Faça a estruturação da área de Segurança da Informação da empresa em que você trabalha, mesmo que ela já tenha a área estruturada.

Cada empresa tem sua maturidade com relação a Segurança da Informação. Tem empresas que estão começando a estruturar esta área agora (estão super atrasadas!), empresas que já vem trabalhando nisso há algum tempo e empresas que já contam com esse setor bem maduro e fluindo bem com todas as áreas de empresa, dando resultado e protegendo com sucesso a organização.

Fato é que não se ensina por aí como estruturar a área de Segurança da Informação em uma empresa, o que nos leva sempre a atuar em incidentes, primeiro se verifica quais são os incidentes que estão acontecendo ou já aconteceram – atua-se em cima dos mesmos e, em seguida, se analisa o que pode melhorar com base nas demandas internas (seja do time de operações, produto ou desenvolvimento). O problema é que um setor eficiente de Segurança da Informação vai muito além das demandas internas, porque não são todos os profissionais da empresa que tem a visão e conhecimento de identificar possíveis riscos e ameaças do que estão fazendo ou construindo.

Como estruturar a área?

Por mais estranho que possa parecer para aqueles que acham que Segurança da Informação é uma área “mágica”, onde coisas acontecem somente com a aplicação de frameworks, técnicas e procedimentos avançadíssimas, tudo começa pelas bases:

  • Confidencialidade: proteger a confidencialidade é proteger o acesso a informação apenas por quem pode acessá-la, onde somente os entes autorizados pelo proprietário da informação deve ter o poder de acessá-la.
  • Integridade: proteger a integridade é garantir que a informação não será adulterada, se manterá íntegra e com todas as características originais preservadas, aquelas estabelecidas pelo proprietário da informação.
  • Autenticidade: proteger a autenticidade é garantir que a fonte da informação é quem diz ser e de quem espera-se que a informação tenha vindo, garantir que a autoria da informação ou o remetente é realmente autêntico.
  • Disponibilidade: proteger a disponibilidade é garantir que a informação esteja disponível e acessível para seu uso legítimo.

Levando em conta tais premissas, você precisa conhecer o ambiente da empresa, tanto digital quanto físico, mas por hora, focaremos apenas no digital. Entenda, de verdade, como funciona a empresa, com o que ela trabalha, seu setor, tudo o que puder. A partir desse conhecimento, você conseguirá fazer uma modelagem de ameaças bem objetiva, da qual você listará e relatará quais são as potenciais ameaças àquele negócio.

Uma vez conhecendo as ameaças, o próximo passo é mapear exatamente tudo que a empresa tem hoje de ativos, processos e tecnologia. Após mapear todos os ativos, processos e tecnologia (você pode começar focando em uma vertente só, como a da tecnologia, porque geralmente é a demanda mais latente das empresas quando elas procuram por profissionais de segurança – ela por si só já dará um bom trabalho, acredite), você precisará fazer uma modelagem do risco, que será fundamental para se entender quais são os riscos inerentes ao que a empresa optou em fazer quando o assunto é tecnologia (neste primeiro momento, pois deve-se usar a mesma estratégia com processos e ativos também). A modelagem de riscos leva em conta a probabilidade de um problema acontecer versus a criticidade daquele problema (caso aconteça, qual o tamanho do dano?) e tal modelagem também envolve a decisão por parte dos superiores ou mandantes sobre quais ações tomar acerca dos riscos identificados, pois terão situações onde a empresa poderá optar por não mitigar o risco e sim assumi-lo. A matriz de riscos: riscos existentes vs riscos mitigados vs riscos assumidos, fará parte do gerenciamento de riscos da empresa.

Feito isso, a próxima análise é a de vulnerabilidades. Você deve ir atrás de entender todas as vulnerabilidades para cada aspecto das tecnologias e recursos envolvidos. O ideal, neste momento, é começar pelo que é mais crítico, ou seja, em dois lugares específicos. O primeiro deles é onde está o core business da organização (é um site/plataforma? é um aplicativo? é um programa pra computador?) e o segundo é onde estão ou por onde passam os dados mais confidenciais (cofres/vaults, canais de comunicação, máquinas, infraestrutura, etc) e então analisar a estrutura tecnológica envolvida ali para descobrir brechas, vulnerabilidades, falhas e até bugs.

Após concluir todo esse extenso trabalho na vertente de tecnologia, avalie processos e pessoas.

Procure por políticas da empresa, processos regimentados, processos organizacionais, detalhes sobre quem são as pessoas envolvidas nestes processos e envolvidas com a empresa, no geral. Nesses momentos, é importante sentar e conversar diretamente com diversas áreas e pessoas chaves em variados setores da organização. Usualmente, isso inclui diretores, gerentes, supervisores, coordenadores, especialistas, Product Owners (POs), tech leaders (líderes técnicos de tecnologia) e times dedicados. É importante notar que boas práticas de segurança se fazem em absolutamente todas as áreas da empresa e grande parte da maturidade de segurança da empresa deve ser construída não a partir de controles e limitações, mas a partir de cultura. Uma cultura forte de segurança, permeada em diversos setores e “castas” da empresa, é o que mudará totalmente o jogo e a colocará em outro nível.

