As estratégias de segurança da sua empresa são eficientes?

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Santo de casa não faz milagre”.  Há quem diga que por mais boa vontade que exista na equipe interna de uma organização, o “pulo do gato” geralmente sai sempre de alguém que esta fora do time da casa. Assim, o outsourcing , a terceirização, as consultorias, ganham destaque. Entretanto, seus “pupilos”, com as devidas valorizações, em diversos aspectos, poderão lhe trazer excelentes frutos recompensativos e achar o “salto do tigre”.

O fato é: um número crescente de empresas optam por uma abordagem diferente para detecção de intrusão, terceirizando dessa forma, a função do chamado Provedores de Serviços Gerenciados de Segurança (MSSP). Mas afinal, o que levou a essa tendência? Os MSSPs oferecem às pequenas e médias empresas recursos de que eles não poderiam dar ao luxo de manter internamente.

Enquanto muitas empresas se sentem competentes para lidar com um grande número de questões de segurança da informação, como por exemplo, um CSIRT, algumas não possuem esta “habilidade” ou proficiência total e necessária para implementar uma estratégia de segurança em toda a empresa.

Detecção de intrusão é apenas um dos muitos componentes que são necessários para desenvolver esta estratégia de segurança. Quando combinado com as demandas salariais crescentes dos profissionais e da total falta de especialistas qualificados, a terceirização parece ser uma alternativa atraente, porém pode não ser sempre eficiente.

As MSSP’s geralmente incluem em seus serviços:

  • Firewalls monitorados ou gerenciados com sistemas de prevenção de intrusão (IPSs);
  • Monitoramento ou gerenciamento dos sistemas de detecção de intrusão (IDS);
  • Proteção contra ataques de negação de serviço (DDoS);
  • Gerenciamento seguro dos gateways de mensagens;
  • Gerenciamento seguro dos gateways Web;
  • Gestão dos sistemas de segurança da informação;
  • Segurança e gestão de eventos;
  • Verificação de vulnerabilidades de redes, servidores, bancos de dados ou aplicações;
  • Vulnerabilidade de segurança ou serviços de notificação de ameaça.

Segue por exemplo abaixo, segundo o Gartner Group, o Quadrante Mágico que avalia provedores deste tipo de serviço:

gráfico quadrante

Em suma, a importância deste tipo de serviço, conforme as inúmeras transformações tecnológicas e tendências de mercado será do nível de transação de detecção de intrusão para transações comerciais.

Juntamente com uma presença na web cada vez mais ativa, muitas empresas, têm visto a necessidade de implementar alguma forma de detecção de intrusão para proteger os ativos de informação vitais, bem como a sua reputação. A proliferação de redes privadas virtuais ou VPNs resultou em um método fácil de contornar esta proteção. Durante vários anos, as empresas têm sido relutantes em terceirizar a segurança porque implicava colocar confiança em uma pessoa de fora e deixar que os outros vejam o funcionamento interno de sua operação.

Muitos fatores precisam ser levados em consideração antes da tomada de decisão para terceirizar a detecção de intrusão e outros serviços de segurança para uma MSSP, como por exemplo, de forma bem sumária:

  • Será capaz de escrever assinaturas personalizadas que podem atender ao “zero-day exploits” ou são limitados à assinatura que são fornecidos pelo fabricante do sistema de detecção de intrusão? Que garantia há de que os dispositivos que são mantidos são continuamente atualizados com as últimas assinaturas?
  • O fornecedor de serviços oferece uma variedade de soluções que pode facilmente lidar com uma variedade de ambientes ou eles se especializam em um tipo único de solução?
  • Quais disposições estão em vigor no que diz respeito à tolerância a falhas? Está registrando e verificado periodicamente e como?
  • Existe um servidor centralizado de logs no caso em que o dispositivo de segurança, em si, é comprometido?
  • Até quando a atividade é mantida, ou seja, por quanto tempo os registros são mantidos?
  • Existe redundância incorporada ou seria incapaz de acessar os dispositivos e receber alarmes?
  • Como é a rotatividade de pessoal? São senhas rotineiramente alteradas e que eles utilizam senhas comuns em vários dispositivos? Eles realizam verificação de antecedentes sobre futuros empregados?
  • Dá-se ênfase somente a certas qualificações/certificações especificas de soluções/produtos?
  • Até que ponto o provedor de serviços proporciona educação continuada ou de formação para seus funcionários? Detecção de intrusão é um campo que está avançando rapidamente. O prestador de serviços deve ser capaz de resolver prontamente e fornecer informações sobre novas explorações.

