Hora de repensar a segurança
Outro dia, outro novo ataque cibernético. Recentemente, é o ransomware – onde os invasores criptografam os dados da empresa, prejudicando seus alvos, a menos que um resgate seja pago – que dominou as manchetes. As vítimas incluem o NHS do Reino Unido , a companhia de navegação Maersk e a empresa de bens de consumo Reckitt Benckiser . Mas o ransomware não será a última palavra em ataques cibernéticos: sempre há alguma ameaça inovadora e perniciosa emergindo.
Como todo mundo que segue esse espaço sabe, a segurança cibernética pode parecer um jogo interminável de pancadaria. Novas ameaças surgem, as defesas melhoram e os atacantes adotam novas táticas, visando fraquezas até então desconhecidas. Isso cria a impressão de que os hackers podem penetrar em alvos à vontade – sejam governos, empresas ou sistemas nacionais críticos.
E os atacantes são cada vez mais sofisticados. Não podemos mais desprezar os hackers como adolescentes inteligentes, entediados e socialmente desajeitados, tão frequentemente retratados na mídia. Hoje, o hacking é um grande negócio. Os criminosos não querem limpar discos rígidos, estão conduzindo espionagem industrial em grande escala ou fazendo intervenções políticas.
O problema parece que vai piorar à medida que a superfície de ataque cresce. A ascensão do digital e da Internet das Coisas verá 8,4 bilhões de dispositivos conectados este ano . E à medida que as tecnologias digitais se tornam um componente ainda mais crítico da estratégia de negócios, o impacto de uma violação de sistemas se torna mais grave.
Não podemos continuar assim.
As defesas tradicionais não estão funcionando
Então, o que pode ser feito para reverter a maré de ataques? Historicamente, as organizações contam com a defesa. Construa as paredes digitais mais fortes e dificulte a escalada dos criminosos. Mas eles escalam, e facilmente, em muitos casos, violando o perímetro estabelecido por uma cadeia de produtos e políticas caras.
Voltando à pergunta: o que pode ser feito, porque claramente o que todos nós estamos fazendo não é suficiente?
A ideia de uma defesa no perímetro não é necessariamente errada, apenas não é suficiente.
É necessária uma mudança cultural para criar e facilitar um modelo de governança que se concentre na detecção e resposta contínuas e transparentes. Isso permitiria às organizações garantir que seu investimento em segurança seja direcionado para onde é mais necessário, além de permitir que os tomadores de decisão vejam para onde o orçamento está indo.
Como sempre, agarrar a fruta baixa é um bom ponto de partida. Por exemplo, aplicar patches em seus sistemas com correções de segurança, quando disponíveis, fechará uma das principais rotas para violações de segurança.
Um regime de correção robusto ajuda a incorporar a mensagem de que todas as organizações têm vulnerabilidades, tanto com pessoas quanto com sistemas – afinal, todos podem ver que os sistemas estão sendo constantemente atualizados para se defender de falhas recém-descobertas. Essa mudança de mentalidade, onde é reconhecido que existem vulnerabilidades, facilita a transmissão da mensagem de que a segurança é responsabilidade de todos. E isso torna mais fácil planejar sua resposta a ataques e como você pretende se recuperar.
Gastos com segurança adequados para você
A criação de um modelo de governança flexível e transparente permite expressar um relacionamento contínuo entre prevenção, detecção, recuperação e resposta. O esforço precisa ser aplicado em todas as quatro áreas e apresentado como um loop contínuo. Para cada área, é necessário usar métricas para que a empresa possa responder a perguntas como:
- Estamos fazendo as coisas certas?
- Estamos fazendo o caminho certo?
- Estamos fazendo-os bem?
- Estamos recebendo os benefícios?
Isso permite que você acompanhe o desempenho ao longo do tempo, para que, em vez de a segurança ser vista apenas como um custo, seja parte integrante da sua estratégia de tecnologia.
