Saturday, February 27, 2016

A importância da gestão de ativos para a Segurança da Informação

Uma das grandes dificuldades que os gestores da área de Segurança da Informação (SI) enfrentam diz respeito à inexistência ou má gestão dos ativos de TI que suportam o negócio da empresa. E quando me refiro a gestão de ativos, não quero dizer apenas endereço IP, nome de máquina, andar e outras informações de perfil mais técnico.

É fundamental estabelecer um vínculo entre estes ativos de TI e o contexto de negócios, de tal forma a facilitar a priorização de ações bem como permitir maior envolvimento das áreas de negócios nas atividades de SI.

Em relação ao contexto de negócios, há alguns exemplos aplicáveis tais como: Unidades de Negócios, Processos de Negócios, Sistemas, Produtos e Serviços, e quaisquer outras nomenclaturas específicas para cada perfil de empresa. Isto pode ser realizado através de uma planilha ou sistema especialista, que inclua não só as informações técnicas dos ativos, mas também o contexto de negócios.

A seguir, alguns exemplos da aplicabilidade deste vínculo entre informações sobre ativos de TI e contexto de negócios, em atividades de SI.

Gestão de Vulnerabilidades

Sem dúvida uma das atividades de SI mais beneficiadas com este vínculo. Normalmente, são executadas análises de vulnerabilidades nos servidores da empresa e o resultado, na grande maioria das vezes, é um relatório com centenas de páginas descrevendo todas as falhas de criticidades alta, média e baixa, porém normalmente sem nenhum critério de priorização. Aí o que acontece? O tal relatório cai no colo da área de TI (isto quando TI e SI são áreas separadas) e não se sabe qual o critério para priorização das correções. Geralmente define-se que devem ser corrigidas primeiro as vulnerabilidades de criticidade alta. Não necessariamente esta abordagem é a ideal.

Não seria bem melhor priorizar a correção das vulnerabilidades através da aplicação de critérios de negócios? Exemplo, corrigir as vulnerabilidades do processo de negócios “Fluxo de pagamentos”, ou ainda vulnerabilidades no produto “Venda Digital”? Certamente facilita a priorização, que não depende mais de saber para que servem números mágicos como endereços IP, que não querem dizer absolutamente nada para gestores. Garanto que o gestor daquele processo de negócios ou serviço a clientes será o primeiro a cobrar TI para correção das vulnerabilidades...

Além disso, é muito importante fornecer um painel com estas informações de alto nível, que poderão ser acessados por aqueles stakeholders. A figura a seguir apresenta um exemplo de painel. Note que as vulnerabilidades são apresentadas em relação aos seguintes contextos de negócios: Unidades de Negócios, Divisões, Processos de Negócios e Produtos e Serviços. Obviamente, caso o gestor tenha interesse, poderá fazer o drill down para maior detalhamento das vulnerabilidades.

Imagine este painel sendo acessado por cada um dos gestores responsáveis por aqueles processos de negócios, produtos e serviços, etc. Obviamente cada um vendo informações referentes ao seu pedaço e um diretor tendo a visão do todo.


Resposta a Incidentes

Esta é outra atividade de SI diretamente influenciada por uma correta gestão de ativos, uma vez que os analistas responsáveis pela análise dos incidentes se beneficiam de informações relacionadas ao negócio. É muito mais fácil priorizar uma ação quando sabemos que um determinado ataque foi direcionado a um ativo que sustenta um processo de negócios crítico.

Certamente o analista responsável pela análise conseguirá priorizar o atendimento a um incidente relacionado a ataques, direcionados ou originados de equipamentos críticos ao negócio.

Continuidade de Negócios

Quando elaboramos Planos de Continuidade de Negócios e também o BIA (Business Impact Analysis), é certamente muito mais fácil incluir os equipamentos corretos quando sabemos que ativos impactam quais processos de negócios. Aliás, normalmente as informações levantadas durante o processo de preparação de um BIA podem ser muito valiosas para a gestão de ativos.

Há vários exemplos de empresas que possuem um CMDB (sistema para gestão de ativos) muito atualizado em relação a informações puramente técnicas, mas sem qualquer informação de negócios, mas que podem obter estas informações através dos BIAs elaborados pela equipe de Continuidade de Negócios.

Conformidade

Também aqui o vínculo entre ativos de TI e contexto de negócios é muito importante, pois permite avaliar a conformidade em um nível mais alto, ao invés de endereços IP. Pode-se gerar relatórios de conformidade ao PCI, SOX, ISO 2700x, etc, para Processos de Negócios, Produtos e Serviços, Unidades de Negócios etc.