Parte do benefício deste “outsourcing” de detecção de intrusão é que o prestador de serviço deve ser capaz de fornecer atualizações de informações constantes, que seria benéfico para enfrentar novas ameaças. Por meio de uma abordagem pró-ativa em vez de meramente reativa, eles podem mais facilmente determinar “padrões de atividade”, que poderia representar uma ameaça para uma empresa antes do tempo de uma catástrofe ao negócio.

Ou seja, o MSSP é diferente de um CSIRT. O CSIRT – Time de Respostas a Incidentes de Segurança, poderá ser um grupo ou organização que provê serviços e suporte a um público bem definido, para prevenção, tratamento e respostas a incidentes, podendo ser, por exemplo, um ponto central de contato, um provedor de informações para seu público assim como um intermediador na troca de informações com outros CSIRT’s

Independente de ser um MSSP ou CSIRT, alguns importantes critérios de avaliação devem ser considerados para ao menos tentar-se chegar a um nível de excelência técnica, organizacional, administrativa e, claro, de segurança, para o atendimento e execução de um serviço que a um bom tempo, vem deixando de ser meramente operacional para findar-se como tático e estratégico para a organização. Tais avaliações permeiam dois grandes níveis:

A Capacidade de Execução + Abrangência de Visão.

Pense que um CSIRT, por mais interno que seja o serviço, pode chegar num grau de qualidade tão diferenciado que, como um bom visionário, os gestores poderão perceber uma grande oportunidade de negócio, vendendo, literalmente o serviço para o mercado externo, chegando assim a transformar-se num MSSP.

Então, para capacidade de execução, considerar:

  • Produto / serviço. Refere-se aos recursos de serviços em áreas como gestão de eventos e de alerta, informação e gerenciamento de registros, gerenciamento de incidentes, fluxo de trabalho, relatórios e níveis de serviço;
  • Viabilidade global. Inclui a saúde financeira da organização, o sucesso financeiro e a prática total da empresa, com probabilidade de que a unidade de negócio continuará a investir na oferta deste tipo de serviço;
  • Execução de vendas / preço. Inclui o sucesso do prestador de serviços e suas capacidades em atividades de pré-vendas. Isso inclui receita, os preços e a eficácia global do canal de vendas;
  • Receptividade do mercado e histórico. Avalia o jogo da oferta deste serviço para os requisitos funcionais declarados por compradores no momento da aquisição, e avalia o registro da empresa para trilhar na entrega de novas funções quando eles são necessários/exigidos pelo mercado.
  • Execução de marketing. É uma avaliação da capacidade do provedor de serviços para comunicar eficazmente o valor e diferenciação competitiva de sua oferta para este serviço ao seu comprador-alvo.
  • Experiência do cliente. É uma avaliação da prestação de serviços aos clientes. A avaliação inclui a facilidade de implantação, a qualidade e a eficácia do monitoramento e alerta, além de relatórios e resolução de problemas. Este critério é avaliado por meio de entrevistas qualitativas do fornecedor, desde clientes de referência, que estão usando estes serviços ou ter concluído as avaliações competitivas de ofertas da empresa;
  • Operações. Inclui recursos desta prestação de serviço,  tais como de pessoal, infra-estrutura e operações ou certificações.

