segunda-feira, 5 de agosto de 2019

Cybersecurity, Governança & Tecnologia

Saiba mais sobre as ações possíveis com a NNOVAX:
  • Diagnóstico de Segurança de Dispositivos
  • Invasões Ransomware
  • Conformidade LGPD
  • Gestão de ativos de TI com segurança
  • Gerenciamento dos serviços de TI
  • Tecnologias
  • ...


terça-feira, 23 de julho de 2019

CRIANDO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO QUE FUNCIONAM

Antes de falarmos sobre como criar uma política de segurança da informação, é importante esclarecer o que a segurança da informação realmente é.

Segurança da informação - às vezes abreviada para InfoSec - é a proteção de informações e sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, a fim de garantir a confidencialidade, integridade e disponibilidade.

CONFIDENCIALIDADE, INTEGRIDADE & DISPONIBILIDADE

Se você está no campo de segurança por um tempo, provavelmente sabe que a segurança da informação é baseada em três pontos. No entanto, para aqueles que são novos no campo da segurança da informação, esta envolve três componentes críticos de confidencialidade, integridade e disponibilidade:
  • Confidencialidade: proteção contra acesso não autorizado
  • Integridade: proteção contra alterações não autorizadas de dados
  • Disponibilidade: garantia de acesso e uso oportuno e confiável de informações
Entender a triade da segurança, os vários princípios por trás dela e como ela se aplica à sua organização ajudarão você a implementar uma política de segurança sólida.

POR QUE CRIAR UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO?

As organizações normalmente criam uma política de segurança da informação porque “a ISO 27001 diz que devemos ter uma” ou “é necessária para a auditoria”. Claro, mas essa não é a principal razão para ter uma política.

Uma política de segurança, ou políticas, é projetada para mitigar o risco (por exemplo, violação de dados) e geralmente é desenvolvida em resposta a uma ameaça real ou percebida (uma situação que poderia potencialmente causar conseqüências ou impactos indesejáveis). A política conterá uma declaração de alto nível da intenção e direção da administração e deverá ser desenvolvida ou modificada para apoiar os objetivos estratégicos de uma organização.

As políticas de segurança por si só não são suficientes. Os funcionários devem entender quais são as regras para proteger informações e ativos e as razões pelas quais os padrões de segurança são desenvolvidos.

Padrões de segurança são desenvolvidos para estabelecer limites para pessoas, processos, tecnologias e procedimentos para ajudar a manter a conformidade com as políticas e apoiar a realização das metas e objetivos da organização.

MELHORES PRÁTICAS NA CRIAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Depois de mais de uma década criando políticas de segurança, talvez o conselho mais importante que posso dar a qualquer organização para criar uma política bem-sucedida seja escrevê-la especificamente com os objetivos estratégicos da organização, o apetite e a tolerância ao risco e a cultura em mente.

Assegure-se de que a política seja escrita por um indivíduo que possa traduzir os requisitos de segurança em um alto nível em termos comerciais. Deve ser escrito de uma forma que os funcionários possam entender; assim como um bom aplicativo, ele deve ser fácil de usar. Ele deve explicar por que a segurança é importante dentro da organização e define as responsabilidades de todos para proteger as informações e os ativos da organização.

O QUE FAZ UMA POLÍTICA DE SEGURANÇA EFICAZ?

O que você não deseja incluir em sua política é uma lista de "não farás". Porque, na minha experiência, sempre que uma política é repleta de diretivas rígidas que parecem mais mandamentos, ela está fadada ao fracasso e é difícil monitorar a conformidade. Você pode evitar inchar sua política, construindo uma que é clara, concisa, relacionável e fácil de entender.

Uma boa regra é escrevê-lo para a pessoa média, não técnica. Dentro de 60 segundos, deve ficar claro para o leitor sobre o que é a política de segurança. Qualquer luta compreendendo isso, e você pode precisar voltar para a prancheta.

Conforme mencionado anteriormente, uma política de segurança eficaz não deve apenas se alinhar aos objetivos estratégicos de uma organização, mas também deve considerar o perfil geral de risco da organização.

