Durante os últimos anos aumentaram as medidas de
protecção, os equipamentos e os sistemas que os departamentos de
TI utilizam para se defenderem de ataques externos e internos,
aumentando exponencialmente a necessidade de uma gestão adequada
da segurança da informação.
A expansão das fronteiras dos negócios para ambientes de maior
risco, cada vez mais dinâmicos e variáveis, a utilização
progressiva de contra medidas, as responsabilidades distribuídas
entre os actores que intervêm na sua manutenção, a complexidade e
diversidade dos sistemas, a existência de fontes de informação
muito diversificadas e desconexas e a necessidade de centralizar a
visão do estado da Segurança aumentaram a complexidade desta
gestão e, portanto, o esforço necessário para garantir níveis de
segurança adequados.
Neste artigo explicaremos que alternativas existem para enfrentar
as situações descritas anteriormente.
A problemática
A Gestão da Segurança é um serviço ao Negócio que deve ser
abordado a partir de uma perspectiva de eficácia e melhoria
contínua e passa necessariamente por se saber o que está a
acontecer e o que poderá vir a acontecer. Para se saber o que está
a acontecer na rede, nos sistemas e nas aplicações, estes precisam
de ser monitorizados, sendo portanto necessário gerir os eventos
de segurança. Para se prever o que poderá acontecer, é necessário
detectar que vulnerabilidades têm os sistemas, quais são as novas
ameaças que poderão afectá-los e realizar as gestões adequadas
para minimizar os riscos de ocorrência de um incidente.
Algumas das tarefas que será necessário realizar na gestão de
eventos de segurança são a definição de sistemas e eventos a
monitorizar, a centralização de eventos, a sua normalização, a sua
correlação, a sua categorização, a definição de acções de
contenção e/ou resolução de um possível incidente, a sua
comunicação, a execução das acções definidas, o seguimento da
resolução do incidente e o reporte em relatórios e Painéis de
Controlo.
Em paralelo, as tarefas a realizar na gestão de vulnerabilidades
incluem a planificação das análises, a sua execução de maneira a
não afectar a Produção, a interpretação dos resultados para
eliminar falsos positivos, a proposta de acções de resolução das
vulnerabilidades identificadas e, por último, dar seguimento às
soluções e ao reporte em relatórios e Painéis de Controlo.
Finalmente, as tarefas próprias da gestão de ameaças incluem a
atenção a listas de avisos de vulnerabilidades e a participação em
chats, fóruns e eventos de segurança para detectar as ameaças que
poderão concretizar-se na organização. Uma vez detectadas, a
gestão para a sua contenção é semelhante à das vulnerabilidades:
proposta de acções, apoio aos administradores, seguimento e
reporte.
A problemática concreta da gestão de ameaças reside no elevado
número de novas vulnerabilidades publicadas cada dia na Internet,
o que torna necessário dedicar um grande esforço à sua revisão e
compreensão, avaliar se elas se aplicam à infra-estrutura, propor
acções para a sua resolução e seu posterior seguimento.
Por outro lado, a qualidade do inventário é fundamental para
evitar falsos positivos e prioritizar as acções. Este inventário
deve facilitar o agrupamento de activos por critérios abertos, a
definição da criticidade de cada activo ou grupo de activos, a
orientação do serviço para processos de Negócio, assim como a
relação da informação procedente da gestão de eventos,
vulnerabilidades e ameaças com os activos ou grupos de activos.
As alternativas
Do ponto de vista da Organização deve avaliar-se se se pretende e
pode externalizar alguma destas actividades. Devem ser respondidas
perguntas como O quê, Como, Quando, Com quem e Qual é o custo.
Do ponto de vista Tecnológico, pode-se optar por duas estratégias.
A primeira consiste em adquirir e manter uma ferramenta de
monitorização e gestão de eventos. A segunda está relacionada com
a contratação de um serviço gerido que realize as actividades que
não sejam consideradas estratégicas.
