Saturday, February 27, 2016

A importância da gestão de ativos para a Segurança da Informação

Uma das grandes dificuldades que os gestores da área de Segurança da Informação (SI) enfrentam diz respeito à inexistência ou má gestão dos ativos de TI que suportam o negócio da empresa. E quando me refiro a gestão de ativos, não quero dizer apenas endereço IP, nome de máquina, andar e outras informações de perfil mais técnico.

É fundamental estabelecer um vínculo entre estes ativos de TI e o contexto de negócios, de tal forma a facilitar a priorização de ações bem como permitir maior envolvimento das áreas de negócios nas atividades de SI.

Em relação ao contexto de negócios, há alguns exemplos aplicáveis tais como: Unidades de Negócios, Processos de Negócios, Sistemas, Produtos e Serviços, e quaisquer outras nomenclaturas específicas para cada perfil de empresa. Isto pode ser realizado através de uma planilha ou sistema especialista, que inclua não só as informações técnicas dos ativos, mas também o contexto de negócios.

A seguir, alguns exemplos da aplicabilidade deste vínculo entre informações sobre ativos de TI e contexto de negócios, em atividades de SI.

Gestão de Vulnerabilidades

Sem dúvida uma das atividades de SI mais beneficiadas com este vínculo. Normalmente, são executadas análises de vulnerabilidades nos servidores da empresa e o resultado, na grande maioria das vezes, é um relatório com centenas de páginas descrevendo todas as falhas de criticidades alta, média e baixa, porém normalmente sem nenhum critério de priorização. Aí o que acontece? O tal relatório cai no colo da área de TI (isto quando TI e SI são áreas separadas) e não se sabe qual o critério para priorização das correções. Geralmente define-se que devem ser corrigidas primeiro as vulnerabilidades de criticidade alta. Não necessariamente esta abordagem é a ideal.

Não seria bem melhor priorizar a correção das vulnerabilidades através da aplicação de critérios de negócios? Exemplo, corrigir as vulnerabilidades do processo de negócios “Fluxo de pagamentos”, ou ainda vulnerabilidades no produto “Venda Digital”? Certamente facilita a priorização, que não depende mais de saber para que servem números mágicos como endereços IP, que não querem dizer absolutamente nada para gestores. Garanto que o gestor daquele processo de negócios ou serviço a clientes será o primeiro a cobrar TI para correção das vulnerabilidades...

Além disso, é muito importante fornecer um painel com estas informações de alto nível, que poderão ser acessados por aqueles stakeholders. A figura a seguir apresenta um exemplo de painel. Note que as vulnerabilidades são apresentadas em relação aos seguintes contextos de negócios: Unidades de Negócios, Divisões, Processos de Negócios e Produtos e Serviços. Obviamente, caso o gestor tenha interesse, poderá fazer o drill down para maior detalhamento das vulnerabilidades.

Imagine este painel sendo acessado por cada um dos gestores responsáveis por aqueles processos de negócios, produtos e serviços, etc. Obviamente cada um vendo informações referentes ao seu pedaço e um diretor tendo a visão do todo.


Resposta a Incidentes

Esta é outra atividade de SI diretamente influenciada por uma correta gestão de ativos, uma vez que os analistas responsáveis pela análise dos incidentes se beneficiam de informações relacionadas ao negócio. É muito mais fácil priorizar uma ação quando sabemos que um determinado ataque foi direcionado a um ativo que sustenta um processo de negócios crítico.

Certamente o analista responsável pela análise conseguirá priorizar o atendimento a um incidente relacionado a ataques, direcionados ou originados de equipamentos críticos ao negócio.

Continuidade de Negócios

Quando elaboramos Planos de Continuidade de Negócios e também o BIA (Business Impact Analysis), é certamente muito mais fácil incluir os equipamentos corretos quando sabemos que ativos impactam quais processos de negócios. Aliás, normalmente as informações levantadas durante o processo de preparação de um BIA podem ser muito valiosas para a gestão de ativos.

Há vários exemplos de empresas que possuem um CMDB (sistema para gestão de ativos) muito atualizado em relação a informações puramente técnicas, mas sem qualquer informação de negócios, mas que podem obter estas informações através dos BIAs elaborados pela equipe de Continuidade de Negócios.

Conformidade

Também aqui o vínculo entre ativos de TI e contexto de negócios é muito importante, pois permite avaliar a conformidade em um nível mais alto, ao invés de endereços IP. Pode-se gerar relatórios de conformidade ao PCI, SOX, ISO 2700x, etc, para Processos de Negócios, Produtos e Serviços, Unidades de Negócios etc.

Evidentemente os exemplos acima somente confirmam a importância de se manter um bom sistema de controle de ativos, que permita a manutenção de um cadastro atualizado, e com enriquecimento de informações provenientes de contexto de negócios. Também é muito importante estabelecer um processo para atualização desta base com informações de novos equipamentos.

2 comments:

  1. Bom artigo nobre amigo, e isto há vários anos atrás tem/teria de ser aplicado, visão do negocio sobre a TI, valendo para todo o ambiente e principalmente o de nuvem, o qual mesmo hoje, apresenta diversos pontos falhos pois a segurança em camadas (cebola) já não se aplica linearmente em vários ambientes como este, me lembra quando se implantavam máquinas virtuais e apesar de se ter um firewall no meio, havia "n" placas de rede bypassando o mesmo.

    ReplyDelete
  2. E aí João, tudo bem? Quanto tempo!
    Sim, não dá pra imaginar correta priorização de vulnerabilidades e incidentes (entre outras) sem o correto link entre TI e negócio. E o pior, até mesmo Bancos não conseguem manter esta informação atualizada. O que dirá outros perfis de empresas?
    Abs,
    PB

    ReplyDelete