No último artigo comentei sobre os desafios da segurança da informação em um mundo marcado pela volatilidade, incerteza, complexidade e ambiguidade (VUCA em inglês). Para quem não teve a oportunidade de acompanhar o artigo, VUCA é acrônimo criado pelo Army War College dos Estados Unidos em 1987 para definir a nova realidade do mundo e suas ameaças. Esse mês irei me aprofundar em como planejar a segurança em um cenário de volatilidade e incerteza.
Volatilidade se define como a
dinâmica dos eventos, inesperados tanto em sua natureza como em seu alcance. O
oposto de volatilidade é a estabilidade, ou a quantidade de eventos e nível de
criticidade considerado como padrão, e que a empresa enfrenta na maior parte do
ano. Em um ambiente estável espera-se o que irá ocorrer, que é conhecido e,
portanto, a resposta está documentada e treinada. No entanto, algo desconhecido
e inesperado pode ocorrer a qualquer momento. Dizer que segurança é volátil é
reconhecer que não há garantia de estabilidade nos elementos que estão fora do
alcance de controle da empresa: hackers e usuários mal-intencionados.
Incerteza é o grau de
imprevisibilidade dos eventos. Como os grandes ataques mostraram, as técnicas,
vetores e extensão da invasão são somente identificados após o inicio e, em
alguns casos, após seu êxito. Em alguns casos as vítimas apenas perceberam que
havia uma invasão em curso depois que os sistemas saíram do ar, os dados foram
roubados ou o computador ficou inacessível. Os resultados de não saber o que
está ocorrendo são a surpresa, não saber como reagir e a sensação de
impotência. Volatilidade e Incerteza
estão ligados. Um evento pode ocorrer a qualquer momento sem aviso prévio, e
não temos como conhecer de antemão seus métodos e consequências.
A estratégia sai um pouco do senso
comum de adquirir produtos ou serviços de segurança unicamente, contando que
eles irão eliminar o risco ou reduzi-lo a níveis aceitáveis. No entanto, como
já comentei, mesmo um residual de risco de 1% pode tirar uma empresa do ar e
afetá-la durante dias.
O primeiro passo é estar preparado. Se
não sabemos quando e como um ataque irá ocorrer, e nem sua natureza e dimensão,
mas concordamos que um ataque bem-sucedido em algum momento poderá e irá
ocorrer, o primeiro passo é estar sempre preparado. O contrário infelizmente é
impossível. Não há como eliminar todo o risco.
Estar preparado implica na empresa
(não apenas TI) possuir um plano de resposta a incidentes (PRI) que defina as
ações das diferentes áreas em uma hipotética invasão e dê ordem e agilidade à
reação. O que farão TI, segurança e redes? Como as operações essenciais serão
mantidas? O plano deve incluir as áreas de marketing e comunicações para
monitorar eventuais repercussões com clientes e da área jurídica para eventuais
processos decorrentes da afetação de serviços ou vazamento de dados de
clientes. Um bom PRI requer equipes especializadas e não custa barato, seja
montado internamente ou contratado de provedores especializados, mas é
necessário. Deve também sofre atualizações continuas para acompanhar mudanças
nos negócios e ser testado periodicamente. Qualquer semelhança com planos de
continuidade de negócios não é coincidência.
Com o PRI a empresa não será pega de
surpresa, mas não podemos esquecer que estar preparado não significa saber o
que está acontecendo. Ataques são incertos, não dá para adivinhar como eles se
desenrolam. Para isso há duas características essenciais que todas as empresas
deveriam buscar em seu planejamento de segurança: visibilidade e contexto.
Visibilidade significa simplesmente
ver tudo o que está trafegando em rede. Como já comentei em artigos anteriores,
é comum a análise do tráfego de rede em pontos específicos, como os perímetros externos
e internos, sendo esta análise executada por um firewall ou IPS. A proposta é inspecionar
todo o tráfego de rede em busca de anomalias ou tráfego suspeito, aquele que se
comporta similarmente a ataques. Exemplo de tráfego suspeito é aquela
direcionado à países com os quais a empresa não possui conexões comerciais, mas
há muitos outros. Como em todas as tecnologias, há soluções hoje disponíveis
para todos os tamanhos de empresa, como produtos ou serviços, alguns já
fornecidos desde a nuvem. Devem também estar visível o tráfego de dispositivos
de infraestrutura como câmeras e controles de ar-condicionado, dentre outros.
A análise do tráfego requer o que
chamo de contexto, a correlação de vários dados a respeito do tráfego: (1) quem
está acessando (o usuário mais que o endereço IP), (2) de qual computador (o
normalmente usado pelo usuário ou não); (3) de qual sistema operacional (é o
que ele possui em seu computador ou não); (4) de qual localidade (dentro ou
fora do escritório); (5) quando (dentro do horário de trabalho ou comumente
usado) e (6) o que está fazendo na rede (está acessando algum servidor ou
serviço fora do seu padrão). Quanto mais
dados correlacionados, melhor e mais confiável a análise.
Notem que ambos, visibilidade e
contexto, podem ser usados também na prevenção e detecção de ataques, o que nos
leva ao quarto elemento da estratégia: antecipação. Não podemos adivinhar o que
irá ocorrer, mas podemos aumentar nosso grau de alerta em resultado de
ocorrências internas – detectadas pelos sistemas de visibilidade – e externas.
Para este último devemos buscar inteligência em segurança. Inteligência é
conhecimento e informação. Saber os ataques que estão ocorrendo no mundo e
relacioná-los com a infraestrutura da empresa. Se algo está ocorrendo, mesmo
que do outro lado do mundo, certamente chegará até você. Antecipe-se. Esteja
preparado.
Também não estamos sozinhos no
mundo. Os hackers compartilham informações o tempo todo, porque não nós?
Convide pares de empresas de seu segmento e crie fóruns para intercambio permanente.
Esqueça concorrência, pois nesse assunto os concorrentes são os hackers.
Finalmente, nunca esteja em uma área de conforto. O invasor só precisa acertar
uma vez. O defensor precisa acertar em todas.
Nenhum comentário:
Postar um comentário