Security Risk Assessment o Primeiro Passo para Melhoria de Cyber Security

Planejar é fundamental para a redução de risco cibernético

Planejar adequadamente o investimento é fundamental para a redução de risco cibernético.

Embora tenhamos observado um contínuo crescimento dos ataques cibernéticos, muitas empresas continuam tratando a Segurança da Informação de forma desestruturada e não prioritariamente.

Na minha leitura, embora seja certo a falta de investimento financeiro e de recursos na área, acredito que parte do problema é devido à falta de planejamento adequado da área. No escasso budget a prioridade acaba sendo a compra de softwares de proteção, atualização ou mesmo automatização de processos, porém estrategicamente deveríamos começar nosso investimento pelo Security Risk Assessment.

Pesquisa de Segurança da Informação de 2018 da PwC, que pesquisou mais de 9 mil executivos de negócios e tecnologia em todo o mundo, descobriu que mais de um quarto (28%) não sabe quantos ataques cibernéticos sofreram no total e um terço também não sabem como eles ocorreram. Enquanto alguns incidentes de segurança são o resultado de atacantes de alto nível usando técnicas avançadas para disfarçar suas atividades, a grande maioria dos casos são causados ​​por falhas de segurança comuns e podem ser facilmente evitadas com uma melhor governança e controle de processos.

Talvez o passo mais importante que uma organização possa tomar para melhorar sua segurança é realizar uma avaliação de risco de Segurança da Informação completa. Isso é crucial para entender onde as maiores vulnerabilidades dentro da organização estão, bem como quais potenciais ameaças externas podem estar enfrentando. Qualquer empresa tentando criar uma estratégia de Segurança da Informação sem este conhecimento simplesmente estará jogando dinheiro fora.

Esta abordagem certamente diminuirá os erros básicos no gerenciamento de segurança que permitem ataques e levam a violações acidentais.

Uma avaliação de risco abrangente deve levar em consideração os domínios da ISO 27001:

  • Política de Segurança
  • Organizando a Segurança da Informação
  • Segurança em Recursos Humanos
  • Gestão de Ativos
  • Controle de Acessos
  • Criptografia
  • Segurança Física e do Ambiente
  • Segurança nas Operações
  • Segurança nas Comunicações
  • Aquisição, Desenvolvimento e Manutenção de Sistemas
  • Relacionamento na Cadeia de Suprimentos
  • Gestão de Incidentes de Segurança da Informação
  • Gestão da Continuidade de negócios
  • Conformidade

Desta forma, avaliar somente os quesitos de TI ou não incluir uma avaliação dos serviços prestados por terceiros deixaria uma brecha importante, pois sabemos que os atacantes utilizam-se de técnicas de Engenharia Social pra burlar os controles tecnológicos e muitos dos maiores incidentes que noticiamos aqui no Blog Minuto da Segurança tiveram como origem prestadores de serviços.

Com isso em mente, uma avaliação minuciosa não é uma tarefa pequena, e geralmente requer uma grande quantidade de planejamento e preparação para executar.

Devido a complexidade e o detalhamento requerido, as empresas precisam basear suas avaliações em torno de um framework de avaliação de risco, se possível incorporando elementos e características internas da empresa para que os resultados sejam adequados.

Uma opção para a avaliação de risco é uma combinação baseada na ISO 27001, combinada com Cobit ou NIST, 800-53 e o NIST Cybersecurity Framework (CSF)

NIST e ISO

O framework anterior NIST 800-53 foi projetado para apoiar a conformidade com os Federal Information Processing Standards (FIPS) dos EUA, que fornece à organização evidências sobre a eficácia dos controles implementados, indícios de qualidade dos processos de gerenciamento de risco usados ​​e informações sobre os pontos fortes e fracos dos sistemas de informação.

O NIST Cybersecurity Framework (CSF) foi projetado para ajudar as organizações de todos os tamanhos e qualquer grau de sofisticação da segurança cibernética a aplicar as melhores práticas de gerenciamento de riscos. A estrutura é composta por três componentes: perfil de estrutura, núcleo de estrutura e níveis de implementação de estrutura.

A ISO 27001 é outra estruturas muito conhecida e amplamente utilizada no Brasil. Como o NIST, as estruturas ISO são flexíveis o suficiente para atender a maioria dos tamanhos e estruturas organizacionais. Os quadros podem ser úteis para dissuadir uma organização da mentalidade de conformidade, pois incentivam as organizações a avaliar seus próprios riscos de Segurança da Informação e implementar controles de acordo com suas necessidades. A ISO também promove uma abordagem de feedback contínuo para abordar mudanças nos cenários de ameaças externas ou internas e implementar melhorias continuas.

Quando combinados com conceitos de CMM (Capability Maturity Model) os frameworks produzem um resultado de maturidade, que permite comprara com as empresas da mesma vertical da indústria e estabelecer metas de curto, médio e longo prazo.,

Seja qual for a combinação de frameworks e metodologias adotadas, é essencial que o processo de avaliação seja aderente e inclua os objetivos de negócios da organização. Uma das atividades mais importantes na preparação de uma avaliação abrangente é realizar entrevistas com gerentes seniores, administradores de TI e outras partes interessadas em toda a organização. Isso ajudará a desenvolver uma compreensão muito mais realista das ameaças potenciais da organização, a probabilidade de comprometimento, o impacto e a perda.

 

Board Executivo

 

Também é essencial que a avaliação de risco seja entendida e suportada no mais alto nível da organização. Sem o “buy-in” do board executivo e de outros líderes seniores, é provável que a avaliação de risco acabe por ser pouco mais do que uma série de recomendações que nunca são implementadas.

Ao alinhar as estruturas de avaliação da indústria com seus objetivos de negócios, as organizações podem realizar uma avaliação que não só destaca ameaças potenciais, mas também implementa mudanças reais que melhoram sua postura de segurança. No entanto, para isto é importante que as análises sejam feitas sem que haja medo de demonstrar os resultados ao mesmo tempo que suas recomendações possam ser tratadas com seriedade a a efetiva implementação de controle e proteção, e não somente com item de um check list de “compliance“.

Já pude observar muitas empresas que fizeram o Security Risk Assessment e engavetaram as ações após terem implementados as políticas e normativos que suportam as implementações e pós terem implementados controles mitigatórios ou processuais para que o “auditor” pudesse constatar que existe “controle” implementado.

Esta abordagem de “compliance“, definitivamente não interessa para um planejamento de Segurança da Informação, por isto, na medida do possível, consiga a correta visibilidade e atribuição de importância ás análises de risco de segurança e crie um planejamento de implementação dos controles realistas com a sua empresa, não adianta definir que vai implementar em 3 anos se a empresa ainda não possui maturidade e necessita de 5 ou mais para chegar ao mesmo ponto de maturidade desejado.

A MindSec atua com clientes na realização do Security Risk Assessment, na criação do Maturity Model e na criação do planejamento estratégico, consulte nosso representante  contato@mindsec.com.br

 

Veja também:

Maioria das Empresas Falham em Seu Planejamento de Segurança

Gerenciamento de Risco Cibernético

66% das SMEs Fechariam após Ataque Cibernético

Como Calcular o ROI e Planejar os Investimento de Segurança

Como Estruturar a Gestão de SI de Forma Eficaz

 

 

Por MindSec  27/11/2017
Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!