mss banner

Sob fogo cruzado - parte 3

Autor: Luiz Vianna, postado em 20/10/2017 as 14:00
Hashtags: #conscientizacao, #institucional

Diante de todos os aspectos abordados nos artigos anteriores Sob Fogo Cruzado Parte 1 e Parte 2, é chegada a hora da verdade, onde efetivamente as coisas precisam acontecer – hora de meter a mão na massa.

O primeiro grande passo para saber o que realmente importa para manter a operacionalidade do negócio, já foi dado. Já definimos o que objetivamos proteger, contingenciar, monitorar ou até mesmo terceirizar o risco. Sim, terceirizar o risco no sentido de que a adoção de soluções de segurança, não pode ser visto como uma panaceia. A tão famosa “bala de prata” que com um único tiro tudo será resolvido. Portanto, convém que os riscos residuais possam ser quantificados, a fim de instituir um seguro que proteja perdas, caso por ventura elas ocorram.

De acordo com dados da Marsh & McLennan Companies (MMC), as contratações de seguros contra-ataques cibernéticos já atingem a marca de 2 bilhões de dólares, podendo alcançar a marca de 20 bilhões até 2025. Os Estados Unidos da América lideram o mercado de seguros cibernéticos e aproximadamente 20% das empresas americanas contratam esse serviço. No Brasil a contratação desse tipo de serviço ainda é muito tímida. Apesar da oferta deste serviço já existir há mais de 5 anos, menos de 100 apólices de cibersegurança foram emitidas no país.

Seguro cibernético

O segundo grande passo para a implantação e operação de um serviço de gestão da segurança é fazer o exercício de estar realmente preparado para este grande desafio.

Avaliar se a empresa possui as competências essências identificadas e capacitadas, levando em consideração a questão anteriormente falada sobre o ciclo PDCA, onde a necessidade de aprimoramento é constante e retroalimentado pelas experiências acumuladas e os feedbacks obtidos.

É muito importante considerar se os investimentos necessários na construção do ambiente, como, por exemplo: infraestrutura, ferramentas (hardware e software), salas de monitoramento, energia e climatização ininterruptas, operação 7x24x365, formação de equipes para tratamento e respostas à incidentes, fazem parte do core bussiness da empresa.

É como se para utilizar a energia elétrica disponível em nossas residências tivéssemos que construir a nossa própria usina.

Muitas empresas estão começando a optar em focar exclusivamente na sua atividade fim e estão delegando a sua segurança a terceiros. Seria isso bom ou ruim?

A resposta não é trivial, muitos aspectos devem ser considerados como a sensibilidade e criticidades das informações das empresas, estratégias e segredos de negócios, patentes, exclusividade de mercado etc., que em muitos casos, acordos de confidencialidade (NDA – Non-Disclosure Agreement) firmados não as protegem na plenitude.

Outro ponto crucial é a reputação da empresa a ser contratada e isto inclui: experiência comprovada, amplo portfólio de serviços, atuação exclusiva no segmento da segurança das informações e de TI.

Acredito muito na especialização dos serviços para respaldar o negócio das empresas. Numa comparação simples diria que se o negócio da empresa é conduzir veículos, preciso de bons motoristas, mas não necessariamente de bons mecânicos. Isto não impede que eles possam ter boas noções do “que precisa ser feito” e saber auditá-lo, mas o “como deve ser feito” seria delegado para uma oficina especializada e não para um curioso qualquer.

Esses e muitos outros insights é que permitem decidir qual será a melhor escolha ao decidir implantar ou contratar um Sistema de Gestão da Segurança.

Gosto muito da representação gráfica a seguir, independentemente de qual modelo a empresa intencione seguir, ou seja, desenvolver internamente ou terceirizar.

É importante não perder de vista o trinômio Tecnologia X Processos e Pessoas.

