This post is also available in: Português Español
Uma pergunta recorrente entre gestores de empresas de variados portes e segmentos é se sua empresa está de fato segura contra ameaças digitais. Que tipo de ataques ela suportaria? Quais vulnerabilidades possui? Existem procedimentos que deixam os dados mais expostos? Perguntas do tipo podem ser respondidas através do assessment de segurança. Traduzindo, significa Avaliação de segurança, e é um serviço que basicamente avalia os riscos de segurança da informação em processos e tecnologias que uma empresa utiliza.
Uma parte essencial do assessment de segurança é identificar especificamente ameaças potenciais a sistemas de informação, dispositivos, aplicativos e redes. Uma análise de risco é feita para cada risco identificado, e os controles de segurança são identificados para mitigar ou eliminar essas ameaças.
Dessa maneira, é essencial não apenas para a segurança cibernética, mas também para a conformidade regulatória – que ganhou ainda mais importância com a Lei Geral de Proteção de Dados (LGPD). Outros exemplos são o Ato de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA – EUA) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), que exigem avaliações periódicas de risco de segurança.
Elementos da avaliação de risco
A Publicação Especial 800-53 do Instituto Nacional de Padrões e Tecnologia (NIST), Guia para a realização de avaliações de risco, fornece uma estrutura para o processo de avaliação de risco. Ao contrário das avaliações de vulnerabilidade, as avaliações de risco consideram elementos além de vetores de ataque e ativos vulneráveis. Assim, os modelos de avaliação de risco geralmente envolvem os seguintes elementos:
- Identificação
As avaliações de risco de segurança permitem que sejam apontados os ativos de tecnologia críticos da empresa e os dados confidenciais que esses dispositivos criam, armazenam ou transmitem. Essa informação é crucial para desenvolver processos de gestão de risco adaptados às necessidades específicas da empresa.
- Criação de Perfil de Risco
Tratam-se de análises dos riscos potenciais associados a ativos individuais, permitindo que se determine o impacto desses ativos em seu cenário geral de risco. Os perfis de risco facilitam a criação de requisitos de segurança independentes para ativos de informações físicas ou digitais, e reduzem os custos da implementação de padrões de segurança em toda a empresa.
- Mapa de Ativos Críticos
Determinar o fluxo de trabalho e o processo de comunicação entre os ativos críticos cria uma perspectiva distinta de gerenciamento de risco, que é focada na manutenção das operações de negócios em caso de ataques cibernéticos. Além disso, entender a comunicação, armazenamento e distribuição de informações confidenciais facilita a formulação de medidas de proteção para evitar violações de dados.
- Priorização de ativos
Com o grande número de ameaças de segurança descobertas todos os dias, a empresa inevitavelmente sofrerá um ataque cibernético ou violação de dados em algum momento. Não é mais uma questão de “se”, mas sim de “quando”. Assim, a priorização de ativos facilita a recuperação de seus processos de negócios quando ocorre um evento inesperado, como um desastre natural ou uma invasão de crackers.
- Plano de Mitigação
As informações coletadas no assessment servirão de base para a proteção somente quando forem desenvolvidas medidas de mitigação. Segmentação de infraestrutura de TI, políticas de backup, recuperação de desastres e planos de continuidade de negócios são exemplos de estratégias de mitigação que usam os relatórios de avaliação de risco para gerenciar o impacto de eventos adversos.
- Prevenção de riscos de vulnerabilidade e cibersegurança
É fundamental avaliar o impacto das políticas de remediação em sua postura de segurança. Por exemplo, controles de acesso, metodologias avançadas de autenticação, firewalls, verificação de vulnerabilidades e testes de penetração podem proteger a infraestrutura de alto risco contra ameaças cibernéticas.
- Monitoramento Constante
Mesmo que as avaliações de risco sejam realizadas regularmente, algumas medidas podem monitorar passivamente sua rede para identificar ameaças e prevenir incidentes de segurança. Por exemplo, scanners de vulnerabilidade passiva ou scanners antivírus realizam monitoramento contínuo e facilitam o gerenciamento da segurança da informação.
Observação: O modelo de avaliação de risco pode variar de acordo com a necessidade de cada negócio, podendo sofrer alterações no seu escopo.
Como fazer
O trabalho de assessment de segurança deve abranger o máximo possível de áreas de negócio. Também é orientado que o processo seja guiado por metodologia, adaptada a realidade de cada negócio. Abaixo, seguem algumas sugestões de etapas para guiar o processo.
