Andre Pitkowski

Os Domínios da Gestão de Riscos

Pode parecer obvio o desejo de qualquer empresa em desenvolver sua estrutura de gerenciamento de riscos, porem, como diz Galvão Bueno enquanto narra corridas de Formula 1, chegar é uma coisa, passar é outra. Completar este processo com sucesso requer a execução de uma grande quantidade de tarefas detalhadas e complicadas. Enquanto as necessidades de confidencialidade, integridade e disponibilidade (segurança) são determinadas pelas áreas de negocio, há que se considerar também pessoas, processos e tecnologia para o sucesso desta empreitada.

Sem pessoas não dá!

Para os CISOs (Chief Information Security Officers) e suas empresas, os funcionários podem ser os ativos mais importantes ou de maior responsabilidade quando se fala em gerenciar riscos de TI. O ideal é que os CISOs trabalhem junto aos funcionários para desenvolver uma cultura de segurança da informação contemplando a estrutura de três pilares:

  • Gestão de Acessos e Gestão de Identidades: Definir funções para diferentes usuários no ambiente de trabalho, desde assistentes administrativos até o executivo chefe de finanças, e especificar privilégios de acesso físicos e lógicos para todos os funcionários. Uma vez que estas regras estejam definidas, garantir que todos possuam os acessos apropriados, de acordo com suas funções.
  • Organização da Segurança da Informação: A idéia é tornar todos responsáveis pela segurança da informação. Os CISOs bem sucedidos entendem que a empresa necessita considerar muito mais do que simplesmente atacar apenas os problemas de segurança em TI. Devem também gerenciar os riscos inerentes à proteção da informação corporativa em todas as suas formas.
  • Treinamento e conscientização: Desenvolver a imagem e o plano de marketing para a segurança da informação. Os funcionários que não atuam diretamente com segurança e privacidade de dados não tem idéia do que seja gestão de riscos da informação. E é função do CISO mantê-los informados e interessados no assunto segurança da informação.

Controle sobre a tecnologia cria eficiência e economiza tempo

Seres humanos são muito mais espertos do que computadores, mas computadores são muito melhores em executar tarefas repetitivas e que consomem tempo. Assim sendo, tarefas de monitoração, garantia de execução, respostas, métricas e reportes sobre controles de segurança da informação são os candidatos primários para automação (ou automatização), mas somente depois que todos os funcionários foram treinados e os processos foram especificados e detalhados. Se as pessoas e os elementos de processos forem negligenciados, todo trabalho será inevitavelmente perdido. Podemos dividir a área de Tecnologia em sete domínios de riscos.

  • Rede: Use a tecnologia para tornar sua rede inteligente. Segurança de rede significa manter a informação segura contra aqueles de fora da empresa, protegida contra acesso não autorizado daqueles de dentro da empresa e também segura enquanto em transito.
  • Banco de Dados: Criptografar os dados, preferencialmente de forma corporativa fazendo uso de uma ferramenta de gestão centralizada. Mantenha controle sobre os bancos de dados com monitoramento ativo, gestão de vulnerabilidade e segurança de dados quando em transito.
  • Aplicativos: Definir estratégias corporativas para proteger sistemas aplicativos. Tal como a proteção de um banco de dados, mantenha autenticação de acesso aos dispositivos de armazenamento e criptografe os dados contidos nestes dispositivos quando apropriado.
  • Dispositivos: Primeira linha de defesa. Proteção para as estações de trabalho, notebooks e dispositivos moveis como PDAs e SmartPhones. Normalmente são estes dispositivos que, por falha ou negligencia de atualização, são os primeiros a serem infectados e introduzem pedaços de códigos danosos (malware) no ambiente corporativo. Existem tecnologias de antivírus, antispam, criptografia de disco, gestão de configuração, firewall/IPS e fatores de autenticação para proteger estes elos mais fracos da corrente de trabalho.
  • Infraestrutura: Reduza sua superfície de ataque. 69% de todas as vulnerabilidades documentadas em 2006 referiam-se a aplicações baseadas em Web. Para reduzir a superfície de ataque use ferramentas com tecnologia para analise de código e instale um firewall especifico para servidores Web, de forma a defender seu aplicativo de requests inapropriados.
  • Conteúdo: Proteção para a troca de informações de negocio. O CISO deve garantir que toda informação sensível ao negocio está criptografada e que todo trafego de entrada e saída, Web, e-mail e IMs esta sendo filtrado de acordo (em conformidade = compliance) com as políticas corporativas.
  • Criptografia de dados: Simplesmente ou meramente criptografar dados não oferece proteção adequada. É necessária a elaboração e implementação de uma estratégia corporativa com critérios estritos de autorização de acesso para manter os dados seguros e a salvo de acessos não autorizados, desde os dados armazenados até os dados em transito.