O quadro abaixo auxilia identificar o grau de maturidade da segurança independentemente de qual modelo a empresa irá seguir, mas ele por si só não é suficiente e os aspectos elencados sugerem auditorias periódicas a fim de certificar que as métricas e processos estabelecidos estão conformes e quais precisam ser melhorados, criados ou até mesmo extintos.

Grau de maturidade

Convém que, este quadro possa ser repetido com as intenções alvo, ou seja, qual o grau de maturidade almejado ou recomendado para o negócio.

Sintetizando os conceitos, o que almejamos na implantação de um Serviço Gerenciado de segurança é:

  • Identificar e mitigar os riscos
  • Gerenciar os recursos (planejamento de capacidade)
  • Monitorar a performance e disponibilidade dos ativos críticos
  • Proteger informações sensíveis e estratégicas
  • Estar em conformidade com normas e leis regulatórias
  • Propor contingenciamentos assegurando a continuidade dos negócios

Para que estes aspectos possam ser plenamente atendidos é esperado que o Serviço Gerenciado de Segurança – MSS atenda os seguintes requisitos:

  • Ser capaz de definir padrões e processos de segurança
  • Implementar camadas de segurança sob a ótica da relevância do negócio
  • Minimizar riscos
  • Identificar riscos residuais
  • Propor soluções e ferramentas com o maior grau de automatização na coleta de insumos e interpretação dos eventos
  • Ter capacidade de administrar ativos locais ou remotamente
  • Monitorar permanentemente as vulnerabilidades associadas ao ambiente dos negócios, propondo a correção das mesmas
  • Fazer varreduras (scans) nas redes, visando identificar vulnerabilidades, necessidade de implantação de patches de correções e manter o maior nível de atualização dos ativos
  • Identificar mudanças comportamentais
  • Correlacionar os eventos oriundos de diferentes fontes de observação
  • Propor e executar periodicamente, testes de invasão na infraestrutura
  • Propor e executar periodicamente, testes de invasão em aplicações
  • Ser capaz de emitir alertas responsivos
  • Possuir canal de atendimento para abertura de tickets com possibilidade de escalonamentos
  • Produzir insumos para pronta resposta no tratamento e mitigação dos incidentes
  • Proporcionar visões preditivas para ações preventivas dos incidentes
  • Gerar relatórios de acompanhamento dos serviços para diferentes perfis de gestores
  • Possuir equipes multidisciplinares e constantemente atualizadas
  • Poder atuar em diferentes horários conforme SLAs estabelecidos
  • Propor soluções de melhorias contínuas, levando em consideração as frequentes mudanças tecnológicas

Concluindo, acredito ser possível perceber que a exemplo da segurança pública, citada no começo dos artigos, os Serviços de Gerenciados de Segurança – MSS é um conjunto sistêmico e um forte aliado, contudo, não sobrevive de maneira isolada.

São vários os aspectos que precisam ser considerados e integrados a um objetivo comum. Tecnologias, processos e fundamentalmente pessoas que precisam estar sinergicamente conectadas e atentas a esse universo por demais dinâmico.

Mudanças, disrupturas, competividades acirradas, interesses econômicos exacerbados, fundamentalismos dentre outros aspectos, são insumos preciosos na construção de inteligências que precisam ser utilizadas e ajustadas na monitoria permanente da segurança e a proteção dos negócios.

Soa muita das vezes como um discurso repetitivo e enfadonho, mas relembrando o princípio de Pareto que foi associado ao tema numa outra oportunidade, 80% dos incidentes ocorrem por conta de 20% das implementações equivocadas ou negligenciadas, onde o maior protagonista desse cenário é o capital humano.

Em síntese, estamos sob fogo cruzado e é imprescindível integrar forças na construção de um mundo mais coerente, habitável e seguro para não desenvolvermos uma crença de que isto tudo não passa de uma utopia.

Para relembrar como iniciamos essa reflexão, acesse Sobe Fogo Cruzado Parte 1 e Sobe Fogo Cruzado Parte 2.