Você deve ser capaz de responder a estas perguntas: Quanto risco de segurança a organização está disposta a tolerar? Qual é o consenso sobre o risco de segurança e as políticas e o mandato corporativo tratam disso? Como está o tom no topo? Qual é a cultura da organização em relação à segurança?

Por fim, sua política deve ser atualizada anualmente, pois ajuda sua organização a manter-se atualizada com regulamentações, mudanças na tecnologia e no cenário de ameaças e as melhores práticas do setor.

Mas a verdade é que muitas organizações pesquisam por uma política padronizada e não fazem muitas alterações. Se a política não for adaptada à sua organização, ela provavelmente não será seguida. Já vi isso acontecer com muita frequência.

O QUE DEVE COBRIR SUA POLÍTICA DE SEGURANÇA?

Para começar, aqui estão 10 elementos de política em potencial e questões relevantes que devem ser respondidas ao projetar uma política de segurança corporativa:
  1. Propósito: Por que você precisa dessa política?
  2. Escopo e aplicabilidade: qual é o escopo da política? Para quem esta política se aplica?
  3. Autoridade política e ciclo de revisão: quem tem autoridade da diretoria ou do CEO para estabelecer políticas e normas de segurança? Quem pode aprovar a política? Quem pode atualizar a política? Se houver um requisito na política que não possa ser atendido, uma solicitação de isenção de política é enviada?
  4. Ciclo de Revisão de Política: Com que frequência a política será revisada?
  5. Cultura da empresa: como a política pode se adaptar à sua cultura corporativa? A cultura da sua organização suporta seus esforços de segurança? Você tem compromisso e apoio de executivos seniores?
  6. Tópicos de foco: quais tópicos (por exemplo, E-mail e Internet, BYOD, Mídia social) devem ser incluídos na política que você gostaria que os funcionários estivessem cientes no que se refere à segurança
  7. Políticas Específicas de Segurança da Informação: Quais políticas cobrirão uma área subsidiária de segurança da informação (por exemplo, Gerenciamento de Chaves, Resposta a Incidentes de Segurança, Firewall) que exige ainda mais os controles de segurança da informação exigidos em um nível operacional?
  8. Treinamento: como a organização aborda a conscientização de segurança? Quais métodos são usados ​​para o treinamento de conscientização e com que frequência o treinamento ocorre?
  9. Comunicação: quem os funcionários contatam quando têm dúvidas sobre alguma coisa relacionada à segurança? Como você vai comunicar a política de segurança? Você vai exigir que os funcionários reconheçam e assinem sua política?
  10. Conformidade: como você monitorará a conformidade com essa política?

IMPORTÂNCIA DA APLICAÇÃO DA POLÍTICA

    Uma política de segurança só pode ser eficaz se os funcionários estiverem confiantes de que as regras serão aplicadas. Deve haver responsabilidades claras definidas para conformidade, bem como estipulações sobre as etapas que serão tomadas para a não conformidade.
      Dependendo do setor de uma organização, a política de segurança deve referenciar a importância da adesão aos regulamentos desse setor. Isso pode incluir o Padrão de Segurança de Dados do PCI, a Reforma de Wall Street de Dodd-Frank, o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP), o Regulamento Geral de Proteção de Dados (GDPR) ou HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde), para nomear um poucos.
        Para alcançar os melhores resultados de aplicação, sua política deve estar em sincronia com o atual cenário de ameaças, bem como com os regulamentos de privacidade. Quando uma política reflete o que está acontecendo on-line (pense em phishing, ransomware (malware), multas de privacidade, etc.), você tem mais chances de acompanhar os funcionários. Se essa política for clara e compreensível, a fiscalização será mais fácil.
          Ao redigir sua política, tenha em mente a conformidade e a imposição. Se você não acha que pode seguir as regras de um elemento específico da política, talvez seja necessário regravá-la.
            Em última análise, a política não deve impedir que a organização e seus funcionários atinjam sua missão ou objetivos.

