Você está aqui: Página Inicial / Notícias / Como repensar SEGURANÇA para um novo mundo de TI?

Como repensar SEGURANÇA para um novo mundo de TI?

Nem todas práticas comprovadas do passado funcionam no mundo de hoje: Interconectado e Heterogêneo.
Como repensar SEGURANÇA para um novo mundo de TI?

Segurança da Informação

InfoWorld, por Terry Retter, Bud Mathaisel e Galen Gruman.

"Nós lutaremos nas praias. Nós lutaremos nos campos de pouso, nas ruas, nos campos e nas colinas. Jamais nos renderemos ", disse Winston Churchill em seu famoso discurso em junho de 1940 diante dos ataques nazistas na Inglaterra.


Seu compromisso com a vitória ", não importando o quanto longo e difícil o caminho podia ser," é uma analogia apropriada para as batalhas de segurança que as empresas enfrentam.

A luta pela segurança é mais difícil do que nunca. A maioria das organizações estão lutando a guerra de hoje com as ferramentas e abordagens de ontem - como proteger perímetros com senhas e firewalls.

Há muita ênfase em proteger o perímetro "quem pode acessar nossos dados e sistemas", e uma crença equivocada de que esta abordagem garante a proteção adequada. Nós conversamos com dezenas de especialistas em segurança, especialistas do setor e executivos de empresas para chegar a um quadro melhor para a segurança de hoje.  

Concentre-se em riscos e em pessoas, e não apenas nos sistemas e nos dados.

A abordagem defensiva é muito melhor construída em torno de uma mentalidade de risco.
Sim, um risco grave é a perda de dados críticos ou sensíveis, assim você pode proteger adequadamente os dados.

No entanto, existem outros riscos, tais como a interrupção das operações de negócios, reputação abalada, o descumprimento das leis, os riscos de investimento e perda da propriedade intelectual.  

Qual desses perigos pode mais te prejudica? Como você avalia as ameaças? Como você se protege contra essas ameaças, do maior para o menor impacto? Proteções de perímetro, muitas vezes não responde a estas preocupações.

Avaliação de risco e proteção de risco variam de acordo com a indústria e as empresas. Alguns exigem o uso da tecnologia, alguns exigem mudança de processos, e outros exigem mudanças no comportamento das pessoas. Outras organizações são forçadas a lidar com algumas formas de risco por causa da regulamentação de segurança, independentemente da sua própria análise de risco.

Seja qual for a filosofia de risco de uma empresa e de suas exigências externas, ser seletivo e focar nos maiores riscos é a melhor abordagem.

Mas como focar os riscos? A maioria das empresas, assim como a indústria de fornecedores de segurança, tratam a segurança como um desafio técnico. Eles buscam ter software, hardware e serviços para identificar e reduzir os riscos. Mas poucos envolvem sua equipe, a mesma equipe que cria e usa a informação que está sendo protegida.

Muitas organizações excluem veementemente seus profissionais quando tratam do tema segurança, pois elas não confiam em seus colaboradores. Não há como ter uma equipe comprometida com a segurança se elas não participaram do processo de definição de segurança de sua empresa, o que implica em desenvolver pessoas preguiçosas ou descuidadas com a segurança.

É por isso que hoje uma estratégia de segurança deve mudar a ênfase principal, de dispositivos para as pessoas. Os ataques mais bem sucedidos envolvem pessoas, sejam aquelas que utilizam métodos de engenharia social, como phishing para colocar fisicamente hardware de interceptação em terminais de vendas automatizadas.

A segurança é um jogo dinâmico e relativo de risco - ou seja, suas defesas são melhores do que o nível atual de ameaças? As palavras "dinâmico" e "jogo" são relevantes. Segurança segue as leis da entropia: Os níveis de energia serão executados para baixo, se não renovado. Vigilância constante é necessária. E uma mentalidade de jogo é fundamental para manter a vigilância ativa e adaptativa.

Você precisa entrar na mentalidade das pessoas que criam as ameaças. Eles estão jogando com seus funcionários, e você precisa fazer com que seus funcionários joguem com eles, não como usuários surdos e cegos, mas sim como participantes ativos. Em outras palavras, parar de tratar sua equipe como um problema para conter e, e sim como parte da solução.

