Fale Conosco

Controles

Hoje separei um tempo para escrever, de uma maneira mais ampla, sobre controles. A importância sobre como planejamos, selecionamos, implementamos, monitoramos e melhoramos continuamente os controles implementados dentro de um Programa da Segurança da Informação.

Avaliação de riscos

Para começar, antes mesmo que um controle possa ser projetado, o time de segurança precisa ter alguma ideia da natureza dos riscos que esse controle deve mitigar. Se pensarmos em um programa de gerenciamento de riscos, um novo risco pode ser identificado durante um ciclo de avaliação, levando à necessidade de criação de um novo controle ou até mesmo da alteração de um controle já existente. Nesse caso, as informações levantadas durante o processo de avaliação de riscos são essenciais para que o controle seja planejado adequadamente.

Agora, se a empresa implementar controles de forma aleatória, acreditando que existe uma receita de bolo a ser seguida e sem nenhum tipo de avaliação anterior, a probabilidade dela projetar e implementar um controle com alguma das características abaixo aumenta consideravelmente:

  • Escopo inadequado;
  • Valor de implementação elevado (vs. o custo do risco);
  • Rigidez insuficiente ou excessiva.

Caso não seja possível realizar uma avaliação de riscos de toda a empresa, deve ser feita uma avaliação de riscos específica, focada na área do controle, para que a empresa tenha melhor visibilidade sobre quais riscos o controle deverá mitigar, escopo de aplicação, entre outros.

Design de controle

O desenvolvimento de controles é uma parte fundamental de qualquer programa de segurança. Para desenvolver controles, é importante ter um nível de conhecimento profundo da missão, das metas e dos objetivos da empresa, bem como um bom entendimento do grau de tolerância a riscos a ser considerado.

O líder de segurança, juntamente com o time responsável pelas tecnologias e processos relevantes para o negócio, precisam determinar quais atividades devem ser realizadas. Em outras palavras, eles precisam descobrir como operacionalizar o controle. Será que esse controle “para em pé” após sua implementação?

Para isso, existem alguns critérios que podemos considerar ao pensar no design de um controle de segurança, como:

  • Custo: O custo de aquisição/implementação do controle faz sentido vs. o custo do risco?
  • Manutenção: Além do custo de implementação, qual é o custo/esforço de manutenção do controle?
  • Capacidade: Temos a capacidade técnica para implementar e manter o controle?
  • Efetividade: Qual é o objetivo específico que deve ser atingido ao implementar o controle? Ele “conversa” com o risco mapeado?
  • Eficiência: Será possível implementar o controle pensando no conceito do uso mínimo de recursos, tempo hábil e com maior precisão possível?

Por exemplo, vamos considerar a necessidade de conformidade com o controle CM-7 do NIST SP 800-53 (“A organização: a. Configura o sistema de informações para fornecer apenas recursos essenciais; e b. Proíbe ou restringe o uso das seguintes funções, portas, protocolos e/ou serviços.”). Isso pode exigir o desenvolvimento de um ou mais componentes, bem como a implementação de ferramentas de varredura ou monitoramento para detectar não conformidades futuras. Em seguida, uma ou mais pessoas precisarão ser designadas como responsáveis pelo projeto, implementação e avaliação do controle. Além disso, o controle precisará ser projetado de forma que seja verificável/auditável.

Não basta pensar apenas no controle “core” a ser implementado e esquecer de todo o ecossistema que ele irá gerar/impactar!

Implementação do controle

Depois que um controle é projetado, ele precisa ser implementado, certo?

Dependendo da natureza do controle, isso pode envolver impacto operacional na forma de mudanças nos processos de negócios e/ou nas tecnologias existentes. As mudanças com maior impacto exigirão mais cuidado para que os processos de negócio não sejam afetados negativamente.

Depois que os padrões de proteção (baseline) forem desenvolvidos (o que, a propósito, não é uma tarefa fácil), eles precisarão ser testados e implementados. Se um ambiente de produção for afetado, isso pode levar um bom tempo para garantir que nenhum dos itens do padrão de proteção afete negativamente o desempenho, a integridade ou a disponibilidade dos sistemas e processos envolvidos.

Monitoramento de controle

Para que isso aconteça, o controle precisa ter sido projetado de forma que o monitoramento possa ocorrer. Afinal, na ausência de monitoramento, como poderemos verificar se ele é eficaz?

Por exemplo, uma empresa identificou um risco que indicava que suas contas de usuário eram vulneráveis à brute force. A empresa decidiu alterar o processo de login nos sistemas vulneráveis para que as tentativas de senhas incorretas resultassem em bloqueio temporário antes que o usuário pudesse tentar fazer login novamente. Para facilitar o monitoramento, a empresa também alterou o processo de login para registrar entradas de log de auditoria sempre que um usuário tentasse fazer login, independentemente do resultado (sucesso ou falha). Isso forneceu à empresa registros de eventos que poderiam ser examinados periodicamente para verificar se o controle estava funcionando como projetado.

Avaliação de controle

Qualquer empresa que implemente controles para lidar com riscos deve examinar periodicamente esses controles para determinar se eles estão funcionando como pretendido e conforme projetado. Existem várias abordagens disponíveis para a avaliação de controles, algumas delas são:

  • Autoavaliação: O dono do controle responde às perguntas e inclui qualquer evidência relevante. Aqui podemos ter um claro conflito de interesses.
  • Auditoria interna: Equipe de auditores internos da empresa realiza uma avaliação formal do controle.
  • Auditoria externa: Auditor externo examina formalmente o controle.

Um ou mais desses métodos podem ser selecionados, considerando exigências de leis, regulamentações, obrigações contratuais legais e entre outros.

Conclusão

A ideia central desse texto é trazer a mensagem de que não existe uma receita de bolo a ser seguida quando pensamos em controles de Segurança da Informação.

Cada empresa deve entender o seu contexto de negócio, grau de tolerância a riscos, ativos críticos, cenário de ameaças cibernéticas entre outros aspectos antes de projetar e implementar controles de segurança.

Sobre o Autor

A RHX Soluções oferece postagens no blog com insights valiosos sobre Expertise Jurídica e Contábil.

Mais Populares

Categorias

Junte-se à família!

Inscreva-se para receber uma Newsletter.

Escolha a RHX SOLUÇÕES e transforme obstáculos em oportunidades de crescimento e tranquilidade fiscal para seu negócio.

Contato

  • (79) 99811-4237
  • contato@

Institucional

Menu

Redes Sociais

Youtube Instagram Linkedin Whatsapp

© Copyright 2024 RHX Soluções – Todos os Direitos Reservado

Abrir bate-papo
Precisa de Ajuda?
Powered by Joinchat
Olá, podemos te ajudar!