Segurança

4 dez, 2018

Metodologia de defesa cibernética

Publicidade

Introdução

Prezados gerentes e especialistas de Segurança da Informação e Defesa Cibernética. Após vasta experiência no ramo de segurança cibernética empresarial em Israel, decidi escrever este artigo baseado em um documento da autoridade nacional de defesa cibernética de Israel.

Israel está entre os líderes mundiais no ramo da segurança cibernética, e neste documento está uma ótima metodologia para segurança cibernética empresarial.

O espaço cibernético é resultado do progresso tecnológico, conectividade e uma conexão global à internet. A crescente dependência no Espaço Cibernético traz ondas de inovação tecnológica e grande desenvolvimento ao homem e seu ambiente.

Mas junto com isso, um espaço ameaçador está se desenvolvendo, afetando as organizações corporativas, a integridade dos processos de produção e a confidencialidade das informações corporativas. Ataques cibernéticos podem prejudicar organizações e interromper seus processos produtivos, causando danos econômicos e afetando a reputação das empresas.

A presente Metodologia de Defesa Corporativa considera a organização como um todo e permite elevar o nível de resiliência organizacional por meio da integração contínua de processos, práticas e produtos de proteção.

Sumário executivo

Este documento define um método coerente que orienta a responsabilidade corporativa para a construção de um plano de trabalho plurianual para a proteção da organização.

Utilizando o método apresentado neste documento, a organização reconhecerá os riscos relevantes, formulará uma resposta de defesa e desenvolverá um programa para reduzir os riscos de forma consoante.

Fase A: a organização entenderá a qual categoria ela pertence:

  • Categoria A: organizações cujo dano potencial causado por incidentes cibernéticos não é grande.
  • Categoria B: organizações cujo dano potencial causado por incidentes cibernéticos é grande. Mais abaixo trarei um formulário para saber como definir a categoria de uma empresa.

Fase B: construção de um plano de trabalho para a organização.

Em relação à construção do plano de trabalho, a organização primeiro definirá o que ela deve proteger, o nível de proteção necessário e as falhas de proteção, considerando a situação desejada, e irá, eventualmente, construir um plano de trabalho para reduzir estas falhas.

Robert S. Mueller, III, Diretor do FBI:

“Há dois tipos de empresas – aquelas que foram hackeadas e as que ainda serão.”

Processo de planejamento organizacional

O processo de planejamento é composto pelas seguintes fases intuitivas:

  • Fase 1 – “O que há para defender?”: mapeamento de ativos/processos da empresa que são sensíveis a ataques cibernéticos.
  • Fase 2 – “Impacto nos objetivos da organização”: entender o impacto dos ataques cibernéticos nos ativos/processos do negócio ao preencher um questionário de valor da empresa.
  • Fase 3 – “Como proteger corretamente”: os controles necessários são provenientes dos valores definidos na Fase 2.
  • Fase 4 – Ideal x real: detecção de falhas defensivas em relação aos controles necessários.
  • Fase 5 – “Elaborando um plano de projeto”: melhoria do nível de defesa para alcançar o nível de risco desejado (incluindo o entendimento da essência da exposição ao risco, em caso da não-implementação dos controles necessários).

Planejamento:

  • Fase 1: Mapeamento dos ativos da empresa
  • Fase 2: Nível de defesa necessário
  • Fase 3: A defesa correta
  • Fase 4: Definição das atuais falhas de defesa
  • Fase 5: Plano de trabalho

A metodologia de defesa

Aos olhos da organização

Essa metodologia apresenta dois níveis diferentes de recomendações, resultantes ao potencial de dano à organização devido a um ciber-incidente:

  • Organização Categoria A: baixo potencial de dano. A organização realizará um simples processo de mapeamento dos objetivos de proteção para rapidamente entender o método necessário de proteção.
  • Organização Categoria B: grande potencial de dano. Uma organização que depende bastante do Ciberespaço e deve realizar um processo mais detalhado.

A divisão é feita após responder a seguinte pergunta:

Ao responder a seguinte pergunta, é necessário levar em conta o custo total. Organizações que responderem negativamente à pergunta acima pertencem à categoria A.

Organizações que responderem afirmativamente pertencem à categoria B. E devem começar a ler este documento a partir do capitulo: “Implementando a Metodologia de Defesa em organizações de categoria “B””.