Evidentemente os exemplos acima somente confirmam a importância de se manter um bom sistema de controle de ativos, que permita a manutenção de um cadastro atualizado, e com enriquecimento de informações provenientes de contexto de negócios. Também é muito importante estabelecer um processo para atualização desta base com informações de novos equipamentos.

Sunday, February 21, 2016

Livro Recomendado: Governança de Segurança da Informação - Como criar oportunidades para o seu negócio

Há dezenas de livros muito bons na área de Segurança da Informação (SI), porém com foco mais técnico. Quando falamos de Gestão de Segurança as opções diminuem sensivelmente. Uma alternativa bem interessante é o livro "Governança de Segurança da Informação - Como criar oportunidades para o seu negócio", do Sérgio da Silva Manoel. Trata-se de um livro publicado em 2014 e que aborda todos os aspectos importantes para o estabelecimento de um sistema de gestão de SI.


O autor é um profissional experiente na área de SI, tendo participado em inúmeros projetos relacionados ao tema. Claro que isso, por si só, não garante a qualidade e, principalmente, a didática na transmissão do conhecimento. Este livro, entretanto, é bem escrito e estruturado, sendo possível a leitura sequencial ou consulta direta a temas específicos. Pode ser lido tanto por profissionais em início de carreira quanto por aqueles que já estão na estrada há um bom tempo.

No capítulo 1, o autor descreve os principais aspectos da Governança Corporativa, incluindo a definição da estrutura e responsabilidades. Esta introdução é muito importante uma vez que a Governança de Segurança da Informação (GSI) é um dos pilares importantes da Governança Corporativa.

No capítulo 2 é apresentado um modelo de GSI de acordo com o proposto pela norma ABNT NBR ISO/IEC 27014:2013. A norma é bem clara em relação ao que deve ser feito mas o autor descreve como fazer. Aliás, esta é a principal característica deste livro uma vez que não se limita a repetir teoria ou bullets com itens das normas. Descreve os princípios para estabelecimento da Gestão de Segurança, introdução aos papeis e responsabilidades do CISO e do Comitê de SI, além dos processos importantes (avaliação, direção, monitoração, comunicação e garantia). Outro alinhamento descrito neste capítulo diz respeito ao uso do COBIT 5 como framework para este modelo de GSI. Talvez o ponto forte deste capítulo seja a tabela exemplo, descrita na página 46, que mostra a avaliação do nível de conformidade dos processos de SI em relação ao COBIT 5.

No capítulo 3 temos a priorização das ações de SI em relação aos processos críticos de negócio. Talvez um dos capítulos mais importantes porque define a melhor estratégia de priorização. Afinal de contas, faltam tempo, recursos e profissionais para executar tudo o que se espera de uma área de SI. São apresentadas as técnicas para levantamento das áreas e processos de negócios e definição dos aspectos de relevância, impacto (confidencialidade, integridade e disponibilidade), prioridade (gravidade, urgência e tendência) e a forma de consolidação e apresentação dos resultados.

O capítulo 4 descreve o ciclo PDCA (Plan, Do, Check, Act) para gestão de SI e a metodologia para diagnóstico dos processos de SI, segundo a norma ABNT NBR ISO/IEC 27002:2013. Este diagnóstico é muito importante para identificar os gaps da organização e o que deverá ser priorizado. Aqui também são descritos em detalhes a função e responsabilidades do CISO e do Escritório de SI.

O capítulo 5 talvez seja o mais prático de todos uma vez que são descritos os passos para uma efetiva implantação da GSI. Define o Plano Estratégico de Segurança da Informação (PESI), a matriz SWOT, os objetivos estratégicos da SI, o retorno de investimento, criação de indicadores, planejamento (curto/médio/longo prazos) além, é claro, dos Planos de Ação. Uma metodologia estruturada e bem completa.

Para finalizar, o capítulo 6 contempla a família de normas ISO 27000, incluindo o histórico destas normas, resumo das normas relevantes (27001:2006, 27002:2005, 27004:2010, 27005: 2011, etc). E mostra também o que mudou na versão 2013 das normas 27001 e 27002.

Definitivamente este livro é uma ótima referência para aqueles que necessitam implantar um GSI. Infelizmente, o nível de maturidade da grande maioria das empresas no Brasil ainda não permite aplicar tudo o que é proposto no livro.  Isso se deve a diversos fatores como falta de recursos, falta de alinhamento da área de SI (ou do gestor) aos requisitos de negócios, entre outros. Mas de qualquer forma, aqui está uma obra bem estruturada e robusta que facilita a concretização deste desafio.