www.cesce.pt
 


Durante os últimos anos aumentaram as medidas de protecção, os equipamentos e os sistemas que os departamentos de TI utilizam para se defenderem de ataques externos e internos, aumentando exponencialmente a necessidade de uma gestão adequada da segurança da informação.


A expansão das fronteiras dos negócios para ambientes de maior risco, cada vez mais dinâmicos e variáveis, a utilização progressiva de contra medidas, as responsabilidades distribuídas entre os actores que intervêm na sua manutenção, a complexidade e diversidade dos sistemas, a existência de fontes de informação muito diversificadas e desconexas e a necessidade de centralizar a visão do estado da Segurança aumentaram a complexidade desta gestão e, portanto, o esforço necessário para garantir níveis de segurança adequados.

Neste artigo explicaremos que alternativas existem para enfrentar as situações descritas anteriormente.


A problemática
A Gestão da Segurança é um serviço ao Negócio que deve ser abordado a partir de uma perspectiva de eficácia e melhoria contínua e passa necessariamente por se saber o que está a acontecer e o que poderá vir a acontecer. Para se saber o que está a acontecer na rede, nos sistemas e nas aplicações, estes precisam de ser monitorizados, sendo portanto necessário gerir os eventos de segurança. Para se prever o que poderá acontecer, é necessário detectar que vulnerabilidades têm os sistemas, quais são as novas ameaças que poderão afectá-los e realizar as gestões adequadas para minimizar os riscos de ocorrência de um incidente.

Algumas das tarefas que será necessário realizar na gestão de eventos de segurança são a definição de sistemas e eventos a monitorizar, a centralização de eventos, a sua normalização, a sua correlação, a sua categorização, a definição de acções de contenção e/ou resolução de um possível incidente, a sua comunicação, a execução das acções definidas, o seguimento da resolução do incidente e o reporte em relatórios e Painéis de Controlo.

Em paralelo, as tarefas a realizar na gestão de vulnerabilidades incluem a planificação das análises, a sua execução de maneira a não afectar a Produção, a interpretação dos resultados para eliminar falsos positivos, a proposta de acções de resolução das vulnerabilidades identificadas e, por último, dar seguimento às soluções e ao reporte em relatórios e Painéis de Controlo.

Finalmente, as tarefas próprias da gestão de ameaças incluem a atenção a listas de avisos de vulnerabilidades e a participação em chats, fóruns e eventos de segurança para detectar as ameaças que poderão concretizar-se na organização. Uma vez detectadas, a gestão para a sua contenção é semelhante à das vulnerabilidades: proposta de acções, apoio aos administradores, seguimento e reporte.

A problemática concreta da gestão de ameaças reside no elevado número de novas vulnerabilidades publicadas cada dia na Internet, o que torna necessário dedicar um grande esforço à sua revisão e compreensão, avaliar se elas se aplicam à infra-estrutura, propor acções para a sua resolução e seu posterior seguimento.

Por outro lado, a qualidade do inventário é fundamental para evitar falsos positivos e prioritizar as acções. Este inventário deve facilitar o agrupamento de activos por critérios abertos, a definição da criticidade de cada activo ou grupo de activos, a orientação do serviço para processos de Negócio, assim como a relação da informação procedente da gestão de eventos, vulnerabilidades e ameaças com os activos ou grupos de activos.



As alternativas
Do ponto de vista da Organização deve avaliar-se se se pretende e pode externalizar alguma destas actividades. Devem ser respondidas perguntas como O quê, Como, Quando, Com quem e Qual é o custo.
Do ponto de vista Tecnológico, pode-se optar por duas estratégias. A primeira consiste em adquirir e manter uma ferramenta de monitorização e gestão de eventos. A segunda está relacionada com a contratação de um serviço gerido que realize as actividades que não sejam consideradas estratégicas.