Requerimentos adicionais: caso haja obrigações adicionais, em virtude de estar sujeita às regulações existentes, a empresa pode ser transferida da Categoria A à Categoria B. Além disso, uma organização pode exigir que seus fornecedores cumpram os requisitos de organizações de Categoria B.

Implementação da Metodologia de Defesa para uma organização de categoria “A”

Fase 1 – Mapeamento de Ativos: é necessário realizar o mapeamento dos principais ativos. Veja com o suporte técnico os tipos de equipamentos e ativos informáticos utilizados na organização.

Dica: Certifique-se de que o processo de mapeamento envolva os seguintes tópicos:

  • Computadores, impressoras, telefonia e rede com ou sem fio
  • Website
  • E-mail
  • Ambiente de crédito
  • Informações na nuvem

Fase 2 e 3: o nível de proteção necessário e como proteger corretamente.

Os Dez Mandamentos para uma organização de categoria A

Uma organização de categoria A requer uma proteção consistente com seu potencial de dano. Portanto, a organização deve implementar controles de alto custo-benefício.

Uma discriminação dos requerimentos de proteção pode ser encontrada na tabela abaixo. Estes controles estão divididos nas seguintes categorias de proteção:

Fase 4: definições de falhas de proteção

Obtenha uma recomendação do prestador de serviços de TI em relação a um plano de trabalho priorizado para lidar com falhas.

Fase 5: Plano de Trabalho

Todos os controles que trarei em outro artigo protegem contra riscos cibernéticos vindos de danos cibernéticos. O controle reduz o risco cibernético que poderia prejudicar os objetivos da organização. O programa levará os seguintes em conta ao preparar um plano de trabalho para lidar com falhas de controle:

  • A eficácia do controle (sua contribuição à redução de riscos na organização)
  • O custo de implementar a solução: representado abaixo por meio de um eixo de “custo de solução” (duração da implementação, complexidade da realização, colaboradores e equipamentos necessários)
  • Velocidade de implementação: representada abaixo pelo tamanho do círculo

Um exemplo da ponderação dos parâmetros mencionados acima em uma organização pode ficar assim:

Uma tabela de vigilância:

O plano de trabalho proposto será endossado/aprovado pelo Diretor Executivo.

Implementando a Metodologia de Defesa em organizações da categoria “B”

Fase 1: Mapeamento de ativos

A organização mapeará seus ativos, funções e interfaces (serviços web, API, etc). Inclua ativos armazenados na nuvem.

A fase de mapeamento de ativos deve ligar ativos TO/TI aos principais processos do negócio. Seguindo essas fases, a organização poderá distinguir entre ativos críticos e secundários. A definição ajudará a proteger os ativos em relação ao impacto.

O mapeamento de ativos incluirá, no mínimo, a seguinte lista:

Atenção: o mapeamento de ativos (mapeamento dos objeto) de defesa é um processo que requer tempo e recursos. Para realizá-lo de forma eficaz, você deve prestar atenção à resolução de mapeamento necessária.

Por exemplo: de um lado, você não deve especificar todos os servidores e terminais, mas por outro, uma generalização de todos os servidores como um ativo pode resultar em custos desproporcionais de defesa.

Fase 2: nível de defesa necessário

O nível de defesa necessário para cada ativo depende do nível de valor organizacional deste ativo. Dentro da Metodologia de Defesa, os ativos são classificados em quatro níveis de valor:

  • 1 para um nível de valor baixo
  • 4 para o nível de valor mais alto.

Ao fim do passo 2, a organização poderá definir os ativos mais importantes às suas atividades de negócio.

Uma estreita cooperação das entidades corporativas dentro da organização –

Entendendo a significância dos ativos para o negócio e sua influência no funcionamento do mesmo – é necessária para preencher o questionário.

Atenção: na segurança cibernética e de dados, é comum avaliar o impacto potencial a partir de três categorias:

  • Impacto na confidencialidade dos dados– por exemplo, um ataque cibernético para vazar os detalhes dos consumidores na internet.
  • Impacto na integridade dos dados – por exemplo, um ataque cibernético que falsifica os relatórios financeiros da empresa.
  • Impacto na acessibilidade dos dados – por exemplo, um ataque cibernético negando informações da empresa ou clientes (fechamento de um site, bloqueio de arquivos ou ransomware).

