Para começar um projeto de VM, alguns passos são fundamentais nesse pontapé inicial:
1. Reúna o pessoal responsável: iniciar um processo de VM requer que você alinhe os objetivos com as áreas envolvidas.
- Equipe de Segurança: Responsáveis pelo processo, acompanharão todas as entregas e guiarão possíveis reuniões semanais para tratar dos assuntos pertinentes. Além disso, a equipe de segurança será responsável por configurar, gerenciar e executar os scans de vulnerabilidades.
Idealmente, também ficará por dentro dos ciberataques que estão em maior evidência e acompanharão as vulnerabilidades divulgadas.
- Equipe de Gerenciamento, Risco e Compliance (GRC): Se sua empresa tem uma área responsável por análise de risco, sua participação deles é fundamental, pois os resultados do programa guiarão as análises das atividades da equipe.
- Fornecedores de tecnologia: Responsáveis pela manutenção e suporte das tecnologias utilizadas como servidores, desktops, equipamentos de rede e impressoras. Geralmente aplicarão as ações de correção das vulnerabilidade.
- Outras equipes: Traga as equipes necessárias de acordo com as particularidades de sua empresa.
2. Identifique os ativos: uma vez que você tenha alinhado as equipes, confirme quem são as pessoas responsáveis por cada ativo. Este é o momento ideal para checar o inventário de ativos da empresa.
3. Escolha da tecnologia: existem diversas soluções disponíveis no mercado, pagas e gratuitas, e a maioria oferece trial. Portanto, teste bem os resultados e adeque seus objetivos com o que cada uma oferece.
4. Defina um calendário: o período entre scans é de suma importância. Tente fazer, ao menos, um scan mensal em toda a rede e crie formas de se executar scans emergenciais para vulnerabilidades críticas. Para servidores e equipamentos de rede, execute-os durante a madrugada.
5. Crie indicadores: defina como será avaliada a entrega do seu trabalho, criando indicadores que atendam às necessidades das equipes envolvidas e dos superiores.