O objectivo será automatizar dentro do possível
as actividades a realizar. De outro modo, não serão executadas
adequadamente ou será necessário um esforço muito elevado.
A opção da aquisição de uma ferramenta deve ser avaliada tendo em
conta os custos de aquisição de licenças, assim como o esforço de
implementação de agentes, de definição, manutenção e evolução de
regras de filtragem e correlação de eventos e, finalmente, de
integração de métricas num Painel de Controlo de Segurança. Por
consequência, os recursos e o tempo necessários para se conseguir
resultados óptimos são importantes.
Além disso, não é suficiente abordar um projecto que implemente a
ferramenta; é necessária uma actividade continuada que analise os
alarmes gerados e realize um seguimento da sua resolução, que
desenvolva as regras, os indicadores, etc. que serão necessários
quando o ambiente ou os sistemas monitorizados sofrerem
alterações.
Outro aspecto que não deve ser esquecido é a necessidade de
migração de versões da ferramenta. Podem ser complexas, devido a
integrações realizadas com sistemas de workflow, migrações de BD,
desenvolvimento de agentes próprios, etc.
Em contraste com a ferramenta, a opção do serviço gerido oferece:
• Rápida colocação em marcha
• Obtenção de quick-wins
• Definição por Consultores de Segurança das acções necessárias
para a contenção e resolução de incidentes
• Definição de novas regras e evolução das existentes
• Melhoria de relatórios e Painéis de Controlo
• Criação de economias de escala (o esforço de algumas tarefas é
repartido entre muitos clientes e conseguem-se sinergias entre
todos eles).
Outro aspecto fundamental é a medição da qualidade do serviço e a
sua constatação contra o Acordo de Nível de Serviço assinado entre
o cliente e o fornecedor.
Finalmente, o serviço oferece uma visão unificada da segurança, ao
integrar a gestão de eventos, a gestão de vulnerabilidades e a
gestão de ameaças de segurança. Esta integração é evidenciada nos
relatórios e Painéis de Controlo.
Os relatórios gerados pelo serviço permitem melhorar o nível de
segurança da informação do cliente, já que facilitam a análise de
tendências; oferecem informação sobre o nível de segurança e sua
evolução; e ajudam a equipa que presta o serviço a propor acções e
o cliente a tomar decisões.
Os relatórios devem ser de dois tipos: os relatórios técnicos
(proporcionam informação táctica) e os relatórios executivos
(oferecem informação estratégica, útil para a tomada de decisões e
apreciação das diferentes opções).
Ambos os tipos de relatório destinam-se a fornecer, a diferentes
interlocutores, informação do seguinte tipo: como estou e o que me
pode acontecer, o que aconteceu neste período de tempo em cada
sistema e em cada processo de negócio e que conclusões e
recomendações se obtêm a partir da análise do período abrangido
pelo relatório.
Estes relatórios são fundamentais num serviço que oferece valor ao
cliente, já que têm como objectivos resumir, sintetizar e oferecer
informação com a qual serão prioritizadas as acções necessárias
para melhorar nível de segurança e reduzir a possibilidade de se
sofrer um incidente.
Conclusões
Para se obter o nível de segurança válido é necessário que todas
as medidas e sistemas de segurança disponíveis estejam a ser
geridos adequadamente. Isto implica um esforço notável em recursos
e conhecimentos na organização. Uma alternativa cada vez mais
atraente e económica é a de externalizar estas tarefas.
O Serviço de Segurança Gerida procura alinhar a segurança com o
negócio. Está orientado para o controlo de riscos através de
ferramentas adequadas e pessoal que contribui com experiência e
inteligência para o processo, facilitando a tomada de decisões;
garante uma redução drástica do nível de risco para a organização,
através da monitorização em tempo real 7x24x365; e permite um
modelo de melhoramento contínuo baseado em normas, standards e
boas práticas como ITIL e BS 7799-2.
O Serviço de Segurança Gerida oferece diversos níveis de
relatórios aos diferentes interlocutores da Organização, prestando
especial atenção aos relatórios executivos de recomendações.
