1. Técnicas para o gerenciamento da segurança em TI

Inclui a análise dos requisitos de segurança, o estabelecimento de um plano para satisfazer esses requisitos, a implementação do plano, bem como a manutenção e administração da segurança implementada.

É extremamente importante, em um gerenciamento de segurança, o processo de avaliação dos riscos, identificando como podem ser reduzidos e qual nível é aceitável.

2. Objetivos, estratégia e políticas da segurança em TI

Depois de estabelecidos os objetivos da segurança em TI e a estratégia de segurança, deve ser desenvolvida uma política de segurança corporativa. Além de baseada na análise de risco, essa política deve considerar os aspectos organizacionais, inclusive os objetivos corporativos e a cultura da empresa. É muito importante que a política de segurança esteja alinhada com a política corporativa.

2.1. Objetivos e estratégia da segurança em TI

Conhecer quanto o negócio depende de TI, a troca de informações e quanto a acuracidade, integridade, disponibilidade, confidencialidade são essenciais para a tomada de decisão, é fundamental que seja considerado qual o nível de risco que é aceitável para a organização. A correta definição desses parâmetros e o seu entendimento pela direção da empresa, influenciam fortemente no sucesso do gerenciamento da segurança.

O conhecimento de quanto a TI é importante para a organização é o ponto de partida para a definição dos objetivos e estratégias de segurança.

2.2. Política de segurança de TI corporativa

Uma política de segurança corporativa de TI deve ser produzida baseada de acordo com a estratégia e objetivos de segurança de TI.

É necessário estabelecer e manter uma política corporativa de segurança consistente com o negócio, segurança, políticas de TI, legislação e regulamentação.

Atividades relevantes de segurança descritas na política de segurança corporativa podem ser baseada nas estratégias e objetivos organizacionais, nos resultados das análises de risco, revisões, acompanhamento de resultados e nos relatórios de incidentes relevantes.

Essa política deve ser escrita de forma que seja compreendida por todos os níveis da organização. É importante que os funcionários assinem um documento formalizando o conhecimento da política de segurança e de suas responsabilidades. É fundamental um programa de divulgação e conscientização dessa política de segurança para todos os níveis da organização.

3. Ações de estratégia de análise de risco corporativa

A organização, antes de realizar uma análise de risco, deve ter definida a sua estratégia de análise, ou seja, metodologia, técnicas, ferramentas etc. Esta estratégia deve estar documentada na política de segurança corporativa de TI. Esses critérios abrangem, entre outros, o nível de risco aceitável, transferência do risco etc. A organização deve aprovar esses critérios.

Abaixo são apresentados quatro tipos de análise de risco. O que diferem elas, é o nível de detalhes.

• Método Básico;
• Método Informal;
• Análise de risco detalhada;
• Método combinado;

3.1 Método Básico

A organização pode aplicar os critérios de análise de risco, selecionando as correções padrão.

3.1.1. Vantagens

• Mínimo de recursos é necessário para selecionar as correções, envolvendo tempo de esforço de TI;
• Muitas correções básicas, são similares as adotadas para muitos sistemas que estão rodando nas organizações;

3.1.2. Desvantagens

• Se o critério da base de risco dor definido como alto, pode ser um nível excessivo para alguns sistemas;
• Se o nível definido como muito baixo alguns sistemas ficarão expostos;
• Há dificuldade na gestão das mudanças relevantes de segurança. Se um sistema for atualizado, pode ser difícil avaliar se as correções básicas ainda são suficientes;

Se os sistemas de TI têm um nível baixo de requisitos de segurança, então essa é a melhor estratégia de custo benefício. Muitas organizações implementam o mínimo de correções necessárias para proteger dados sensíveis para atender as regulamentações.

3.2. Método Informal

É uma análise informal não estruturada em métodos, mas explora o conhecimento e experiência das pessoas.

3.2.1. Vantagem

• Normalmente essa abordagem não requer muitos recursos e tempo. Não necessita uma habilidade adicional para conduzir este tipo de análise;

3.2.2. Desvantagens

• Sem um processo formal os detalhes importantes são perdidos em uma próxima análise;
• A justificativa para implementação de correções sem uma avaliação de risco se torna difícil;
• Indivíduos que tem um mínimo de experiência em análise de risco, podem ter dificuldade em fazer esta tarefa;
• Alguns métodos avaliações no passado estavam direcionados para vulnerabilidades como correções de segurança, aonde eram implementadas baseadas somente nas vulnerabilidades identificadas, sem considerar todo o ambiente;
• Pode ser um problema se a pessoa que fez a análise de risco, deixar a organização;

As desvantagens acima mostram que essa opção não é um método efetivo de análise de risco para muitas organizações.