Processos é a cola que une Pessoas e Tecnologia

Até a melhor estrutura de gerenciamento de riscos torna-se inútil se não existirem processos por detrás das políticas. Para manter a numerologia vamos dividir processos em sete domínios:

  • Gestão de Riscos: Significa reduzir, transferir ou aceitar os riscos. Introduza processos para identificar, avaliar e mitigar os riscos relacionados à segurança da informação. Depois crie processos para priorizar, monitorar e acompanhar os riscos. Possuir um processo formal de gerenciamento de riscos garante que a gestão do negocio esta consciente de quais são os riscos críticos e assim pode tomar as ações apropriadas para mitigar, reduzir, aceitar ou transferir estes riscos.
  • Estrutura de Políticas e Compliance: Providenciar guias e normas concretas sobre o assunto para os usuários. Produzir políticas de segurança é apenas o primeiro passo. As políticas necessitam ser convertidas em padrões, procedimentos e guias técnicos de implementação.
  • Gerenciamento de ativos de Informação: Muitas empresas têm dificuldade em manter seus ativos de informação porque estes estão suportados por processamento de dados. Para tentar resolver este problema a construção dos processos envolve especificar quem é o proprietário daquela informação, classificar os ativos, gerenciar estes ativos através do seu ciclo de vida e garantir de forma apropriada a retenção e a destruição destes ativos.
  • Continuidade de Negocio e Recuperação de Desastres: A idéia é reduzir substancialmente o impacto das interrupções e desastres de negocio – ou em alguns casos até evitá-los – atuando com rigor nos processos de Continuidade de Negócios e Recuperação de Desastres. O CISO necessita desenvolver um conjunto de processos para manter, treinar e gerenciar os riscos de negocio, garantir que os sistemas estejam redundantes e criar disponibilidade de pessoal se e quando for necessário.
  • Gerenciamento de Ameaças e Incidentes: Novamente, processos bem estabelecidos são essenciais para garantir que todas as ameaças sejam pesquisadas, planejadas e respondidas de forma apropriadas. Muitos CISOs permanecem focados nas ameaças à infraestrutura de TI, a despeito do fato de que a maioria das ameaças tem origem em vulnerabilidades que existem em aplicações.
  • Segurança Física e ambiental: Não importa o quão sofisticada seja sua segurança digital; se os seguranças (Pessoas) que ficam na entrada da empresa ou nas catracas não controlam o acesso ao ambiente físico corporativo de forma consistente, sua empresa nunca estará segura. Pensando adiante, varias empresas estão pensando na convergência da segurança física e lógica, colaborando em processos e pessoal, utilizando diferentes conjuntos de tecnologia para compartilhar informações e melhorar a eficiência geral da segurança. Equipamentos e locais necessitam manutenção regular e controles ambientais adequados, tais como aquecimento, ar condicionado, geradores para manterem a continuidade das operações.
  • Gerenciamento das Operações e Desenvolvimento de Sistemas: Não deixe a segurança chegar a um ponto em que problemas podem ser explicados, mas não justificados. Envolvendo-se com a segurança desde o primeiro dia, a empresa economizara tempo, recursos e dinheiro. Gerenciamento de mudanças, revisões periódicas da arquitetura, garantia de qualidade e controle de acesso para desenvolvimento, homologação e produção garantem que sistemas e aplicações estão adequadamente protegidos.

Abordagem de cima para baixo (top-down)

Segurança é um negocio complicado, então descobrir um meio simples de gerenciar e reportar riscos onde as prioridades de negocio são mandatórias, é a única forma de controlar seu trabalho (CISO) e convencer os gestores do negocio de que este trabalho será realmente efetivo, isto é, produzirá resultados positivos para o negocio. Juntando as pessoas, tecnologia e processos de segurança em políticas, as empresas podem estabelecer uma estrutura que efetivamente monitora, mede e reporta (controles) os riscos tornando a empresa conforme com as políticas de segurança.