Para abrangência de visão:

  • Entendimento do mercado. Envolve a capacidade deste serviço para entender as necessidades dos compradores e traduzir essas necessidades em serviços com diferencial competitivo e de qualidade. Tal serviço deverá demonstrar o mais alto grau de conhecimento às necessidades do mercado se adaptando às necessidades dos clientes para áreas funcionai, específicas e opções de entrega de serviços diferenciados;
  • A estratégia de marketing. Refere-se a um conjunto claro e diferenciado de mensagens que é constantemente comunicado em toda a organização; se exterioriza através do site, publicidade, programas de cliente e declarações de posicionamento, e é feita sob medida para os drivers específicos do cliente e condições de mercado para execução deste tipo de serviço;
  • Estratégia de vendas. Diz respeito à utilização do vendedor de vendas diretas e indiretas, marketing, serviços e afiliadas de comunicação para ampliar o foco e a profundidade de alcance de mercado;
  • Estratégia de oferta (produto).  É a abordagem do vendedor para o desenvolvimento de produtos e entrega que enfatiza a funcionalidade e opções de entrega, como eles mapeiam as necessidades atuais e emergentes para este serviço. Planos de desenvolvimento também são avaliados;
  • Modelo de negócios. Inclui o processo e taxa de sucesso para o desenvolvimento de recursos e de inovação, e capacidade de entrega de serviços;
  • Indústria vertical e estratégia geográfica. Inclui a capacidade e compromisso de posições geográficas e de serviços dos diferentes mercados que afetam e podem influenciar;
  • Inovação. Refere-se a estratégia do provedor de serviço e capacidade de desenvolver novas capacidades com modelos de entrega para unicamente atender aos requisitos críticos dos clientes.

Enfim, é muito importante conversar com antecedência, com os membros da equipe que vão ser realmente os prestadores do serviço, para garantir que eles são experientes e bem treinados. Olhe para relatórios de histórico. Será que eles fornecem um nível adequado de análise para além do mero relato sobre o alarme que foi acionado no dispositivo?

Será que realmente o prestador de serviços esta sendo capaz de fornecer a correlação de eventos de atividades observadas ou simplesmente fornecendo relatórios de incidentes isolados?

O prestador de serviço deve ser capaz de puxar relatórios que mostram uma repartição global da atividade a partir de blocos de endereços específicos ao longo do tempo. Tenha em mente que em alguns casos, a função de detecção de intrusão é melhor tratada internamente.

Em situações onde o risco é relativamente baixo e onde a resposta automática não é uma opção, a inspeção de rotina de logs de IDs pode ser manipulada pelo pessoal de segurança existente.

Nunca subestime as capacidades do seu pessoal de segurança interno existente. Elas são muitas vezes mais familiarizadas com as peculiaridades de seu ambiente de rede e pode mais facilmente resolver os muitos falsos positivos que podem surgir. Um pouco de treinamento, capacitações refinadas, podem trazer sem dúvida um custo-benefício mais efetivo e assertivo em situações criticas e mitigar muitos dos riscos.

Atente-se que, possuir um nível adequado de segurança é uma busca constante da gestão de risco. Não gaste mais dinheiro enfrentando uma ameaça que não existe. A equipe de operações existente internamente em sua empresa, pode muitas vezes ser aproveitada para resolver problemas que possam surgir fora do horário normal de trabalho. O intuito pode não ser converter sua equipe para chegar a ser um CSIRT oficialmente. Mas deixá-la num nível de um, não é um problema, mas será sem dúvida um grande benefício, já pelo simples fato de se ter naturalmente, com o decorrer dos processos de maturidade, os planos de resposta a incidentes que podem facilmente responder a qualquer ameaça que é identificada, por exemplo, por uma MSSP. O elo fraco em planos de resposta a muitos incidentes, na maioria das vezes é a interface entre o MSSP e o ponto de contato que é responsável por tratar incidentes de segurança que possam surgir. Certifique-se que seu provedor de serviços não será apenas para ser um “apagador de incêndios”,  que vai chamá-lo periodicamente. Desde o momento em que as discussões são  iniciadas, por exemplo, o MSSP deverá estar a par de informações confidenciais que não devem ser divulgadas. Desta forma, mais do que nunca a elaboração de um acordo para esse tipo de situação, deve garantir que ambas as partes vão chegar a soluções aceitáveis para problemas de segurança. Neste contexto, quando se tem o CSIRT ou a equipe operacional interna à frente, tal situação é menos complicada, burocrática e mais independente, com relações de trabalhos de certa forma mais “afáveis” e não menos eficientes. [Webinsider]

…………………………

Leia também:

…………………………

Acompanhe o Webinsider no Twitter e no Facebook.

Avatar de Mário Peixoto

Mário Peixoto (leitoronline@gmail.com) é consultor de segurança da informação e professor universitário.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *