Na visão do especialista em Segurança da Informação, Rangel Rodrigues, a sincronia entre a visão do negócio com a governança corporativa é fundamental para o sucesso com a transformação digital

O arquiteto precisa de uma visão para conectar o retrato que ele tem em mente para realizar na prática, mas é necessário ousadia e convicção para efetivamente vivenciar um objetivo desejado, por hora, sempre haverá sacrifício que significa muito trabalho.

A oferta é o sacrifício duro para aplicar seu conhecimento na prática e aqui há um elance entre a segurança e as necessidades de negócio. Embora, nenhuma das partes podem quebrar este pacto, pois é responsabilidade de ambas para que objetivo de proteger o ativo de valor, a informação da empresa se cumpra.

O sacrifício também envolve o financeiro no processo, pois os investimentos alocados no projeto espera que o retorno de investimento sejam reais. Nenhum conselho vai aprovar um budget se não for realmente convencido sobre o retorno que irá viabilizar ao negócio o projeto de segurança. A sincronia entre a visão do negócio com a governança corporativa é fundamental para o sucesso com a transformação digital.

Ha inúmeros novos frameworks e standards para implementar uma arquitetura de cibersegurança como NIST Cybersecurity, NCSC, etc, mas é comum a maioria das empresas do meio digital acreditarem que somente um framework destes implementado é o suficiente e é neste ponto que ocorre o engano da miopia da segurança. Definitivamente ainda o uso da ISO 27001, COBIT e ITIL casados com padrões de desenvolvimento de software seguro, modelos de arquitetura de cibersegurança podem fazer a diferença, mas são muitos e qual discernir o melhor para cada situação? A resposta aqui é relativa para cada empresa que vai requerer um conjunto interligados desta sopa de letrinhas.

Uma certa vez tive há oportunidade de implementar um modelo de gestão de segurança da informação usando a metodologia do PDCA, instituída pela ISO 27002. No meu caso a confiança e a visibilidade do material com o board proporcionou o sucesso do projeto, pois toda equipe casou a visão de segurança com outros frameworks como de governança de TI, gestão de infraestrutura e gestão de risco, como resultado a governança da segurança da informação teve um grande resultado elevando-nos a maturidade sobre o conselho e aos colaboradores simplesmente porque eles entenderam o valor da mudança.

Portanto gostaria de esmiuçar abaixo uma lista de frameworks e padrões mais comuns que podem nos ajudar em um projeto de segurança, mas lembre-se que o trabalho árduo será necessário para colher os frutos no futuro. A maneira como enxergamos e acreditamos no resultado final será fruto que iremos colher no tempo certo, o mais interessante aqui é que este processo de colheita funciona.

ISO 27001 e ISO 27002 -> Este framework de segurança estabelece a implementação de um SGSI (Sistema de Gestão da Segurança da Informação) que inclui 114 controles sugeridos pela ISO 27002, servindo como objetivo para adquirir a certificação. Em resumo, a ISO 27001 define aspectos gerais de segurança para uma gestão corporativa da segurança da informação para implementação de controles apropriados e a ISO 27002 torna uma guia para implementar o SGSI que faz um link para a definição de uma estrutura de gerenciamento de risco. Na prática em meus trabalhos de análise de gaps sempre utilizei este framework para tirar uma foto do ambiente atual e a partir deste ponto iniciar a implementação de um modelo de gestão da segurança da informação robusto. Faço aqui uma menção para a leitura do livro Gestão da Segurança da Informação escrito pelo especialista Marcos Sêmola sobre o tema.

NIST 800-30 Risk Management -> Talvez seja especialmente o framework mais utilizado para implantação de um modelo de gestão de risco, aliás muito apropriado para a mitigação de riscos em um processo de SDLC.  Eu diria que em todas empresas que já atuei este era e tem sido o principal método para gerenciamneto de risco no que tange identificar as vulnerabilidades, ameaças, análise de controles, determinar a probabilidade, análise de impacto, recomendações e mitigação de risco.