O objectivo será automatizar dentro do possível as actividades a realizar. De outro modo, não serão executadas adequadamente ou será necessário um esforço muito elevado.

A opção da aquisição de uma ferramenta deve ser avaliada tendo em conta os custos de aquisição de licenças, assim como o esforço de implementação de agentes, de definição, manutenção e evolução de regras de filtragem e correlação de eventos e, finalmente, de integração de métricas num Painel de Controlo de Segurança. Por consequência, os recursos e o tempo necessários para se conseguir resultados óptimos são importantes.

Além disso, não é suficiente abordar um projecto que implemente a ferramenta; é necessária uma actividade continuada que analise os alarmes gerados e realize um seguimento da sua resolução, que desenvolva as regras, os indicadores, etc. que serão necessários quando o ambiente ou os sistemas monitorizados sofrerem alterações.

Outro aspecto que não deve ser esquecido é a necessidade de migração de versões da ferramenta. Podem ser complexas, devido a integrações realizadas com sistemas de workflow, migrações de BD, desenvolvimento de agentes próprios, etc.
Em contraste com a ferramenta, a opção do serviço gerido oferece:

• Rápida colocação em marcha
• Obtenção de quick-wins
• Definição por Consultores de Segurança das acções necessárias para a contenção e resolução de incidentes
• Definição de novas regras e evolução das existentes
• Melhoria de relatórios e Painéis de Controlo
• Criação de economias de escala (o esforço de algumas tarefas é repartido entre muitos clientes e conseguem-se sinergias entre todos eles).

Outro aspecto fundamental é a medição da qualidade do serviço e a sua constatação contra o Acordo de Nível de Serviço assinado entre o cliente e o fornecedor.

Finalmente, o serviço oferece uma visão unificada da segurança, ao integrar a gestão de eventos, a gestão de vulnerabilidades e a gestão de ameaças de segurança. Esta integração é evidenciada nos relatórios e Painéis de Controlo.
Os relatórios gerados pelo serviço permitem melhorar o nível de segurança da informação do cliente, já que facilitam a análise de tendências; oferecem informação sobre o nível de segurança e sua evolução; e ajudam a equipa que presta o serviço a propor acções e o cliente a tomar decisões.

Os relatórios devem ser de dois tipos: os relatórios técnicos (proporcionam informação táctica) e os relatórios executivos (oferecem informação estratégica, útil para a tomada de decisões e apreciação das diferentes opções).

Ambos os tipos de relatório destinam-se a fornecer, a diferentes interlocutores, informação do seguinte tipo: como estou e o que me pode acontecer, o que aconteceu neste período de tempo em cada sistema e em cada processo de negócio e que conclusões e recomendações se obtêm a partir da análise do período abrangido pelo relatório.

Estes relatórios são fundamentais num serviço que oferece valor ao cliente, já que têm como objectivos resumir, sintetizar e oferecer informação com a qual serão prioritizadas as acções necessárias para melhorar nível de segurança e reduzir a possibilidade de se sofrer um incidente.


Conclusões
Para se obter o nível de segurança válido é necessário que todas as medidas e sistemas de segurança disponíveis estejam a ser geridos adequadamente. Isto implica um esforço notável em recursos e conhecimentos na organização. Uma alternativa cada vez mais atraente e económica é a de externalizar estas tarefas.

O Serviço de Segurança Gerida procura alinhar a segurança com o negócio. Está orientado para o controlo de riscos através de ferramentas adequadas e pessoal que contribui com experiência e inteligência para o processo, facilitando a tomada de decisões; garante uma redução drástica do nível de risco para a organização, através da monitorização em tempo real 7x24x365; e permite um modelo de melhoramento contínuo baseado em normas, standards e boas práticas como ITIL e BS 7799-2.

O Serviço de Segurança Gerida oferece diversos níveis de relatórios aos diferentes interlocutores da Organização, prestando especial atenção aos relatórios executivos de recomendações.

 

 

dci@cesce.pt