Quando foi
a última revisão do seu programa de
segurança?
|
 |
 |
|
Quão segura é a sua rede corporativa? Um verificador de avaliação de vulnerabilidades pode exibir todas as brechas que um hacker encontraria em sua infra-estrutura de informações.
Introdução
Não basta apenas instalar programas de segurança
de informações e esquecer que eles existem.
É muito fácil se deparar com preocupações
aparentemente mais urgentes, e acabar deixando seu programa
de segurança de TI relegado a segundo plano.
A cada período de 6 a 12 meses, é preciso
voltar atrás e revisar o estado do programa de
segurança da sua empresa. É preciso, principalmente,
fazer uma avaliação básica do status
atual, o que implica em uma boa análise do pessoal,
dos processos e da tecnologia envolvidos no programa.
Talvez você já tenha realizado uma avaliação
básica antes, porém é importante
reavaliar periodicamente a integridade geral do programa
de segurança e fazer ajustes conforme a necessidade.
Podemos fazer uma analogia com o checkup regular que
você faz com o seu médico, em que são
medidas condições como peso, pressão
arterial e temperatura do corpo. Depois do exame, pode
ser que o seu médico o aconselhe a abandonar
a vida sedentária, adotar uma dieta mais saudável
e descansar mais. Do mesmo modo, a avaliação
básica examinará os elementos vitais do
programa de segurança (pessoal, processos e tecnologia),
e os resultados indicarão as deficiências
e as recomendações sobre como melhorar
a eficiência geral do seu programa.
Vamos analisar cada um desses três elementos
e dar algumas sugestões sobre como detectar e
corrigir quaisquer pontos vulneráveis do programa.
Pessoal: Certificações e Treinamento Contínuo
A área de tecnologia da informação
em geral, principalmente a de segurança de informações,
sofre rápidas mudanças. Muita coisa pode
acontecer no mundo da segurança das informações
no decorrer de um ano – ou mesmo em seis meses.
Será que a sua equipe de segurança conhece
os mais recentes assuntos da área, como prevenção
de intrusões, novas tendências em segurança
de aplicativos e a importância de corrigir imediatamente
as vulnerabilidades?
Assim como as ameaças e a tecnologia da segurança
nunca param de evoluir, também o processo de
aprendizado dos seus funcionários nunca pode
parar. Para dar o exemplo, você deve incentivar
o treinamento em segurança que garanta conhecimento
atualizado. Isso pode implicar apoio financeiro para
treinamento, certificação ou participação
dos funcionários em congressos fora da empresa,
ou mesmo trazer instrutores de segurança para
o ambiente de trabalho.
É importante que os principais membros da equipe
tenham certificações em segurança.
Não só essas certificações
indicam um bom entendimento e conhecimento prático
de questões de segurança, como também
a maioria delas exige educação contínua
para garantir a manutenção da certificação.
Assim, os membros certificados da sua equipe terão
renovação constante de seu treinamento
e ficarão atualizados em relação
às mais recentes ameaças, tecnologias
e diretrizes de segurança.
Cada certificado demonstra conhecimento em uma determinada
área de especialização de segurança
das informações. A seguir estão
os quatro mais conhecidos certificados de segurança,
suas respectivas áreas de atuação
e exigências para certificação renovada:
- Certified Information Systems Security Professionals (CISSP) - É a certificação mais comum e trata da estratégia e arquitetura de segurança. Para receber uma certificação CISSP, é necessário passar no teste realizado pelo (ISC)2 e também ter um mínimo de três anos de experiência de trabalho em áreas de segurança relevantes. Recomendo que os membros da sua equipe envolvidos com arquitetura ou estratégia de segurança obtenham uma certificação CISSP. Além disso, é necessário obter 120 créditos de educação profissional (CPE) a cada três anos.
- Certified Information Security Manager (CISM) - A certificação CISM se concentra exclusivamente no gerenciamento da segurança das informações. Os candidatos a CISM precisam ter pelo menos cinco anos de experiência em segurança das informações e três anos em gerenciamento da segurança das informações. Os profissionais certificados pela CISM devem concluir pelo menos 20 horas de CPE anualmente.
- Certified Information Systems Auditor (CISA) - As áreas de conhecimento específicas da CISA são auditoria e conformidade de TI. Os candidatos a CISA devem ter um mínimo de cinco anos de experiência profissional em segurança, controle e auditoria de Sistemas de Informação antes de poderem prestar o exame da CISA, e devem continuar com pelo menos 20 horas de CPE anualmente.
- SANS Global Information Assurance Certifications (GIAC) - O ideal é que os profissionais envolvidos em operações de segurança diárias em sua empresa tenham uma certificação GIAC. A GIAC é a única certificação que requer que os candidatos passem em um teste prático para demonstrar seus conhecimentos de segurança em situações reais de trabalho do dia-a-dia. Além disso, os titulares das certificações GIAC devem obter certificação renovada passando em um exame de "atualização" a cada dois a quatro anos.