À medida que mudamos nossa maneira de pensar sobre segurança, podemos começar a pensar em como seria uma nova arquitetura corporativa evolutiva e adaptativa. Como a segurança deve se manifestar em todo o software que escrevemos, testamos e implantamos em todos os níveis?
Essa abordagem leva ao que é conhecido como defesa em profundidade . Aqui, codificação segura, modelagem de ameaças e testes de penetração são usados constantemente durante a criação ou aquisição de ativos de software. Muitas dessas idéias são discutidas em profundidade pelos meus colegas aqui. Esses problemas reiteram que a segurança é de responsabilidade de todos dentro da organização.
Figura 1: O ciclo de segurança lean
Ao revisar esses quatro princípios, podemos considerá-los em termos de um ciclo. Por outro lado, ajuda a analisar cada quadrante, detalhando causa e efeito, para entender o que está acontecendo e monitorar as mudanças e o progresso.
Prevenção: Quais são suas políticas, padrões, programas, processos e procedimentos que você possui? Eles ajudam seu pessoal a tomar boas decisões com relação à segurança da informação, enquanto ainda lhes permite trabalhar no ritmo exigido pela empresa ?. Você precisa alterar algum deles à luz do que aprendeu com seu perfil de risco à segurança da informação?
Detecção:O que você sabe? Quanto de suas informações você está cobrindo? Você é bom em descobrir vulnerabilidades? Quantos você tem? Qual é a taxa de mudança? Como você os classifica com base no risco? Com quais você deve se preocupar?
Recuperação: Qual é o nosso tempo médio para recuperação? Que porcentagem de eventos é tratada de maneira oportuna e aceitável? Quanto tempo leva para respondermos às vulnerabilidades quando as conhecemos? Temos uma maneira de limitar o dano pelas coisas que estamos descobrindo?
Resposta:Quanto tempo leva para identificar as causas principais das vulnerabilidades conhecidas e corrigi-las? Pegue o patch por exemplo. A aplicação de patches críticos ad hoc à medida que são lançados é uma resposta de curto prazo às vulnerabilidades conhecidas. A resolução de longo prazo pode ser a implementação de um processo automatizado de gerenciamento de patches que reúne patches e os aplica de maneira sistemática, repetível e testável. As resoluções são geralmente mais reflexivas, planejadas e deliberadas que as respostas.
Para cada um dos quadrantes, podem ser traçadas medidas e métricas que levam você a uma visão contínua dos dados demográficos, tempos de resposta e recuperação de ataques, além de quais produtos e serviços precisam ter recursos especializados alocados a eles.
Não há balas de prata aqui
Embora isso possa parecer uma ótima idéia, adaptá-lo a uma organização não é tarefa fácil. Todos devemos ter cuidado com qualquer cura milagrosa por segurança.
Recomendamos escolher uma fatia da funcionalidade do negócio e analisar isso de uma perspectiva de ponta a ponta e, em seguida, rastreá-la na sua organização. Essa abordagem permite que você construa o modelo de governança – incluindo seus KPIs constituintes e o scorecard resultante de relatórios – como um exercício iterativo que usa o ciclo lean de ‘testar e aprender’.
Você pode começar com o que considera o maior risco agora e usar esse modelo para validar essa premissa. Quando você obtiver detalhes e confiança suficientes na abordagem, poderá começar a identificar outras fatias de maneira semelhante e desenvolver com o tempo. Em breve, você obterá um conhecimento melhor dos seus ativos mais valiosos e como protegê-los.
Os mercados de hoje não esperam ninguém e, para ter chances de limitar os danos e atender seus consumidores, será necessária uma abordagem adaptativa e iterativa e evolutiva de toda a propriedade. Se você ainda não passou da ideia de que este é apenas um problema do departamento de segurança, talvez seja tarde demais.
FONTE: https://www.thoughtworks.com/insights/blog/lean-model-security-and-security-practices