NIST Cybersecurity Framework -> Embora desenvolvido para infraestrutura crítica, foi amplamente adotado nos setores público e privado. O framework foi desenvolvido para gerir uma estrutura baseada em riscos para melhorar a segurança cibernética no qual compõe um conjunto de padrões, diretrizes e práticas para ajudar as organizações encarregadas de prover os sistemas financeiros, de energia, saúde e outros sistemas críticos do país a proteger melhor suas informações e ativos físicos de ataques cibernéticos. Atualmente, tem sido bastante utilizado pelas organizações como foco em segurança cibernética incluindo o tratamento de incidentes de segurança e utilização e mecanismos de proteção seguindo a risca a metodologia (Identify, Protect, Detect, Respond e Recover).

OCTAVE -> Este é um excelente framework para gerenciamento de risco criado pela ENISA (European Union Agency for Networking and Information Security). Pomos dizer que é um modelo semelhante ao NIST, mas precisamente usado por empresas no ângulo europeu. A ENISA fornece uma série de ferramentas para melhor gerenciamento de risco, como por exemplo, o comparativo de ferramentas de gestão de risco existentes no mercado e inclusive publicações com recomendações para Cloud Computing Risk Assessment.

COBIT / COBIT 5 ->  De acordo com a ISACA o COBIT 5 é um modelo de negócios e de gestão global para governança e gestão de TI corporativa. Este volume documenta os 5 princípios do COBIT 5 e define os sete habilitadores que apoiam a composição do modelo. Em outras palavras é um framework que visa gerenciar um processo de governança de TI. Particularmente, o COBIT tem sido muito usado para atender os requerimentos da Sarbanes-Oxley (SOX) em um ambiente de TI que precisa assegurar a continuidade da operação do negócio, ou mesmo medir o nível de maturidade de uma controle de TI. Em suma, o uso da ISO 27001 para uma análise de gaps a respeito da maturidade de segurança combinado com a maturidade de cada controle, matriz de responsabildades e SWOT torna um conjunto eficaz para toda e qualquer organização, aliás as big fours são especialistas em COBIT.

ITIL -> Em um puro resumo, o ITIL é um padrão de boas práticas para gerenciamento de serviços de TI mais amplamente empregado no mundo. Honestamente todo framework é aplicável em seu ambiente. No que tange segurança, os itens como gestão de ativos, gestão de configuração, gestão de mudança e gestão de continuidade são ótimos para integrar com o processo de gestão da segurança da informação. Em minhas experiências procurei ser articulado e estabeleci alianças com os gerentes de infra-estrutura que foi essencial para o sucesso do projeto de segurança.

OWASP -> É um projeto aberto de segurança em aplicações web que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web. Neste contexto o OWASP traz o TOP 10 sendo um documento de conscientização para a segurança das aplicações web que representa um amplo consenso sobre umas das falhas de segurança de aplicações web mais importantes, tais como SQL Injection, Cross Site Scripting (XSS). Eu diria que para desenvolvimento seguro é uma das maiores recomendações, além de ajudar na seleção de soluções como WAF, code review e vulnerability scan, etc. Há também opções como o Microsoft SDL e o CERT Secure Coding, para maiores informações leia o artigo que escrevi sobre o assunto: Desenvolvimento seguro: Protegendo o principal ativo

CASB -> Pense em Cloud Access Security Brokers (CASB) como centrais de autenticação de dados ou pontos de execução de políticas de segurança baseados na nuvem. Estes são hubs de criptogafia para tudo que a sua empresa usa, tanto em cloud quanto em sistemas locais e acessados por todos os pontos de extremidade, incluíndo mobiles. Antes da era CASB, os gerentes de segurança não tinham visibilidade de como todos os seus dados estavam protegidos. Assim como BYOD e dispositivos não gerenciados tornou-se popular, os dados podem estar em risco quando acessado do telefone de alguém ou tablet. Em resumo, o CASB passou a ser um modelo de segurança para proteção da identidade, outra boa opção é ter serviços como CrowdStrike.

CARTA -> Podemos chamar de uma abordagem estratégica que o Gartner identificou através da utilização do framework Continuous Adaptive Risk and Trust Assessment (CARTA). Ressalto a importância de implementar o CARTA, uma nova ferramenta para ajudar as empresas a entender melhor sua exposição ao risco em ambiente de multicamada como cloud. Assim como o especialista Augusto Paes de Barros, do Gartner, comentou em um artigo: “É uma nova abordagem estratégica, continua e proativa que ajuda a gerir melhor os riscos associados aos ecossistemas de negócios digitais que significa identificar os problemas mais cedo, bloquear o que é possível, e responder ao que não pode ser prevenido, sendo uma boa ferramenta para um Disaster Recovery Plan (DRP) em Cloud”.

PCI-DSS -> Trata-se de um standard criado pelas principais bandeiras de cartão de crédito como VISA e MASTERCARD para proteção de dados privados de cartão de crédito no que tange o processamento, transmissão e armazenamento de dados desta natureza. Antes do PCI a VISA mantinha seu programa AIS e a MASTECARD o SDP, e como o mercado no Brasil agora é aberto para qualquer adquirente, subadquirente e gateways e o PCI tornou-se é um excelente standard para proteger seu ambiente. Por hora, apesar da regulamentação ser somente aplicável para empresas desta natureza no escopo acima, trata-se de uma ótimo framework para deixar seu ambiente robusto em termo de segurança na infraestrutura. O PCI-DSS contempla 12 seções de segurança com alguns controles semelhantes a ISO 27001 sendo que o item 3 requer o uso de criptografia de dados relacionado como a trilha do cartão no quesito do armazenamento. Vale ressaltar também que o PCI possui 4 níveis de classificação em TIERs dependendo da quantidade de processamento vai requerer níveis de exigência. Além do PA-DSS que determina regras para desenvolvimento seguro de aplicações e o PCI-PED que define regras para a proteção dos equipamentos PIN PED e POS. Em suma, o PCI-DSS continua sendo uma ótima ferramenta para manter seu ambiente aderente as melhores práticas de segurança.

National Cyber Security Centre (NCSC) -> A NCSC é uma instituição criada em UK para ajudar as organizações a gerir riscos cibernéticos em ambiente críticos. Como o NIST eles fornecem uma séria de documentações para implementação de um modelo de cibersegurança para qualquer empresa seja no setor privado e público. Para maiores detalhes sugiro a leitura do artigo que falo a respeito deste framework: CSO vs Board e como combater ciberataques.

Cloud Security Alliance -> É uma organização sem fins lucrativos com a missão de “promover o uso de práticas recomendadas para fornecer garantia de segurança na Cloud Computing e fornecer educação sobre os usos da Cloud Computing para ajudar a proteger todas as outras formas de computação. A CSA oferece uma guia prático para segurança em cloud que incorpora diretrizes para operações em computação em nuvem que ajuda os gestores adotar a computação em nuvem de forma segura enfatizando a segurança, sua estabilidade e a privacidade. Logo que todo CSO ou CISO deverá aplicar este guia para seu ambiente de cloud. É interessante mencionar que a CSA fez uma parceria com a ISC2 que a poucos anos criou a certificação Certified Cloud Security Professional (CCSP) no qual hoje está sendo mais desejada pelas empresas.

Evidentemente que o intuito deste artigo não é cobrir todos os possíveis frameworks e standards de segurança disponíveis no mercado assim como para Business Continuity, Risk Management, Criptografia e Data Center Securiy, FIPS, e regulamentações como HIPPA, LGPD, SOC 1, 2 e 3 (SSAE 16), de fato, são inúmeras, e o mais importante é saber reunir o que cada um tem de melhor para a sua empresa. Ressalto que é preciso ter um foco e selecionar pelo menos alguns destes frameworks dependendo do modelo de negócio, seja na indústria, setor financeiro ou processadora de cartão terão suas exigências e a sabedoria será o melhor artefato para discernir o caminho que terão como alvo. Como o sábio diz “Sabemos que todos tem conhecimento, mas o conhecimento traz o orgulho, mas o amor edifica e quem pensa conhecer alguma coisa, ainda não conhece como deveria, ou seja, a humildade na carreira profissional é fundamental para o desenvolvimento contínuo e prudente.

Para finalizar, não posso deixar de mencionar que a rejeição entre os profissionais torna você uma pessoa humilde que leva a ser um vencedor. Porém, nunca devemos esquecer de onde começamos e entendo na minha opinião que devemos desenvolver a humildade contra o orgulho da profissão. Seja um hacker ou um executivo de sucesso devemos saber lhe dar com a humildade, pois será mais produtivo. Entretanto, fazer segurança é entrelaçar a gestão de risco através do uso de processos, pessoas, tecnologia e frameworks fazendo seu trabalho com prudência e com o tempo, os críticos de carterinha seja interno ou externo em sua organização irão reconhecer o seu trabalho, no final todo esforço irá valer a pena.

* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP

Fonte: Security Report