Desafios a Serem Enfrentados, ROI e Gerenciamento de Ameaças
Ao ser perguntado sobre quais são os principais desafios para equilibrar uma arquitetura de segurança em crescimento, com novas ameaças, enquanto que ao mesmo tempo é necessário justificar o ROI (Return on Investment) para o gerenciamento dessas ameaças, o executivo disse que há pelo menos dois dos principais desafios para equilibrar uma arquitetura crescente de segurança, contra ameaças emergentes.
A primeira é que as ameaças emergentes são desenvolvidas e implementadas muito rapidamente, enquanto quase todo novo elemento da arquitetura de segurança em geral, leva muito mais tempo para ser colocado em prática. Isso gera uma espécie de "janela de risco", onde uma ameaça emergente, de início, não tem nenhum componente de segurança correspondente para enfrentá-lo.
A segunda é que os novos elementos da arquitetura de segurança, normalmente afetariam os usuários e processos de negócios de alguma maneira. Um exemplo prático deste impacto é um projeto de segurança de três pontas, que remove usuários de grupos administrativos locais, requer senha para todas as contas com privilégios elevados, e implanta uma "whitelist" de aplicativos, em um esforço para neutralizar a ameaça emergente de ataques de phishing.
Os usuários, incluindo administradores de servidores que estão acostumados a ter privilégios administrativos locais, tem de se adaptar ao novo ambiente de segurança. Da mesma forma, alguns processos de negócios automatizados que exigem contas com privilégios elevados, também devem ser adaptados para usar o password vault. Estas mudanças têm um impacto sobre os administradores e usuários, que devem ser abordados na fase de planejamento do projeto de arquitetura.
Justificar o ROI para a segurança da informação, pode ser um enorme desafio. A segurança da informação é, de fato, um problema de negócios, e não um problema de TI. A equipe de segurança da informação, deve desenvolver uma estratégia de segurança alinhada com os imperativos de negócios da empresa, e com os diversos programas de TI destinados a apoiar esses imperativos de negócios. Um programa de segurança da informação bem executado, também deve implantar uma arquitetura de segurança que permite que os negócios foquem em resultados (ou seja, permitindo que a empresa possa pesquisar e desenvolver novos produtos, para se expandir em mercados existentes ou até mesmo introduzir em novos mercados, além de poder atrair novos clientes). Tudo isso de forma segura.
Mas isso não é o suficiente. Como os usuários são alvo de ataques avançados e a primeira linha de defesa, a estratégia de segurança da informação deve incluir componentes destinados a modificar os comportamentos do usuário, permitir comportamentos conscientes do risco e exigir a tomada de decisão consciente dos riscos, e ao mesmo tempo, dirigir o cumprimento da legislação e regulamentação. Estes são os componentes do cálculo de ROI para segurança da informação.
Complexidade e Aumento dos Ataques Cibernéticos
Ao ser perguntado se o número e o nível de complexidade dos ataques cibernéticos continuam a aumentar, e se a indústria de segurança da informação está um pouco negligente em relação a isso, o executivo disse que os atacantes sempre tiveram uma vantagem. Além disso, a "janela de risco" definida acima, quando um atacante puder implantar uma nova técnica ou capacidade de ataque garante que muitos cybercriminosos continuarão a ter uma oportunidade em um momento em que as defesas capazes ainda não tiverem sido desenvolvidas ou implantadas.
Cenários, Preocupações, Infra-estrutura Crítica e Impacto de um Ataque Cibernético
Para o executivo, também foi perguntado qual seria o cenário mais preocupante de ser realmente esperado, a partir do qual um ataque cibernético impactasse com sucesso a infra-estrutura crítica de um país? Ele disse que tendo servido mais de 20 anos na Força Aérea dos EUA, incluindo 14 anos na guerra de informação, poderia perfeitamente imaginar alguns cenários muito graves sobre os ataques contra infra-estruturas críticas. Nos Estados Unidos, puderam ser definidas 16 setores de infra-estruturas críticas, como: Chemical; Commercial Facilities; Communications; Critical Manufacturing; Dams; Defense Industrial Base; Emergency Services; Energy; Financial Services; Food and Agriculture; Government Facilities; Healthcare e Public Health; Information Technology; Nuclear Reactors, Materials e Waste; Transportation Systems; e Water e Wastewater Systems.
O potencial impacto de um ataque cibernético, certamente, depende de qual setor de infraestrutura crítica é atacado ou qual combinação de setores críticos de infra-estrutura são atacadas simultaneamente. James disse que, se ele estivesse escrevendo um romance, ele poderia imaginar um cenário em que todos estes setores interligados sofressem um ataque, simultaneamente, em um esforço para destruir um país. Mas também ele disse que reconheceria que todos os que trabalharam no US Counter Terrorism Community em 2001, acabaram sendo atingido de alguma forma, pela destruição dos ataques realizados em 11 de setembro daquele ano. Ninguém acreditava que tal coisa fosse possível.
Necessidade de Capacitação para Enfrentar Sinistros
Esses eventos sinistros, inimagináveis, logicamente pegam todos de surpresa, principalmente por seu efeito devastador. Assim, enquanto tudo o que podemos conceber de um ataque bem sucedido em "infra-estrutura crítica" de um país pode causar estragos para a população, James acha que o ataque mais impactante será um evento catastrófico, algo que absolutamente ninguém acha que é possível e, portanto, ninguém se prepara para tal.
Planejamento e Execução dos Ataques
As organizações e os governos estão cada vez mais preocupados com o planejamento e a execução ataques cibernéticos. Dessa forma, James foi inquirido a dar sua opinião sobre estes testes, dado o fato de que essas investidas geralmente são meticulosamente planejadas com antecedência e se elas poderiam fornecer uma imagem pragmática da postura geral de segurança.
O executivo disse que a maioria destes exercícios, não são realmente concebidos para fornecer uma imagem pragmática da postura geral de segurança das entidades que participam dos treinos. E isso pode ser parte do problema, e uma falsa sensação de segurança pode ser criada. Alguns testes são projetados somente para avaliar os canais de comunicação entre os participantes, e não testar qualquer cenário de ataque.
Outros testes são projetados para jogar fora um cenário de ataque único, e uma entidade pode se sair bem contra esse cenário específico. Mas eles não podem fazer tão bem contra outros cenários. Para obter uma imagem mais clara da postura geral de segurança de uma organização, ela deve se submeter a vários cenários de ataque combinado com uma avaliação do seu programa baseado em um Capability Maturity Model (CMM), que deve ser cuidadosamente projetado. Nesse contexto, James disse que foram feitas avaliações com até 10 diferentes cenários de ataque combinados com uma avaliação CMM, para dar a um cliente uma compreensão mais clara da postura global do seu programa de segurança da informação.
O CMM foi concebido para avaliar o programa de segurança da informação, em 20 áreas específicas. Algumas dessas áreas incluem Security Architecture, Asset Management, Security Awareness & Training, Governance and Organization, Identity and Access Management, Security Incident Management, Metrics and Reporting, Information Security Strategy, Third Party Management and Threat & Vulnerability Management. Vale ressaltar que nenhum dos testes patrocinados por órgãos governamentais ou regulamentares, são projetados para avaliar todas as áreas cobertas no CMM ou mesmo para avaliar a vulnerabilidade de uma empresa a uma ameaça interna. Portanto, eles não podem dar a uma entidade participante, uma visão pragmática da postura geral de segurança.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1951&p=3