A segurança que nunca dorme

Trimestral contra tempo real. Estático contra dinâmico. Manual contra automatizado. Todas essas considerações são relevantes quando se avalia as abordagens para gerenciar o ciberrisco em um ambiente de riscos e vulnerabilidades.

Para este fim, o governo federal dos Estados Unidos modificou suas orientações para melhorar o suporte às áreas críticas. Uma das principais mudanças em curso é a alteração da avaliação anual de segurança de TI para o uso de métricas em tempo real, análises e avaliações, naquilo que eles chamam de ?monitoramento continuado?.

O CIO Vivek Kundra tem chamado a atenção para a necessidade de as agências federais norte-americanas implantarem o tal monitoramento continuado e, para isso, está num processo de instruir esses órgãos no sentido de que incluam em suas submissões de orçamento para o ano fiscal 2012 um tópico para financiar as ferramentas necessárias para permitir essa atividade.

Por lá há agências em diferentes estágios de implantação de monitoramento contínuo da segurança, mas a maioria está bem no início. Muitas necessitam investir em novas capacidades de TI para sair de uma postura estática e caminhar para a nova abordagem contínua. Como evidência das mudanças, a In-Q-Tel, braço de investimento tecnológico da CIA, investiu na RedSeal Systems, uma fornecedora de automação de software para monitoramento contínuo. O produto da fabricante monitora firewalls, roteadores e balanceadores, assistindo acessos não-autorizados e identificando os riscos.

Em fevereiro de 2010, o National Institute of Standards and Technology (NIST) apresentou uma espécie de guia para implantação de um framework para gestão de risco, o ?Guide for Applying the Risck Management Framework to Federal Information Systems?. A publicação foi desenvolvida em conjunto com o Departamento de Defesa, escritório do diretor nacional de inteligência e o Comitê Nacional de Sistemas de Segurança. O relatório explica novos guidelines federais e padrões, tarefas relacionadas ao monitoramento contínuo e traz considerações chave para seleção de ferramentas de suporte.

O objetivo desta iniciativa colaborativa é prover um framework comum que possa ser usado em todos os órgãos federais para transformar a abordagem de segurança de algo estático, discreto, com certificações pontuais e acreditações para algo baseado em um framework com seis passos para o gerenciamento de risco. Um objetivo é deixar esse processo mais dinâmico, além de ativar o gerenciamento em um ambiente de TI onde ameaças e vulnerabilidades estão em plena mudança.

Confira os seis passos do guia:

1 ? Definir quão crítico é um sistema de informação é de acordo com impacto potencial que possa causar à organização;

2 ? Selecionar uma linha base de controles de segurança e pensar em controles suplementares baseados em necessidades de avaliação de risco;

3 ? Implemente controles de segurança usando práticas de engenharia e aplicando ferramentas de configurações;

4 ? Avalie a eficácia dos controles de segurança para confirmar se eles foram implantados corretamente e atendem aos requerimentos das informações;

5 ? Determine o risco para as operações de sua organização, teste e, se for aceitável, autorize a operação; e

6 ? Verifique continuamente as mudanças nos sistemas de informação que podem afetar os controles de segurança e reavalie a eficácia do controle.