- Identificação e priorização de ativos
Servidores, informações de contato dos clientes, documentos críticos de parceiros, segredos comerciais e outros itens são exemplos de ativos. Deve-se fazer uma lista abrangente de todos os ativos para saber o que precisa ser protegido. O ideal é reunir as seguintes informações para cada ativo:
- Softwares
- Hardwares
- Dados
- Proteção de armazenamento de informações
- Ambiente de segurança física
- Políticas de segurança de TI
- Comercial
- Pessoal de apoio
- Controles técnicos de segurança
- Missão ou propósito
- Requisitos funcionais
- Interfaces
- Arquitetura de segurança de TI
Será necessário limitar o escopo das fases restantes aos ativos de missão crítica; caso contrário, o processo pode se tornar muito moroso. À medida que a empresa ganha mais experiência com essas técnicas, o escopo pode ser expandido.
Nesse contexto, é preciso estabelecer critérios para calcular o valor de cada item. O valor monetário do ativo, a situação legal e a relevância para a empresa são fatores comuns. Depois que forem definidos os critérios e incluí-los formalmente na política de segurança de avaliação de riscos, use-os para classificar cada ativo como crítico, principal ou secundário.
- Descobrindo ameaças
Uma ameaça pode ser qualquer evento que cause danos aos ativos ou processos organizacionais. As ameaças podem ser internas ou externas, bem como maliciosas ou acidentais. Muitas delas podem ser exclusivas da sua empresa, e algumas são comuns a todo o setor. É então essencial realizar uma triagem completa para todas as ameaças em potencial.
- Identificação de vulnerabilidades
Uma vulnerabilidade é uma falha que pode pôr em risco os procedimentos da empresa. Análise, relatórios de auditoria, banco de dados de vulnerabilidades, dados de fornecedores, métodos de teste e avaliação de segurança da informação (ST&E), testes de penetração e tecnologias automatizadas de verificação de vulnerabilidades podem ser usados para identificar vulnerabilidades.
Porém, não se deve restringir essa análise a riscos técnicos, pois existem também as falhas físicas e humanas. Por exemplo, colocar os servidores no andar térreo torna a empresa mais vulnerável a inundações. Além disso, deixar de orientar os funcionários sobre os perigos dos ataques de phishing, por exemplo, torna tudo mais suscetível a malwares. É importante observar que treinamentos do tipo devem ser realizados no mínimo a cada semestre, para acompanhar as evoluções dos métodos de ataque criados pelos cibercriminosos – eles costumam abandonar técnicas já conhecidas para desenvolver novos meios de atacar.
- Análise de controles
Analisa as medidas em vigor para reduzir ou eliminar a probabilidade de uma ameaça explorar uma vulnerabilidade. Criptografia, técnicas de detecção de intrusão e soluções de identidade e autenticação são exemplos de controles técnicos. Políticas de segurança, medidas administrativas e processos físicos e ambientais são exemplos de controles não técnicos.
Ambos os controles podem ser definidos como preventivos ou de detecção. Os preventivos fazem jus ao nome, tentando então antecipar e evitar que problemas aconteçam. Já os controles de detecção, incluindo auditorias e sistemas de detecção de intrusão, são usados para apontar riscos que já ocorreram ou ainda estão em andamento.
- Determinação da Probabilidade do Incidente
Avalie a probabilidade de uma vulnerabilidade ser explorada. Os fatores a serem considerados incluem o tipo de vulnerabilidade, a capacidade e a finalidade da fonte da ameaça – bem como a existência de controles internos. Muitas empresas usam uma escala de alto, médio ou baixo risco para estimar a chance de um evento adverso.
- Avaliação de impacto
Também é necessário avaliar o impacto dessas ameaças nas operações de sua empresa caso elas se materializem, juntamente com possíveis efeitos cascata ou danos colaterais. Da mesma forma, esse impacto pode ser categorizado como alto, médio ou baixo.
- Priorização
Nessa fase do assessment, a gravidade de cada ameaça é determinada de acordo com sua probabilidade de ocorrência e seu impacto. O cálculo do valor fornecerá uma escala de priorização de risco, que permitirá que as equipes de segurança se concentrem naqueles com maior gravidade.
- Recomendação de Medidas
De acordo com a escala de gravidade, medidas de mitigação ou prevenção (como controles internos) podem ser recomendadas para garantir o melhor resultado com base no custo-benefício, confiabilidade, regulamentações aplicáveis, eficácia, confiabilidade e impacto operacional.
- Relatório de avaliação
Por fim, é criado um relatório de avaliação de risco para ajudar a equipe de gerenciamento de risco a tomar as decisões mais favoráveis para proteger a empresa. Para cada ameaça, deve-se visualizar uma vulnerabilidade correspondente, ativos em risco, impacto, probabilidade de ocorrência e recomendações.
This post is also available in: Português Español