Cinco dimensões do novo modelo de segurança

Embora você estar anos longe da perfeição, padrões bastante plausíveis surgiram para deixar que as empresas comecem os ajustes necessários. O novo modelo é aditivo. Você deve continuar com as melhores práticas empregadas nas áreas de mais altas de risco, além de incorporar a orientação em risco e pessoas para uma melhor defesa.

O novo modelo tem cinco dimensões:

  1. Reduza o foco da segurança da informação para o core da empresa e para seus ativos chaves.
  2. Proteja os ativos chaves com os sistemas de defesa em várias camadas.
  3. Envolva as pessoas que usam as informações para proteger os ativos com os quais trabalham.
  4. Trabalhe com os parceiros de negócios para melhorar seus sistemas de defesas.
  5. Faça da segurança da informação um problema de negócios - e não apenas um problema de TI.

1. Reduza o foco da segurança da informação para o core da empresa e para seus ativos chaves.

A segurança perfeita é impossível. No entanto, protegendo tudo igualmente tem sido o objetivo de segurança insustentável em muitas organizações. A abordagem baseada no risco "melhores esforços" é mais racional. Aplicar seus melhores esforços no sentido de que é mais valioso e o que tem o maior impacto no seu negócio. Ao fazer isso, você prioriza os níveis de risco que devem ser mais importantes para os CIOs e outros líderes de TI, para que que possam manter a continuidade de seu negócio.

Determinar quais são os ativos mais preciosos da organização é extremamente importante, mas é muitas vezes controverso. Algumas organizações acreditam que os dados são os bens mais valiosos e necessitam proteção. No entanto, se os atributos de risco são associados a um conjunto de ativos - de dados, software, redes e pessoal -, torna-se evidente que há muito mais a ser considerado sobre a invasão e ataques aos ativos da empresa.

Hoje, o critério para classificação de ativos de informação de negócios para determinar a criticidade é o fator menos comum nas empresas de segurança da informação, como mostrado por uma pesquisa realizada pela PwC e publicada nas revistas CIO e CSO.

Esta abordagem baseada no risco não é fácil, e exige uma grande mudança mental para muitas organizações. Mas há uma boa razão para fazer o esforço: Quanto maior o estoque de ativos e quanto mais complexas as regras, mais difícil será para protegê-los. Uma abordagem mais focada e menos complexa poderia equilibrar melhor o risco com os benefícios e fazer com que você realmente consiga sua proteção desejada.

 

2. Proteja os ativos chaves com sistemas de defesas em várias camadas.

Não há nenhuma maneira de garantir que algo esteja perfeitamente protegido, desta forma o mais correto é buscar resiliência em vez de prevenção absoluta. Qualquer abordagem que requer 100 por cento de prevenção é garantia de falhar. Reconhecer que as defesas têm de ser construídas a partir de múltiplos componentes pode ser a solução. 

O melhor modelo de segurança é o biológico, onde você pode se recuperar e funcionar, apesar de infecções ou lesões. O sistema biológico visa limitar uma intrusão no sistema infectado, por isso não há uma penetração mais ampla. O sistema biológico assume que haverá riscos em constante evolução, e que a pessoa pode ser atacada a qualquer momento.

Todos esses princípios devem ser aplicados para as tecnologias e práticas de negócios que você usa para proteger o seu negócio.Você deve assumir que você está comprometido, e desenvolver uma estratégia em torno desse pressuposto.

(É claro que a maioria das empresas já estão comprometidas, seja por criminosos cibernéticos, concorrentes ou governos.) Entenda que existem muitas fontes de infecção, e não apenas o banco de dados, PC ou dispositivo móvel. A maioria dos sistemas biológicos também usam redundância.

Faça o mesmo para as suas abordagens de segurança, utilize múltiplas camadas de defesas.

 

3. Envolva as pessoas que usam as informações para proteger os ativos com os quais trabalham.

Até as máquinas assumirem o controle total sobre o universo, as pessoas serão a última fonte de ameaças e, frequentemente, o ponto de entrada para as vulnerabilidades.
Mas elas são também a fonte de prevenção.

Algumas das ameaças mais sofisticadas surgem por meio de engenharia social, onde os bandidos aplicam golpes em usuários desavisados através das mídias sociais e contatos de e-mail  - especialmente em executivos e no times operacionais.

