação de políticas de proteção de dados. A resposta a incidentes é outro fator importante para otimizar a mitigação de riscos, principalmente na criação do plano correto de resposta a incidentes.
A resposta organizacional aos riscos existentes é essencial, assim como fazer o plano certo para responder às ameaças antecipadas à segurança cibernética.
Obviamente, não é viável providenciar a mitigação de todos os riscos de segurança. Os chamados riscos “resíduos” que surgem após a aplicação de todas as medidas de mitigação viáveis são conhecidos como risco residual. As duas principais formas de lidar com os riscos residuais são aceitá-los como estão ou transferi-los para um provedor de serviços de seguros mediante o pagamento de uma taxa.
Práticas recomendadas de OPSEC
A OPSEC é um assunto amplo e várias práticas recomendadas podem ser seguidas pelas organizações para maximizar a segurança operacional. Para complementar as cinco etapas acima, aqui estão as três melhores práticas que qualquer empresa pode seguir para aprimorar sua postura OPSEC e reforçar seu gerenciamento geral de riscos:
1. Gerenciamento de identidade e acesso
As soluções de gerenciamento de identidade e acesso (IAM) permitem que as empresas garantam que apenas usuários autorizados acessem os sistemas da empresa. O IAM serve para impedir o acesso não autorizado, reduzindo assim o risco de violações de dados. É um elemento popular de gerenciamento de risco e merece atenção especial no processo OPSEC.
As soluções IAM podem incluir várias tecnologias específicas e práticas recomendadas de segurança, incluindo o princípio do privilégio mínimo, autenticação multifator, logon único e confiança zero. O IAM oferece vários benefícios para as organizações que o adotam, sendo o principal deles a proteção efetiva dos interesses comerciais, partes interessadas e ativos de dados contra ameaças cibernéticas.
2. Continuidade de negócios e recuperação de desastres
O risco residual ainda é um risco, e mesmo as empresas mais protegidas correm o risco de serem alvo de cibercriminosos ou outras interrupções. Quando ocorre um desastre, as empresas devem estar preparadas para lidar com as consequências de forma eficaz ou sofrer consequências financeiras.
Um plano de continuidade de negócios é uma coleção de planos de contingência que descrevem as medidas que uma organização pode tomar para manter as operações de negócios em execução e os serviços essenciais ativos no caso de um evento inesperado. O objetivo do planejamento de continuidade de negócios é a criação de sistemas de backup resilientes que sobrevivam a uma emergência ou a um evento potencialmente desastroso.
Falando em desastroso, o planejamento de recuperação de desastres é frequentemente negligenciado para um planejamento de continuidade de negócios mais abrangente. No entanto, um plano de recuperação de desastres bem pensado pode auxiliar as empresas a restaurar as operações de forma rápida e segura. Seja um ataque cibernético ou um desastre natural, um plano de recuperação de desastres é útil para os usuários recuperarem o acesso e a funcionalidade de sua infraestrutura de TI.
3. Automação orientada por IA
O mundo corporativo de hoje não pode mais ignorar o poder da inteligência artificial (IA). A IA pode fortalecer a segurança cibernética, onde os humanos têm sido regularmente comprovados como o elo mais fraco.
Não seria exagero dizer que a maioria das tecnologias corporativas funcionariam com segurança se não fossem interrompidas por humanos. E os humanos não cometem apenas erros, eles têm o potencial de agir maliciosamente, o que a IA não realiza a menos que solicitado.
Segundo o relatório Custo de uma violação de dados 2022 da IBM, “para 83% das empresas, não é se uma violação de dados acontecerá, mas quando. Normalmente mais de uma vez. Ao detectar, responder e se recuperar de ameaças, quanto mais rápido melhor. As organizações que usam IA e automação tiveram um ciclo de vida de violação de 74 dias mais curto e economizaram uma média de US$ 3 milhões a mais do que aquelas sem.”
Para reduzir os efeitos do erro humano e da malícia, seria prudente que uma organização conduzisse a adoção da automação baseada em IA. As soluções automatizadas de segurança cibernética podem minimizar a probabilidade de os humanos interromperem os processos críticos da empresa, garantindo assim a segurança das operações.
Conclusão
À medida que as ameaças cibernéticas evoluem e ganham sofisticação, a segurança das operações hoje é mais crucial para as organizações do que nunca. A OPSEC ajuda as organizações a identificar ativos de dados críticos e adotar medidas de proteção adequadas para impedir o acesso não autorizado. A falha na implementação eficaz da OPSEC provavelmente levará a perdas financeiras, danos à reputação e medidas regulatórias punitivas.
Antes de escolher as melhores práticas de OPSEC para sua empresa, as equipes de segurança devem identificar ativos de dados críticos e avaliar possíveis vulnerabilidades e ameaças. Idealmente, essa avaliação considera o tamanho da empresa, o setor e as obrigações regulatórias. Uma vez que esta avaliação é feita, um plano abrangente de OPSEC pode ser criado. Idealmente, esse plano incluiria treinamento de funcionários, medidas para monitorar eventos suspeitos e revisão e atualização regulares das medidas de segurança cibernética.
Com essas etapas fundamentais concluídas, as empresas podem adotar as melhores práticas para aprimorar sua OPSEC, incluindo a implementação de controles de acesso robustos, criptografia de informações confidenciais e auditorias regulares de segurança. Manter-se atualizado sobre as vulnerabilidades e ameaças mais recentes e ajustar as medidas de segurança também é crucial.
Em suma, a OPSEC é vital para a estratégia de segurança cibernética de qualquer empresa. Ao identificar e proteger proativamente ativos de dados críticos, as empresas podem se proteger melhor contra crimes cibernéticos e se concentrar no sucesso de longo prazo e sem complicações.