Defina o nível de valor de cada ativo ao preencher o seguinte questionário:

Cada pontuação de valor do ativo é a maior pontuação recebida pelas três perguntas (Impacto = MÁX 1-3). A pontuação também se chama Intensidade de Risco. Essa pontuação define o dano máximo que se espera que afete a organização em relação a cada ativo.

Fase 3: como proteger corretamente

Na Fase 2 definimos o valor (intensidade) de cada ativo em uma escala de 1 a 4. O grau de proteção de cada ativo é baseado apenas no grau do seu valor (o valor resultante aumenta o nível de intensidade).

Ao lado de cada controle de proteção que trarei em outro artigo, há uma definição que diz se ele é necessário ou não para um ativo cuja pontuação de identidade é 1, 2, 3 ou 4. Para cada ativo, é necessário implementar o total de todos os controles cujo valor é menor ou igual à pontuação de intensidade do ativo.

Por exemplo, para um ativo cuja pontuação de intensidade é 3, é necessário implementar todos os controles cujo valor seja 1, 2 e 3. Essa definição ajuda a ajustar os controles necessários para a aplicação do objetivo de defesa contra o potencial de dano.

Fase 4: definição das Falhas de Proteção

Veja o que está sendo implementado atualmente na organização e o que é necessário realizar de acordo com os controles de proteção descritos no outro artigo. Ao fim deste processo, a organização receberá uma lista de falhas (análise de falhas).

Já que nem todos os controles são implementados da mesma forma em uma organização, é importante assegurar que os objetivos de proteção essenciais da organização sejam examinados individualmente. O motivo se dá pelo fato de que um controle nem sempre é compatível a todos os objetivos da organização.

Por experiência, constatamos que apesar de a maioria dos controles serem implementados lateralmente em organizações, há alguns casos quando um controle não foi implementado em um sistema específico.

Já que nem todos os controles são necessários de implementar em todos os ativos, utilize o nível de valor estabelecido para cada ativo no estágio 3 para a lista de falhas. A lista de falhas será a base para construir o plano de trabalho da organização (Fase 5).

Calculando o nível de risco de um ativo – ponderando os dados

Pondere o impacto potencial (I) com a probabilidade de tal evento cibernético acontecer. Probabilidade (P) – calculada ao definir o nível de exposição de um ativo (um ativo ligado à Internet, ainda sem mecanismos de defesa, está altamente exposto a ataques cibernéticos, enquanto um ativo isolado em uma sala segura está menos exposto).

Para definir o nível de exposição de um ativo, preencha o seguinte questionário para cada ativo:

A pontuação de exposição de cada ativo é a pontuação média das 10 perguntas (P = Média 1-10), também chamada de probabilidade de risco (P).

Ponderando o nível de risco, custo de reação e complexidade de implementação de um ativo

Para calcular o nível de proteção necessário, multiplique por três a classificação de impacto e adicione a classificação de probabilidade: o nível de risco de um ativo = (I) * 3 + (p).

Veja um exemplo de como calcular o risco e probabilidade de cada ativo:

No exemplo abaixo, o cálculo é: Risco => 3i + P = 3X3 + 2 = 11.

Depois dessa fase, a organização implementará os controles de acordo com a avaliação de risco e obterá uma lista parecida com esta:

Fase 5: Plano de Trabalho

Cada controle nos capítulos de controles protege contra riscos cibernéticos decorrentes de danos cibernéticos.

A prioridade da aplicação dos controles que faltam em uma organização na diretriz do plano de trabalho será determinada ao ponderar o nível de risco do ativo, o custo da solução e a complexidade da implementação.

A prioridade da aplicação dos controles que faltam em uma organização na diretriz do plano de trabalho, será determinada ao ponderar:

  • O nível de risco do ativo: eixo Y no exemplo abaixo.
  • O custo de implementação da solução: eixo X no exemplo abaixo.
  • A velocidade de implementação da solução: expressada pelo tamanho do círculo no exemplo abaixo.

Após responder o questionário acima para todos os ativos da organização, a seguinte lista é obtida:

Posfácio

O Ciberespaço é uma parte integral das nossas vidas. Em um nível pessoal, estamos buscando informações na Internet, nos transportando utilizando software de navegação, falando no celular, e alguns de nós possuem marca-passos ou bombas de insulina que estão conectados à internet – todos parte do ciberespaço.