A partir daí, de forma deliberada, os bandidos podem avaliar as disposições de segurança da empresa e trabalhar em torno deles. Coloque-se na pele e na mentalidade de ambos: nas pessoas de má intenção, nos membros de sua equipe e parceiros de negócios. Porque as pessoas são muitas vezes o canal para a intrusão, desta forma você deve incluí-los na prevenção. Pare de coloca-los fora do processo, como tem sido o padrão da TI para as duas últimas décadas.

Algumas empresas já descobriram como fazer os funcionários participarem ativamente de comportamentos chaves. As pessoas são jogadoras naturais, desta forma criar incentivos para os funcionários em forma de jogo pode ajudar a evitar ou detectar ameaças, tornando-se um poderoso antídoto.

Felizmente, se os funcionários são selecionados, treinados e monitorados para serem confiáveis, o risco em torno do outro se torna menor, já que um irá monitorar o outro.


4. Trabalhe com os parceiros de negócios para melhorar seus sistemas de defesas.

Vivemos em uma mundo onde informações e processos digitais englobam segmentos empresariais de matéria-prima, produção, distribuição, serviço pós-venda e suporte. Isto é verdade se você estiver em uma empresa que produz bens tangíveis (tais como automóveis e produtos eletrônicos) ou serviços (tais como escolas e hospitais).

Na última década, as empresas tornaram-se altamente virtualizadas, devido a terceirização (para prestadores de serviços, empreiteiros e serviços em nuvem), forças de trabalho distribuídas (também uma mistura de funcionários e de terceiros), locais de trabalho (escritórios distribuídos baseados em satélite e home-office), locais de trabalho terceirizados(tais como call centers), e trabalho em qualquer lugar / trabalhadores nômades.

Não há nenhuma maneira de construir um muro em torno deste ecossistema digital moderno. Você vê essa futilidade na perda de eficácia das defesas tradicionais, como senhas, proteção contra vírus, detecção de intrusão e outros métodos de detecção baseados em assinatura.

As ameaças também mudam dinamicamente, e de fato agora possuem a características de auto-adaptação. Sofisticados bandidos vão diretamente para os servidores, redes e dispositivos de proteções de senha de usuários. Recentes enormes roubos de dados de clientes em grandes varejistas e as revelações do ex-espião Edward Snowden da NSA  toraram este assunto de conhecimento de todos. 

Enquanto muitas empresas se preocupam sobre se iCloud ou Google Drive é uma ameaça, os seus sistemas centrais já estão profundamente comprometidos mais diretamente.

As noções de dentro e fora da empresa raramente não são mais tão claras. Como conseqüência, um dos principais problemas para os CIOs é risco do efeito cascata. Os clientes podem confiar na empresa com a qual eles interagem, mas podem estender-se a confiança para cada outra entidade que faz parte da cadeia de abastecimento?

Você deve trabalhar com seus fornecedores e outros parceiros de negócios para aplicar os conceitos descritos neste artigo para todos os seus sistemas, não apenas com os quais interagem. Afinal, há uma probabilidade de mais conexões que ninguém conhece.

Compartilhar melhores práticas deve ser um hábito constante e a parceria ativa é uma abordagem muito melhor do que simplesmente usar ameaças contratuais.


5. Faça da segurança da informação um problema de negócios e não apenas um problema de TI.


A segurança da informação não é apenas um problema de TI ou tecnologia - é fundamentalmente um problema de gestão que poucas organizações a tratam como tal.

Sim, a empresa vai olhar para o CIO e CISO como responsáveis pela segurança da informação, mas a responsabilidade tem de ser mais compartilhada mais amplamente.

Organizações de tecnologia e de segurança não podem ser responsabilizadas se as ações de indivíduos fora de TI são a base dos problemas de segurança.

É hora de pensar nesta evolução do modelo de segurança da informação como a segurança holística, usando várias tecnologias e técnicas de gestão, com ampla aceitação e prestação de contas, em camadas e sob medida para o risco e valor estimado.

Governança ampla é fundamental, exigindo ações e responsabilidades em toda a organização, envolvendo funcionários, clientes e fornecedores como participantes ativos.

