Começo esse artigo, com essa pergunta!
Eu já venho pensando sobre esse assunto a alguns anos e sinceramente não tem uma resposta pronta. Talvez a reposta seja o mercado dos fabricantes, a demanda urgente dos clientes, a dificuldade de entendimento sobre o conceito de segurança da informação aliado a dificuldade de defesa de projetos de segurança da Informação, enfim acredito que possa ser a soma de vários fatores.
Agora quem está lendo esse artigo irá se perguntar: Ok Bruno, como poderíamos endereçar essa dificuldade?
Vejo em dois pontos cruciais. Primeiramente, entenda o negócio da sua organização e como a área de segurança da informação pode apoiar, suportar e diferenciar o negócio da mesma. Segundo ponto: faça a adoção de um framework de segurança suportado pela diretoria.
Segurança além das caixas
Quando falamos em segurança da informação logo pensamos em firewall, antivírus, proxy e um monte de soluções. Elas são importantes? Sim, muito importantes, porém o mais importante é você ter uma estratégia definida.
Sem uma estratégia por parte da organização, suportada por uma diretoria, essas soluções serão um acumulado de ferramentas que irão gerar um montante absurdo de informações, sendo necessárias uma elevada quantidade de horas e pessoas gerenciando tais ferramentas. Além disso, podemos também ressaltar o fato da área de segurança ter a dificuldade de defender tais ferramentas nas reuniões de diretoria e ter o know-how para gerencia-las seguindo as melhores práticas.
Não questiono soluções nem fabricantes, acredito que eles são fundamentais nesses processos e muitas vezes fornecem soluções de acordo com a solicitação e necessidade do cliente, porém pergunto aos profissionais de segurança:
- Qual framework de segurança você utiliza e segue na sua organização?
- A diretoria conhece e suporta esse framework?
Irei detalhar um pouco mais sobre frameworks de segurança nos próximos tópicos.
Atualmente existem diversos frameworks de segurança, porém, irei me ater especificamente ao framework de CyberSecurity do NIST nesse artigo.
O que seria o NIST?
NIST é um acrônimo de National Institue of Standard and Technology. O NIST desenvolveu um framework que consiste em padrões, guias e melhores práticas de gerenciamento de cyber segurança relacionada a tratamento de risco. Existem diversos frameworks de Segurança tais como o CIS (Critical Security Controls), PCI DSS entre outros. Voltando ao NIST, esse framework tem estabelecido 5 grandes passos junto ao tratamento de risco: Identificar, proteger, detectar, responder e recuperar.
O passo a passo
Detalhando melhor esse framework, vemos que no primeiro passo de gestão de risco é a identificação, nesse passo temos a primeira subcategoria que é a ID.AM-1 no qual se refere ao inventario de dispositivos e sistemas dentro da organização no qual esse item, também é referenciado no CIS Controls também como um controle básico. Logo de acordo com o NIST e o CIS, esse seria o primeiro controle a serem considerados por todas as organizações, correto?
Sim, seguindo ambos os frameworks, não podemos proteger algo que não identificamos e isso também se refere as vulnerabilidades, dados entre outros itens que irei detalhar no parágrafo abaixo através de algumas perguntas.
Segue abaixo algumas perguntas para reflexão sobre os pontos mencionados acima:
- Eu consigo proteger com efetividade um ambiente do qual eu não possuo o inventário e conhecimento do parque de hardware e software considerando ativos críticos do negócio e não ativos críticos?
- Eu consigo proteger os dados se eu não sei aonde eles estão armazenados, como eles são manipulados e por quem eles são manipulados?
- Eu consigo proteger uma organização de vulnerabilidades de forma efetiva se eu não sei quais vulnerabilidades o meu ambiente está exposto e vulnerável?
- Eu consigo proteger uma organização de vulnerabilidade se a mesma não possui um processo definido de gestão de vulnerabilidade, acordado e suportado pela diretoria?
- Eu consigo responder um incidente de segurança se eu não possuo um processo de gestão de incidente definido, uma matriz de responsabilidade e uma ferramenta que possa identificar e responder eventos de segurança?
- Eu consigo proteger meu perímetro considerando firewall, proxy, DLP (Data Loss prevention) se eu não tenho estabelecido quais são os limites de redes e quais dados podem sair e entrar na organização?
Faço essas perguntas para que as pessoas reflitam sobre o framework abaixo, entendendo que para seguir de um passo para outro é necessário que controles e processos sejam estabelecidos.
Não é possível ter um processo maduro de controle de acesso e proteção de dados sem um “Risk Assessment’ ou muito menos sem um processo de governança de segurança da informação.
Portando, as soluções são fundamentais e necessárias assim como os processo atrelados a segurança da informação, porém é necessário ter um entendimento sobre frameworks de segurança e como eles podem ajudar as organizações nas tomadas das decisões de forma demonstrar maturidade e evolução sobre os controles mitigatórios.
Conclusão
Uma segurança de endpoint, firewall, proxy, SIEM e outras soluções sempre serão necessárias, porém quando eles veem embarcados por uma estratégia estabelecida e seguida pela organização, essa solução conseguem gerar valor para o negocio e consequentemente tratar o risco de uma forma mais efetiva do que simplesmente comprando uma solução por uma necessidade especifica atrelada a um problema isolado de segurança na organização.
Obviamente esse trabalho é longo e árduo e precisa ser evangelizado por todos os profissionais de segurança dentro e fora das organizações, porém acredito que a medida que a área de segurança se torna cada vez mais relevante para o negócio, a estratégia se faz cada vez mais importante
Para quem já possui um framework tais como CIS, NIST entre outros e trabalha eles dentro das suas respectivas organizações, suas aquisições de soluções e serviços serão mais assertivas e terão mais apoio da diretoria que irão acompanhar essa evolução de forma efetiva e continua.
A todos os profissionais que pudera ler esse artigo, agradeço por terem lido até o final e espero que esse artigo possa ter ajudado de alguma forma.
Fonte: https://www.nist.gov/cyberframework
Fonte: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
[wp-review id=”16321″]