Em um nível corporativo, utilizamos cartões de crédito, gerenciamos uma base de dados de consumidores, administramos uma organização global por meio de redes de computadores; nós comercializamos, compramos e vendemos – tudo isso baseado no ciberespaço.

Para muitos de nós, na vida cotidiana em geral e nos negócios, uma rede disponível, acessível e confiável é uma condição necessária. É fácil entender isso quando estes fatores são temporariamente limitados.

Como você pode gerir seu negócio sem um telefone celular? Sem as informações armazenadas na rede corporativa? Sem a habilidade de liquidar um cartão de crédito?

O Ciberespaço é um espaço de possibilidades e oportunidades por um lado, mas um espaço de ameaças e riscos por outro. Uma grande variedade de espionagens, crimes organizados e crimes de invasão de informações pessoais (“hackeamento”), entre outros, acontecem neste espaço.

Estes podem afetar a segurança nacional (por exemplo, ao danificar uma infraestrutura nacional crítica por meio do ciberespaço, como a rede de energia ou o sistema de água), a continuidade de um negócio (ex.: espionagem comercial, chantagem econômica) e à privacidade (por exemplo, ao postar informações e imagens pessoais). Hoje, várias organizações se protegem destas ameaças de diversas formas.

As informações disponíveis online sobre formas de se proteger de riscos cibernéticos são vastas e consistem de metodologias, melhores práticas, recomendações e mais. Proteger a organização contra ameaças cibernéticas requer muito conhecimento.

Este conhecimento inclui um grande número de especialidades – tecnológicas, organizacionais e processuais. Muitas organizações aqui e no exterior estão lidando com perguntas, como: “Estamos investindo o suficiente em Defesa Cibernética?”, “Estamos investindo corretamente em Defesa Cibernética?”, “Estamos investindo em Defesa Cibernética da forma comum em nossa indústria/setor?”.

As organizações querem se proteger e reduzir os principais riscos do Ciberespaço, exercendo suas atividades sem medo.

A Metodologia de Defesa ajuda as organizações a mapearem os riscos cibernéticos aos quais estão expostas, a entenderem a importância do reconhecimento dos riscos para o negócio e a definir medidas de segurança proporcionais para reduzir os principais riscos.

A Metodologia de Defesa também define a proteção adequada de ativos corporativos que possuem impacto em um setor ou que pertencem ao Estado.

Este artigo é baseado em um documento Israelense da Autoridade Nacional de Segurança Cibernética (NCSA) na qual foi criada, entre outros motivos, para elaborar, implementar e integrar uma Metodologia nacional de proteção cibernética.

A NCSA desenvolveu essas metodologias ao combinar as principais metodologias do mundo com a experiência civil e de segurança de Israel, adaptando-as ao ambiente israelita e ajustando-as à cultura corporativa do país. Neste artigo, adaptarei esta metodologia à realidade brasileira.

Neste documento, os Controles de Proteção são compilados sob a diretriz de segurança cibernética da NIST. Por muitos anos, padrões de defesa enfatizaram a questão de “defender a organização,”. Ou seja, prevenir a penetração na empresa e seus ativos cibernéticos.

A realidade atual é diferente. Organizações de todos os tamanhos são atacadas, mas esses ataques só são detectados – se detectados – após muito tempo.

Portanto, o Instituto Nacional Americano de Padrões e Tecnologia (NIST) desenvolveu uma diretriz para melhorar a Segurança Cibernética para Infraestrutura Crítica, investindo tanto nas fases tradicionais de preparação e proteção, assim como na detecção, contenção e recuperação de ataques cibernéticos.

Essa metodologia de defesa adota a diretriz de Segurança Cibernética da NIST, vinculando grupos de controles de defesa. Dentro desta diretriz, a organização está protegida de ataques, ao mesmo tempo em que suas capacidades de detectar um ataque bem-sucedido, contê-lo e se recuperar com um impacto mínimo aumentam.

Estes controles estão baseados em conhecimento internacional, ajustado para a economia israelita, incluindo ênfases e exemplos para ajudar organizações a concentraram seus esforços de forma mais eficaz.