Segurança da informação no ambiente de TI corporativo é um trabalho complexo que requer recursos como infraestrutura, processos, conhecimentos especializados e, como em qualquer outra área crítica, muita dedicação da equipe responsável. Este artigo visa esclarecer quais são os pontos macro para a segurança de uma empresa que prezem pelos pilares de confidencialidade, integridade e disponibilidade objetivando a resiliência do negócio.
Segundo uma pesquisa da Intel Security, as equipes de TI normalmente têm grandes desafios para entregar segurança. 84% dos profissionais declararam ter alguma ou muita dificuldade para detectar e responder a incidentes devido à falta de integração e comunicação entre as suas tecnologias de segurança. Somado a isso, 35% dos profissionais não se sentem confiantes para responder a incidentes com ameaças avançadas. Já uma pesquisa da RSA, 43% dos incidentes ocorrem por falhas de configuração.
Depender apenas do antivírus e criptografia como gestão de vulnerabilidade é coisa de um passado distante para as corporações, cibersegurança e risco estão se tornando cada vez mais importantes na pauta dos altos executivos. Segundo o Gartner, líderes da área devem melhorar a forma como comunicam o valor de investimentos em segurança, sua importância e status das atividades do programa ligando-as às metas e objetivos de negócios, e não apresentando métricas de tecnologia e cronogramas do projeto.
Embora a visibilidade da segurança por parte da direção esteja melhorando, ainda há gestores que remam na direção contrária tentando disfarçar os problemas. Apenas com conhecimento do que está acontecendo e do que pode acontecer, apontando os riscos e impactos ao negócio, será possível aprovar verbas para mais investimentos, desenvolvimento da cibersegurança e elevação do nível de maturidade.
Assim, vejamos a seguir as tecnologias e serviços, que não podem faltar nas corporações:
Tecnologias de segurança da informação
Este é o primeiro passo em segurança de uma organização. Constantemente novas tecnologias, de diversos fabricantes, são lançadas ao mercado. Mas, em qual investir? Provas de conceito ajudam nessa escolha, assim como uma assessoria consultiva para detecção de gaps. Então, por onde começar? Algumas são básicas e necessárias para todos os ambientes, outras são adequadas para determinados portes de empresa e segmentos de mercado. Entre as aplicáveis a todos segmentos podemos listar:
Básico
Endpoint Protection: Proteção de servidores e estações de trabalho contra malware (vírus, spyware, etc)
Firewall: Controle do tráfego entre redes
Intrusion Prevention System (IPS): Bloqueio de ataques a redes
Secure Email Gateway: Controle de conteúdo e bloqueio de tráfego malicioso em e-mail
Secure Web Gateway: Controle de conteúdo e bloqueio de tráfego malicioso no acesso à Internet
Web Application Firewall (WAF): Bloqueio de ataques a aplicações, sem necessidade de correção das aplicações
Vulnerability Management: Gestão automatizada de vulnerabilidades, desde a sua detecção até a sua correção
Aprimoramento
Police Compliance: Análise da conformidade de ativos de TI em relação a políticas e normas internas e externas
Patch Management: Atualização tempestiva das correções de Segurança disponibilizadas pelos fabricantes
Advanced Persistent Threat Protection: Detecção e combate a ameaças focadas e avançadas persistentes
Data Loss Prevention: Classificação e controle das informações contra vazamentos indevidos ou acidentais
Essa categorização, no entanto, não é definitiva. Para algumas empresas, UTM e DDoS são fundamentais, quanto que para outras, como no caso do segmento financeiro, a tecnologia de Token é primordial. As tecnologias podem ser classificadas por linhas de atuação, como: Infraestrutura, Informações, Sistemas, Dispositivos, Usuários e Inteligência.
É claro que, para entregar todo benefício oferecido por cada tecnologia, alguns pontos são fundamentais. É preciso que a mesma receba uma implementação adequada ao ambiente da empresa e, dependendo do tipo, que seja alimentada continuamente para garantir sua eficiência, o que chamamos de threat intelligence [saiba mais].
Monitoração do ambiente de segurança de TI
Para responder a incidentes e mitigar os riscos é preciso saber o que está acontecendo no ambiente de segurança de TI da organização. A base para a proteção de uma rede corporativa é a constante coleta e análise, em tempo real, dos milhares de logs gerados pelos ativos de segurança da rede. Processos maduros, tecnologia avançada de análise (como um SIEM) e threat intelligence são requisitos fundamentais para a efetiva detecção e resposta a ameaças. É preciso avaliar cada alerta, descartar falsos positivos, verificar o potencial de ameaça e priorizar os incidentes de segurança para a necessária e efetiva reação.
Resposta a incidentes de segurança
Quando uma organização sofre um ciberataque, o tempo de resposta é determinante para minimizar as consequências e proteger as informações críticas. A demora e ineficiência no tratamento do incidente só aumentarão os danos e perdas de uma violação de segurança. O time de resposta deve seguir a priorização dos incidentes conforme sua criticidade a fim diminuir o impacto que eles podem causar à organização. É preciso, ainda, analisar o incidente para estancar as consequências e erradicar o problema ou, ao menos, definir a melhor forma de tratá-lo caso venha a reincidir.
Gerenciamento proativo de segurança
O gerenciamento de ativos de segurança requer recursos dedicados e profissionais altamente especializados e atualizados trabalhando de forma ininterrupta. Responsável por ajustes contínuos de configuração nas diversas tecnologias de segurança de TI, – utilizar os Serviços Gerenciados de Segurança adequados reduz drasticamente os ataques ocasionados por configuração inadequada dos ativos, mudanças decorrentes de políticas de segurança e atendimento à dinâmica do negócio. Isso é essencial para que haja eficiência da tecnologia adquirida, alinhando o ROI às expectativas e necessidades de cada organização.