            Por: Karen Sandhu
            NNOVAX - Marcelo Grandchamp

            Segurança Contra Roubos de Ativos de TI

            SEGURANÇA CONTRA ROUBOS DE ATIVOS DE TI

            Grande parte das empresas, de todos os segmentos, tem atualmente vivenciado cada vez mais, a triste, mas corriqueira experiência do roubo de seus ativos computacionais. Pode ser um notebook, um smartphone ou até mesmo a retirada de memória ou disco de um desktop.

            O problema se agrava fortemente com a inserção de algumas outras poucas, mas importantes, variáveis que não podemos deixar de analisar, como por exemplo, as informações que estavam no equipamento, ou ainda estão, não se sabe a situação. Alguém pode acessar? Projetos sigilosos, informações confidenciais, dados sensíveis ficarão expostos? Minha empresa pode ser responsabilizada? E o acesso à minha rede? Pode ser de alguma forma facilitado já que o dispositivo roubado estava preparado para se conectar em nossa estrutura e utilizar de todos os nossos recursos? Podemos ser invadidos?

            Será que naquele notebook, roubado no táxi a caminho do aeroporto, haviam informações sobre o novo projeto de milhões de dólares que será lançado em alguns poucos meses? Algum concorrente terá acesso e a vantagem competitiva será perdida e junto com elas os milhões de dólares em investimentos e expectativas de retorno?

            Claro, a quantidade de dúvidas e incertezas são abundantes enquanto as certezas e ações possíveis parecem remotas e sem chance de remediação.

            Pensando em estatísticas sobre o assunto nos deparamos com outra situação desagradável, algo bem difícil de gerir, que é o percentual hoje percebido dos roubos efetuados pelos próprios funcionários, aqueles que deveriam zelar pela integridade de todo e qualquer ativo das empresas, aparecem no topo da lista como os primeiros a subtrair os dispositivos, ou informações ou credibilidade de seu negócio.

            Podem ainda ser acrescidos outros agravantes, como leis específicas, as quais às empresas estão localmente sujeitas ou globalmente, como nosso marco civil regulatório, ou GDPR, ou até mesmo SOX e similares. Todas elas estabelecem de alguma forma a nossa responsabilidade como empresa, por todas as informações que tivermos, estejam elas sob o nosso controle em nossas redes, ou em equipamentos roubados que não podemos acessar, somos responsáveis pelo que acontece com elas e pelos possíveis controles, ou não, que temos sobre estas ocorrências.

            É possível incluir a produtividade de um funcionário, que ao perder um equipamento, ou ter sido roubado, terá suas ações funcionais atrasadas até a substituição do dispositivo, e isso financeiramente é um transtorno imenso, mas de certa forma aceitável, no entanto, e se – o que é mais comum do que se imagina – naquele notebook, e somente nele, havia a última versão, totalmente atualizada, depois de meses de trabalho, em Excel é claro, do Orçamento para o ano seguinte? Só a substituição do computador ao usuário não conseguirá recuperar o tão importante arquivo, e mais tempo e recursos serão gastos para realizar algo que já estava pronto.

            Não podem ser esquecidos ainda os casos de equipamentos de Leasing, que devem ser devolvidos à entidade financeira ao término do contrato. Mas se não for feito é necessário pagar praticamente um novo equipamento, tornando nossa planilha de previsão de custos apenas uma ferramenta decorativa.

            Certamente que diversas ações podem e devem ser utilizadas para minimizar o impacto de um roubo, para prevenir ocorrências e também para a máxima remediação. No entanto, como é de conhecimento de todos, não existe uma única solução que possa resolver todas as situações, que possa ajudar em todos os aspectos de um ou diversos incidentes de roubo, e não se pode certamente acreditar que o uso de senhas adequadas é suficiente para a nossa proteção.

            Uma solução inteligente, mas muito incompleta, é a de seguros dos equipamentos, mas que além dos altos custos percebidos, só retornam o valor financeiro relacionado ao equipamento roubado. Todos os outros problemas permanecem, ou seja, ter o equipamento de volta de alguma forma, nem que seja apenas o valor dele, é importante para qualquer empresa, mas a materialização do mesmo não traz luz ou respostas para todos os outros questionamentos.