3.3. Análise de risco detalhada

É a terceira opção, onde é conduzida uma análise de risco detalhada para todos os sistemas de TI na organização. Esse processo envolve em detalhes a identificação e avaliação dos ativos, determinação das ameaças e vulnerabilidades. Os resultados da análise são usados para estimar os riscos, além de identificar justificar correções de segurança.

3.3.1. Vantagens

• É provável que as correções apropriadas sejam identificadas para todos os sistemas;
• Os resultados podem ser usados no gerenciamento das mudanças de segurança;

3.3.2. Desvantagens

• Esse método requer uma considerável quantia de tempo, esforço e experiência para obter resultados. Há possibilidade de que as necessidades de segurança de um sistema crítico podem ser atendidas muito tarde. Todos os sistemas devem ser analisados no mesmo nível de detalhes, necessitando uma soma de tempo para completar esta análise.

3.4. Método combinado

A quarta opção conduz uma análise inicial de alto nível para todos os sistemas de TI, concentrando os valores do negócio que tais sistemas possuem, bem como os riscos a que estes sistemas estão expostos.

3.4.1. Vantagens

• A incorporação desse método é rápida e simples, mostrando ganhos no programa de análise de risco;
• É possível rapidamente construir uma estratégia para um programa de segurança organizacional;
• Os recursos e investimentos podem ser aplicados aonde houver maior benefício, e sistemas que tenham maior necessidade de proteção devem ser priorizados;

3.4.2. Desvantagens

• Como uma análise de risco inicial está em um alto nível e potencialmente menos exata, alguns sistemas podem não ser identificados nos detalhes da análise de risco.

Entretanto estes sistemas poderão ser convertidos de acordo com a segurança.

4. Identificação dos ativos

Um ativo não se limita a software e hardware. É tudo aquilo que tem valor para a organização. Os valores destes ativos devem ser providos pelos seus proprietários e usuários destes ativos.

Alguns tipos de ativos: dados, hardware, software, equipamentos de comunicação, dispositivos, documentos, pessoas, entre outros.

5. Avaliação de ameaças

Os ativos estão expostos a vários tipos de ameaças. Essas ameaças quando exploram as vulnerabilidades causam incidentes de segurança e considerável impacto, dependendo do valor do ativo para a organização.

As ameaças podem ter origem natural ou humana, tais como: erros ou omissão, fraudes ou roubo, sabotagem, vírus, incêndio, acidentes naturais, entre outros.

6. Avaliação de vulnerabilidades

Esta avaliação inclui a identificação de fraquezas no ambiente físico, organizacional, procedimentos, gerenciamento, softwares, hardwares, etc., que podem ser exploradas por uma ameaça, causando uma perda de confidencialidade, integridade ou disponibilidade.

O resultado da avaliação é a relação dos ativos e as vulnerabilidades, classificadas, por exemplo, como baixa, média e alta.

7. Avaliação de riscos

O objetivo é identificar através de uma avaliação, os riscos que os ativos estão expostos e identificar e selecionar uma correção de segurança justificada e apropriada. Com um conjunto de fatores como valor do ativo, vulnerabilidades e ameaças relacionadas, pode se obter o valor do risco.

Porém existem diferentes tipos de metodologias de análise, baseada em determinação de valores dos ativos, vulnerabilidades e ameaças, inclusive com softwares para automatizar esta análise.

8. Política de segurança do sistema de TI

A política de segurança de um sistema de TI deve conter detalhes de proteções requeridas e descrever porque são necessários. O plano de segurança de TI para o sistema procede em como implementá-los. A política de segurança de um sistema de TI deve ser compatível com a política de segurança de TI incorporada, e todo o conflito deve ser evitado, deve ser baseada nas análises estratégicas de riscos usadas.

9. Plano de segurança de TI

O plano de segurança de TI é um documento de coordenação definindo as ações a serem tomadas para implementar as proteções requeridas para um sistema de TI.