A importância de se mapear o pessoal da organização é o fato de que muitos dos riscos (para não dizer que é a maioria deles) que a empresa enfrenta, são causados por intervenção humana, seja um ataque de engenharia social (da qual um funcionário pode ter clicado em um link malicioso enquanto usando o computador da empresa ou baixado algo de fonte ilegítima durante o uso da rede corporativa) ou atitudes problemáticas como a divulgação não intencional de dados sigilosos da empresa ou de acesso a sistemas internos, precisamos endereçar o comportamento humano para reduzir as ameaças.

Algumas perguntas que devem ser respondidas são: “como se lida com a concessão de acesso a novos funcionários e o encerramento desses acessos?”, “existe uma política interna para definir que tipos de acessos existem para cada posição e área?”, “como são implementadas mudanças em ambientes de tecnologia? existe algum procedimento padronizado ou aprovação necessária antes da execução de qualquer mudança? existe um procedimento de reversão em caso de problema associado a uma mudança?”, “o time está sendo treinado para lidar com riscos de segurança?”, entre muitas outras, a depender da organização.

Quanto mais sabemos sobre o comportamento das pessoas, mais fácil é tomar as medidas de segurança necessárias para cada contexto.

Depois de trabalhar todas essas vertentes fundamentais para o negócio, depois de anos de trabalho intenso, viria, em um cenário onde não existia alguma exigência anterior latente, a adequação e conformidade com normas e frameworks gerais e específicas.

Nesse contexto, é sempre bastante agregador trabalhar ao lado de especialistas em Direito Digital e especialistas em compliance para se selecionar um padrão da indústria, para ser implementado. Em organizações maduras (que já passaram com sucesso por todas as fases descritas anteriormente), a adequação à normas é muito mais suave, direta e rápida, sem a necessidade de readaptações malucas ou mudanças profundas.

Uma das normas mais famosas e importantes é a família ISO/IEC-27000, que provê requisitos essenciais de boas práticas em Gestão de Segurança da Informação. Esse padrão (em especial a ISO-27002) cobre as melhores práticas para algumas áreas chave para segurança, como avaliação de risco, controle de acesso, gerenciamento de mudanças, segurança física, entre outras. O padrão ISO fornece uma boa referência com a qual você pode comparar suas políticas de segurança e controles de rede. Se você tem uma boa equipe de segurança, pode ser capaz de conduzir a análise de lacunas sozinho. No entanto, mesmo se você tiver uma boa equipe de segurança, é recomendável ter uma pessoa independente – alguém sem nenhuma conexão com a arquitetura de rede – para avaliar seu plano de segurança. Na verdade, alguns padrões de conformidade da indústria (ou seja, HIPAA ou PCI) podem exigir que um consultor externo forneça um conjunto extra de olhos para garantir que as medidas de segurança estejam em conformidade com os regulamentos estaduais e federais. O motivo é simples: um consultor externo, como uma empresa especializada, pode muitas vezes detectar lacunas não encontradas pelas pessoas que trabalham com a rede no dia a dia e ainda dar um grau a mais de segurança, afinal, é um terceiro testando, alguém sem compromisso com o cliente da sua empresa, alguém que não é parcial quanto a qualquer problema de segurança que a empresa possa vir a ter e que não tem seu emprego em jogo nestas situações.

Conclusão

Este tema basicamente não tem fim e é tão extenso que obviamente não caberia tudo aqui, então foquemos no essencial e mais fundamental, que é a mensagem que este artigo visa passar: a estruturação da área de Segurança da Informação em uma empresa passa pela criação de um time forte (com pessoas de diversos níveis e backgrounds diferentes, com diferentes especialidades) e, principalmente, pela criação de um assertivo e estratégico roadmap, de quais atividades são necessárias para que a organização cresça e se mantenha de maneira cada vez mais segura.

Muita gente relaciona temas de Segurança da Informação com limitações, controles excessivos e burocracia. Mas, no mundo real, a verdadeira segurança advém de uma boa estratégia, com ações inteligentes (que nem sempre são limitantes) e focadas em atacar a raiz das questões, pois atacar apenas as consequências e efeitos dos problemas de segurança é como andar em uma esteira, por mais que você esteja andando para frente, não importa quanto tempo passe ou quanto esforço você coloque, nunca sairá do lugar.

Foco em cultura e security awareness (conscientização em segurança) é fundamental para munir as pessoas envolvidas do conhecimento necessário para evitar que sejam vítimas de ataques bem sucedidos. Uma empresa com cultura forte de tecnologia, vai longe em termos de produto e recursos. Uma empresa com cultura forte de segurança, vai muito mais longe e em menos tempo, pois gastará menos tempo e dinheiro em prejuízos associados a ataques hackers.

O ponto da Segurança da Informação não é garantir 100% de segurança, pois isso nada garante (talvez o protocolo BB84, apenas), mas sim ser seguro o suficiente para que não seja interessante visarem a sua empresa ao invés da concorrente…

Autor

  • João Góes

    CEO da Root Security, Professor em Segurança da Informação no Instituto Alpha Lumen e Consultor Internacional em Segurança da Informação com 9 anos de experiência. Formado em Segurança da Informação Aplicada pelo Instituto de Tecnologia de Massachusetts (MIT) e especialista em Criptografia Quântica pelo Instituto de Computação Quântica (IQC). Além disso, é líder do time de CTF 0wnz e apaixonado por dar palestras na área.

    Ver todos os posts

Views: 3354