            Os problemas de segurança, de dispositivos de usuários, e proporcionalmente acentuados nos de maior mobilidade, podem começar de maneira bastante simples e corriqueira, como um antivírus que deveria estar ligado e funcionando, mas não está e por consequência o equipamento é invadido de alguma forma e informações do mesmo começam a ser coletadas ou o computador torna-se um espião na mão de hackers ou zumbi para processamento de moedas digitais.

            Por que aquele equipamento estava com o antivírus não funcional, onde se gastou bastante dinheiro para implantar em toda a empresa e garantir que não existiriam problemas dessa natureza? Foi falha do antivírus, muito improvável? TI não estava atenta? Remota possibilidade. Ou o equipamento simplesmente estava funcionando numa localidade sem proteção, fora da rede corporativa, e sofreu alguma falha que não foi percebida?

            É sabido que em alguns casos não se tem nem a informação que o equipamento foi roubado, estão no inventário (famoso armário) e quando precisamos não temos a segurança absoluta se deveria ainda estar lá, se já foi destinado à algum colaborador, o que passou. Precisamos de fonte precisa que nos diga onde estava e está um equipamento, qual o status dele. E as questões de inventário devem ser lembradas como boas práticas de governança, já que somente podemos assegurar algo que conhecemos, por exemplo, não é possível alertar um roubo ou substituição indevida de memória de um equipamento se não temos essa informação, ou se não está disponível de forma adequada e de fácil acesso e recuperação, ou seja, fora de planilhas e controles pouco garantidores de resultados.

            Até mesmo o uso de softwares não permitidos pode causar problemas, além dos já esperados como trojans e similares, mas por exemplo a inadequação de licenças compradas e em uso, que podem direcionar suspeitas de fornecedores sobre o fato e gerar longas batalhas e até mesmo o recebimento e pagamento de multas. Novamente, é preciso ter o controle para dar segurança.

            Sim, certamente podemos nos cercar de inúmeros atalhos, soluções, ferramentas corporativas, e ainda assim ter o parque vulnerável, especialmente por que as soluções – em diversos níveis – existente no mercado são baseadas em software, o que basta a formatação de um HD para que o equipamento, que deveria estar sob monitoramento constante, e apto a receber ações de remediação, fique fora de alcance e portanto, mais uma vez, trazendo prejuízos e problemas para as empresas.

            Idealmente as soluções de segurança devem ser persistentes, que não possam ser apagadas ou desativadas dos dispositivos computacionais, que seja possível atuar sobre os nossos ativos, localizando-os geograficamente onde quer que estejam, bloqueando seu uso de forma remota – sem a utilização de ferramentas de controle remoto, já que são elas também um dos grande causadores de falhas de segurança com potenciais invasões e vazamentos massivos de dados – e saibamos a cada evento de alteração não permitida de hardware ou software o que houve e ações possam ser tomadas, é fundamental que seja possível excluir informações – selecionadas ou completas – de forma segura e remota, para garantir adequações com GDPR por exemplo, enfim, devemos atuar com o máximo de atenção na questão de roubos de ativos computacionais, que em última análise podem ser até mesmo utilizados pelo crime organizado com a nossa não desejada colaboração.

            O atual nível de maturidade de segurança nas empresas no Brasil passa por um momento de importante reflexão, onde não apenas firewalls por exemplo, devem estar atualizados e funcionais, e contingências computacionais disponíveis de forma segura e veloz, mas que os equipamentos nas mãos dos usuários não sejam portas abertas para problemas de segurança que não podem ser combatidos com apenas com antivírus, criptografia e single sign-on por exemplo.

            Estudos aprofundados sobre soluções com persistência em BIOS são recomendados para a nova geração de ferramentas de segurança, rastreamento, monitoramento e governança. Os modelos de gestão de segurança como serviços e suas contratações são parte importante desse processo evolutivo que vive o mercado, considerando especialmente que os equipamentos passam cada vez menos tempo e ciclos operacionais sob a proteção das redes corporativos e cada vez mais navegando em oceanos que as mecânicas usuais não mais são funcionais ou apresentam resultados satisfatórios.

            Por: Marcelo Grandchamp