Acredito que para uma abordagem prática desse tema, devemos ter em mente uma máxima a todo momento:
“Não existe ambiente, solução ou modelo 100% seguro”.
Não é humanamente possível prever todas as situações que podem afetar uma organização negativamente, e esse conceito se aplica também a segurança cibernética – ambientes dinâmicos, novas tecnologias surgindo a todo momento, falhas tecnológicas, humanas e más condutas são fatores que não podem ser completamente controlados ou previstos.
É fato que segurança tem custos: operacionais, de gestão e claro, financeiros.
Buscar a “segurança máxima” pode facilmente implicar um custo maior que o valor dos ativos protegidos. Ao mesmo tempo, não conhecer e não proteger adequadamente os ativos pode acarretar em consequências que vemos cada vez mais em notícias por todo o mundo, como: vazamento de dados, ataques de ransomware, fraudes e até mesmo campanhas de phishing corporativos executados com sucesso.
Nesse contexto, uma visão de Governança, Riscos e Conformidades pode ser um aliado poderoso. A definição de GRC e seus termos possui conteúdo de estudo extenso e complexo, porém independentemente do tamanho da organização e de seu segmento, podem ser aplicadas para apoiar o planejamento e ações dos profissionais que atuam em todas as áreas e domínios de SI.
Como podemos – nós profissionais da área de Segurança da Informação – determinar os critérios de priorização, custos e planejamento para lidarmos com o cenário descrito?
Conhecimento e alinhamento ao negócio
Conhecer a organização, sua estratégia e negócios é um fator importantíssimo para direcionar como os profissionais de segurança podem atuar. O objetivo, com esse ponto, é conhecer o que é importante para a empresa – e entender o que deve ser protegido em alto nível. Empresas de diferentes segmentos, de financeiras a varejo, possuem características próprias que devem ser conhecidas para aumentar a efetividade das ações.
Gestão de Riscos
Uma vez que nós como profissionais de segurança tenhamos compreendido o que é importante para a organização, podemos então observar quais riscos podem se concretizar e prejudicar seu funcionamento e seus objetivos.
Existem diversas metodologias para a realização dessas atividades ( ISO 31000, ISO guide 73, COSO, NIST e outros), porém podemos descrever de forma macro quatro atividades ligadas à forma como lidamos com riscos. São elas:
Análise e Avaliação de Riscos
Momento onde são estimadas as probabilidades, consequências e valores (quantitativos ou qualitativos dos riscos mapeados;
Tratamento de Risco
Após a avaliação, esse passo define quais medidas devem ser tomadas para reduzir o riscos identificados. Diversas estratégias como mitigar os impactos, transferir o risco ( com a contratação de um seguro), criação de controles compensatórios e novos processos podem ser utilizadas. Para tratar um risco legal de uma organização e atender a Lei Geral de Proteção de Dados, por exemplo, diversos processos e ações estão sendo implementadas em todo o Brasil
Aceitação de Riscos
O aceite de um risco é uma das estratégias que podem ser realizadas após a análise dos riscos, uma vez que o custo de implementação de medidas e controles esteja acima do que a organização está disposta a arcar.
Comunicação de Riscos
É o fechamento do processo de gestão, e tem como propósito divulgar as informações que foram mapeadas em todo o fluxo que mencionamos acima para todas as partes interessadas.
Gestão de Conformidade
A maior parte das organizações de médio e grande porte possuem áreas responsáveis pelo “Compliance” – a conformidade com as regulamentações e controles a quais seus segmentos são regulados.
Ressalto que o objetivo desse artigo não é propor que a área de Segurança da Informação seja responsável por todas as atividades de uma área de Compliance, e sim buscar a atuação em conjunto, complementando com controles definidos pelo processo de gestão de riscos, e também outras práticas, muitas vezes para fins de auditorias.
Podemos exemplificar essa relação com os controles de gestão de acessos, que são um controle comum associado à Segurança da Informação, e também auditado para fins de atendimento a SOX (Lei Sarbanes-Oxley).
Governança
Governança pode ser interpretada como o conjunto de processos, que coordenam como a área realiza as atividades e interage com um objetivo comum. De forma prática, é como as ações que as equipes executam no dia a dia (gestão de acessos, vulnerabilidades, incidentes, application security, DevSecOps, etc) se integram e conversam, com o objetivo de manter os controles que foram definidos para proteger os ativos de informação mapeados.
Com a definição de controles, e seu acompanhamento constante, é possível obter uma visão holística de como está a situação da organização de acordo com as estratégias que foram definidas para SI, e esses processos podem agregar valor e gerar impacto positivo na alta administração.
Governança em Segurança da Informação eleva também a maturidade da área, mensurando os resultados e permitindo ajustes caso os resultados não sejam os esperados.
E como apresentar esses resultados?
Os termos, definições e conceitos apresentados podem ser interpretados de diversas formas e utilizar diferentes metodologias, mas entendo que quando implementadas com sucesso permitem uma abordagem baseada em métricas, facilitando a tomada de decisões e demonstrando consistência entre as atividades.
Vamos tomar como exemplo um processo de gestão de vulnerabilidades. Existem diversas ferramentas que podem apoiar o mapeamento de estações de trabalho, servidores, contas em nuvem e apresentar as fragilidades e falhas de configuração.
Essa coleta de informações costuma resultar em números massivos. Pensando na gestão e ação com métricas, podemos começar a analisar em quais ativos considerados críticos terão suas correções aplicadas primeiro; ou planejar as correções de acordo com a criticidade.
É possível também, definir que vulnerabilidades identificadas, classificadas como baixo risco não serão corrigidas (devido ao capacity da equipe de segurança, TI ou outras).
Pensar em governança de segurança da informação pode provocar discussões construtivas, como:
● Qual a relação desses ativos de tecnologia com os últimos incidentes e ataques recebidos?
● Em quais ambientes essas vulnerabilidades foram identificadas? São de ambiente produtivo e podem afetar o negócio caso sejam exploradas?
● Os responsáveis pelos processos de gestão de patches e correções têm conhecimento dos objetivos da área de Segurança da Informação? Existem políticas para definir os ritos e prazos para execução das atividades?
As práticas de GRC são de execução constante, com evolução e ajustes no ritmo de cada organização. Realmente não é possível existir contextos 100% seguros – mas dessa forma todas as partes envolvidas estarão cientes dessa situação, e irão permitir que os esforços das equipes sejam realizados de forma mais assertiva, com resultados mais claros e priorizados de acordo com o apetite de riscos de cada empresa.