10. Implementação do plano de segurança de TI

A correta implementação de segurança das proteções depende de um plano de segurança bem estruturado e documentado, consciência de segurança e treinamento associado com cada sistema de TI deve ter um lugar em paralelo.

11. Implementação das proteções

Para a implementação das proteções, todos os passos necessários descritos no plano segurança de TI devem ser realizados. Para assegurar a continuidade e consistência, a documentação das proteções é uma parte importante da documentação de segurança de TI. Os procedimentos detalhados dos testes de segurança devem ser escritos, e um relatório de teste padrão deve ser usado.

12. Consciência de segurança

O objetivo do programa da consciência da segurança é acrescentar um nível de consciência dentro da organização no ponto onde a segurança se torna a segunda natureza e o processo se torna uma rotina que todos os empregados podem seguir facilmente.

O desenvolvimento do programa da consciência da segurança começa com uma revisão das estratégias de segurança, objetivos e políticas. A equipe de revisão deve determinar a avaria dos requisitos de acordo com a política de segurança de TI incorporada, tendo como instrumentos de acompanhamento o programa e monitoramento dos programas de consciência de segurança.

13. Treinamento da segurança

O treinamento específico de segurança é requerido para pessoas com tarefas e responsabilidades relatadas para segurança de TI. O grau de profundidade do treinamento da segurança deve ser determinado conforme a importância total de segurança de TI para a organização, e deve variar de acordo com os requisitos de segurança dos papéis executados. Um programa de treinamento de TI deve ser desenvolvido para cobrir toda necessidade da segurança relevante para a organização.

14. Aprovação dos sistemas de TI

Organizações devem assegurar que a aprovação ocorre para todos ou sistemas de TI selecionados que se encontram com os requisitos de política de segurança de sistemas de TI e plano de segurança de TI. Esse processo de aprovação deve ser baseado em técnicas como verificação de segurança, teste de segurança, e/ou avaliação de sistema. Essa aprovação deve ser válida para um ambiente operacional definido, e para o período de tempo indicado no plano ou política de segurança do sistema de TI. Qualquer mudança significante para segurança de proteções implementada, ou mudanças de procedimentos relevantes de segurança operacional, podem requerer uma nova aprovação. Critérios para estimular uma nova aprovação devem ser incluídos na política de segurança do sistema de TI.

15. Verificação da conformidade da segurança

A verificação da conformidade da segurança é a revisão e analise da implementação das proteções. É usado para verificar se os sistemas de TI ou serviços para os requisitos de segurança, documentados na política de segurança de sistema de TI e plano de segurança de TI.

16. Mudança de gerência

O ambiente de TI está em constantes mudanças, tais mudanças são conseqüências de novos produtos, atualizações de softwares, novos usuários, interconexões adicionais na rede, etc.

Quando uma mudança no sistema de TI ocorre, é importante determinar quais os impactos que ela irá gerar no ambiente, algumas mudanças são mais significativas que outras, porém todas devem ser analisadas com os riscos e custos medidos. As mudanças menores podem ser feitas informalmente, porém os resultados e as decisões de gerenciamento devem ser documentadas.

17. Monitoramento

Verifica se o sistema, seus usuários e o ambiente em si mantêm o nível de segurança dentro do plano de segurança de TI. Um plano de procedimentos para o dia a dia deve ser elaborado e usado como um guia para as operações e deve ser mantido atualizado. Monitoramento é importante para detectar mudanças de segurança relevantes. Recursos devem ser monitorados para detectar mudanças em seus valores. Razões para essas mudanças são: objetos do negócio e da organização, as aplicações rodando no sistema de TI, as informações processadas no sistema de TI e os equipamentos de TI.

18. Manipulação de incidentes

É muito importante criar um Esquema de Análise de Incidentes (IAS) para identificar riscos e medir sua severidade. Para ser bem sucedido, um IAS deve ser construído com os requisitos dos usuários.

Os resultados obtidos com o desenvolvimento de um IAS são: propiciar analise de riscos e revisões de gerenciamento de riscos, prevenção de incidentes, levantamento do nível de conscientização sobre segurança de TI e proporciona informações de alerta, bem como equipes responsáveis por emergências.

Os aspectos chave de um IAS são: estabelecimento de planos pré determinados para manipulação de incidentes quando eles ocorrem e treinamento de pessoal para investigação de incidentes, bem como equipes de resposta a emergências.