Tecnologia: auditoria independente
e teste de penetração
Recomendo enfaticamente que um auditor independente
conduza uma revisão anual do seu programa de
segurança. Os resultados darão uma orientação
imparcial e precisa do andamento do programa de segurança.
Durante a revisão, o auditor pode avaliar os
processos de segurança implementados em sua equipe,
como administração de contas, além
da tecnologia implementada, como configuração
de firewalls. Ele pode também analisar minuciosamente
o nível de proteção das informações
e identificar áreas de risco.
Outra forma importante de avaliar a eficiência
da sua tecnologia de segurança é executar
um teste de penetração. Nesse tipo de
teste, um consultor de segurança externo se empenha
para descobrir "aleatoriamente" o máximo
que pode sobre os seus sistemas, e prossegue usando
essas informações contra você para
tentar penetrar neles. O consultor não recebe
nenhum detalhe da sua infra-estrutura de rede, portanto
depende de informações de domínio
público e de engenharia social para verificar
até onde consegue chegar. Os resultados identificarão
áreas de risco e ajudarão a sua equipe
a configurar adequadamente os pontos vulneráveis
da tecnologia. As revisões independentes e o
teste de penetração são dois métodos
muito eficazes de identificar áreas de alto risco
e pontos vulneráveis antes que sejam explorados,
notificando antecipadamente a sua equipe para que ela
possa ajustar de modo apropriado a tecnologia e as práticas
de segurança.
Processo: revisão das políticas
e conscientização da segurança
Por fim, recomendo a revisão periódica
das políticas de segurança, além
dos processos implementados para treinar os funcionários
e cumprir as orientações.
- Revisão e atualização das políticas de segurança de rotina - Quando foi a última vez que você avaliou as políticas de segurança implementadas para garantir que ainda sejam relevantes e estejam atualizadas? Se você não revisa as políticas há mais de um ano, está na hora de fazê-lo. Elas nunca devem ser consideradas estáticas. Recomendo uma revisão anual de todas as políticas - incluindo administração de contas, acesso remoto, gerenciamento de vulnerabilidades, resposta a incidentes e uso aceitável. À medida que ocorrem mudanças nos ambientes operacionais, no planejamento da empresa, nas regulamentações e na economia da empresa, e que surgem novas ameaças e tecnologias de segurança, sua política deve ser atualizada adequadamente para refletir essas mudanças. Pense na abrangência das políticas implementadas no momento. Será que elas são abrangentes o suficiente? Uma revisão anual das políticas reduzirá o risco, poupando sua empresa de uma exposição desnecessária.
- Será que o seu programa de conscientização da segurança é eficaz? - Quantos dos funcionários da sua empresa conhecem as políticas de segurança que a sua equipe implementou? Será que eles entendem a importância da segurança das informações? Será que sabem a quem recorrer se detectarem uma operação suspeita em seus computadores? Para que se preocupar com políticas de segurança se os funcionários nem sabem de sua existência? A conformidade em toda a empresa é necessária para que uma política seja eficaz, mas ela não existirá a menos que a equipe de segurança inicie e mantenha um alto nível de conscientização da segurança na empresa. É sua responsabilidade fazer com que todos entendam a importância dessas iniciativas - e estejam cientes dos respectivos riscos. Isso inclui informar a eles os diversos problemas de segurança, como uso indevido de informações, uso adequado do e-mail e segurança física, dentre outros. Ofereça procedimentos de resposta a incidentes. Os funcionários devem saber a quem estão subordinados e quais medidas tomar caso se deparem com violações à segurança. Não deixe que os funcionários sofram constrangimentos para gerar um relatório, senão eles podem ignorar essa tarefa da próxima vez. Ao se empenhar em atualizar o programa de segurança, você tem a oportunidade de se comunicar com os funcionários e lembrá-los de seu importante papel na segurança geral da empresa.
Conclusão
Com velocidade sem precedentes, as atuais ameaças
da Internet podem encontrar portas expostas para uma
rede empresarial, e os atuais agressores estão
ficando cada vez mais hábeis em explorar vulnerabilidades.
Um ano é uma eternidade no mundo da segurança
da Internet – muita coisa pode mudar nesse período.
Se você não reavaliou o pessoal, os processos
e a tecnologia envolvidos na segurança nos últimos
6 a 12 meses, é melhor fazer uma atualização.
Uma empresa pró-ativa e consciente quanto à
segurança sofre menor chance de ser prejudicada
por indivíduos desatentos ou áreas vulneráveis.
Se você é o executivo encarregado da segurança,
seus funcionários certamente se espelharão
em você como bom exemplo. Dê o exemplo,
concentrando esforços para evitar cair na armadilha
de executar um programa de segurança desatualizado.
|
|
|
