Para uma organização obter sucesso em seu programa de Segurança da Informação, são necessárias iniciativas que visem manter a integridade, disponibilidade, não repúdio, autenticidade e confidencialidade das informações críticas para a organização.
Até aí tudo certo, a grande maioria das empresas/órgãos possui uma Política de Segurança publicada que delineia estes objetivos, o problema é que uma visão míope do que são as verdadeiras ameaças costuma gerar investimentos e concentração de esforços em iniciativas generalizadas, estéreis ou ineficientes.
Normalmente podemos dividir as iniciativas práticas na área de Segurança da Informação em três grandes grupos:
1) definição e proteção de dados / ativos críticos (visam EVITAR )
ex: classificação da informação, hardening, criptografia, desenvolvimento seguro, hsm, firewall ...
2) detecção dos variados ataques a dados /ativos críticos (visam ALERTAR)
ex: anti-vírus, anti-spam, ids/ips, registro de auditoria de s.o. e aplicativos, dlp, correlação/siem, ...
3) reação, identificação, e responsabilização de fontes de ameaça (visam PUNIR)
ex: resposta a incidentes, forense computacional (mídias, memória, rede), processos administrativos internos/persecusão penal, ...
A visão míope e o investimento baseado em proteção sem um feedback dos processos de detecção e reação acabam gerando números como os divulgados pelo último relatório sobre resposta a incidentes da Verizon. As equipes de segurança responsáveis pelos ativos comprometidos foram informadas dos ataques por terceiros em mais da metade das vezes (55%) !
Algumas discussões recentes sobre a distância das Políticas no papel e a realidade na área de Segurança da Informação colocam em cheque ações tradicionais que organizações costumam realizar em seu dia-a-dia - faço meus comentários de cada ponto abaixo:
- [ "Não mexa se não estiver quebrado" ]
- Afinal de contas, o IDS/IPS está ótimo - que está antes do firewall - veja, está bloqueando milhares de ataques vindos da internet por dia (um monte de Blasters, Sassers, Mydooms e brute-forces de ssh romenos). Os ataques vêm se modificando numa taxa muito superior à atualização de nossas ferramentas e processos. Sempre digo que o mais perigoso num AV ou IPS não são os (muitos) falso-positivos, mas os poucos falso-negativos - neste caso não vale o ditado "o que os olhos não vêem.. "
- "Para que atualizar de forma programada os patches do sistema operacional, se a máquina não está na DMZ? Quem se responsabiliza se o serviço parar?"
- "Metodologia de Desenvolvimento Seguro? Para que? Isto atrasaria demais nossas demandas internas..."
- Você precisa ter bem definidos os grupos responsáveis pelas atividades execução e auditoria das atualizações/evoluções nas tecnologias de segurança, assim como das correções de segurança de aplicações, sistemas operacionais e uma metodologia para desenvolvimento de sistemas implantada.
- [ Soluções de Segurança Plug-and-P[l,r]ay. ]
- "Tunning de IDS/IPS? Mudar o AV? Mas hoje ele(s) já pega(m) mais de 1000 ataques por dia!"
- "Compramos uma solução UTM e nunca mais tivemos problemas com segurança".
- "Eu não sei como funciona. Isto é com o vendor ou revenda, eu sou o Gestor da solução".
- Voce deve se perguntar: Quem sabe como funciona? Quem é responsável por manter atualizados os sistemas e processos considerando as ultimas vulnerabilidades, assinaturas, ataques, correções e políticas? Não seja como a maioria que só se "mantém desinformada" até que um sério incidente de segurança abale as estruturas e force alguma mudança.
- [ Quem sabia administrar/configurar isto foi embora... / Pessoal especializado em segurança é raro e cada vez mais caro.. ]
- O turnover na área de segurança é muito alto. Por mais letrinhas de certificações que existam depois de um nome em um Curriculum, o que mais conta na hora da verdade é a experiência;
- Quem assume uma solução de segurança "herdada" de outro profissional ou equipe fica relutante em usá-la e mantê-la por desconhecimento / medo da responsabilidade;
- É fundamental investir e manter pessoal treinado e preparado para assumir novas atribuições para não deixar trabalhos de anos se perderem porque o responsável não está mais na organização;
- Você deve estimular a transferência de conhecimento internamente com frequência.
- [ Muitas caixas, nenhum conhecimento ]
- Múltiplos appliances, softwares e serviços instalados geram um esforço e custo financeiro para mantê-los que acaba minando a possibilidade de soluções customizadas e criativas - muitas vezes mais adaptadas à sua necessidade;
- Não invista em soluções de segurança por impulso, não seja alvo fácil do FUD (Fear, Uncertainty and Doubt) do mercado de segurança;
- Segundo uma comparação feita em uma das discussões que listamos, estamos tão ocupados mantendo muros enquanto os atacantes estão construindo aviões para voar por cima destes muros;
- É necessário pensar estrategicamente e ajustar as ações - como já apontamos em alguns posts - com o foco sempre nas ameaças e problemas reais.