Você precisa de uma governança de segurança da empresa semelhante à forma como o RH opera em empresas líderes, com o envolvimento do conselho de administração até os funcionários.

Se você bloquear acessos ao seu pessoal, em nome da segurança, você não vai ganhar segurança e, na verdade, você pode se tornar menos seguro, pois as pessoas irão parar de trabalhar para tentar burlar as barreiras que você criou.

Governação eficaz significa permitir e incentivar as pessoas a fazer a coisa certa com o caminho de menor resistência, sempre que possível.

Monitorar seu desempenho, educar e treinar-los quando necessário, e aplicar incentivos e penalidades para um padrão de descumprimento.

Por exemplo, se você tiver muitos funcionários que trabalham no campo ou em casa, ofereça uma opção de armazenamento segura em nuvem que funciona com dispositivos populares, para que eles não se sentiam tentado a usar a sua própria, ou pior, recurso como pen drives, CDs graváveis, e e-mails pessoais para manter o acesso aos dados.

Fazer algum phishing interno para identificar os funcionários que necessitam de formação contínua ou, talvez, aplicar sanções como a perda de bônus. Recompense os indivíduos e unidades de negócios que são pró-ativas em suas práticas de segurança e que atuam sobre comportamentos suspeitos.

Tomar uma vacina contra a gripe não garante que você não vai pegar a gripe, mas é uma ferramenta poderosa que funciona melhor quando combinada com uma boa higiene e outras defesas. Algumas empresas realizar auto-avaliações ou rotineiramente contratar hackers éticos.

Tecnologias de monitoramento e análise de padrões, tais como (a prevenção de perda de dados) DLP, logging de banco de dados, monitoramento de eventos de segurança, e ferramentas de informação-forense, pode ajudar também. Elas não são tão úteis como um escudo de prevenção em tempo real, mas eles podem oferecer o benefício que você realmente precisa:

  • identificação de dados que está sendo roubado.
  • identificação do autor do roubo
  • O que está fazendo o que com ele
  • E quando ele está tentando acessar suas informações.

 

A era digital veio mais rápido do que os profissionais de segurança podem se adaptar

É verdade que os esforços para digitalizar negócios ao longo das duas últimas décadas têm ocorrido de forma rápida, entretanto o modelo de segurança da informação não têm se desenvolvido na mesmo velocidade.
Mas é agora que a incompatibilidade é enorme, a única maneira de avançar para se adaptar ao novo ecossistema é: Mude o seu foco para riscos e pessoas.

É hora de parar de tentar proteger as informações na era da interconectividade da mesma forma que você fazia na era do data center. A abordagem perímetro é equivalente à filosofia da Idade Média de proteger cidades com paredes quando o inimigo tem força aérea.

É claro que você pode e deve colocar uma defesa de perímetro em torno dos assuntos mais críticos. O controle de acesso é a melhor defesa, porque menos pessoas e dispositivos que podem acessar o que é verdadeiramente crítico. Se você conceder o acesso, você deve confiar em quem tem o acesso, porque uma pessoa determinada vai encontrar uma maneira de contornar as suas defesas.

Ter uma organização onde a consciência e a responsabilidade da segurança da informação pertence a todos, aumenta as chances das vulnerabilidades serem identificadas mais rapidamente.

As empresas têm de aceitar que as perdas e violações irão ocorrer, e, assim, mudar a mentalidade de prevenção absoluta para prevenção específica combinada com a resiliência e uma noção de perda aceitável - a abordagem comum para os sistemas biológicos e humanos. Durante 40 anos, os esforços concentraram-se na segurança do equipamento e, em menor grau, os dados - removendo o fator humano, na tentativa de reduzir surpresa e variações comportamentais. Isso foi um erro.

Pessoas: Podem ser a chave das vulnerabilidades e ao mesmo tempo seu principal mecanismo de defesa.

A segurança é, em última instância, a responsabilidade humana compartilhada por todos - não é um problema sozinho. Gerenciamento de segurança responsável deve ser um padrão em toda a empresa, onde a responsabilidade e a auto-consciência devem prevalecer.

Não quero sugerir essa está mudança é fácil ou rápida. Mas é necessário.


Artigo completo: How to rethink security for a new world of IT