Proteja sua Empresa: Analise sua Segurança com Modelos de Arquitetura

postado em 6 de jun de 2018 12:21 por Antonio Plais   [ 6 de jun de 2018 12:24 atualizado‎(s)‎ ]
Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

Em uma postagem anterior, falamos sobre os passos essenciais para manter sua organização segura em um ambiente digital cada vez mais perigoso:
  1. Garantir a conscientização por toda a organização
  2. Alinhar o gerenciamento de risco e segurança com a estratégia do negócio
  3. Analisar suas vulnerabilidades e riscos
  4. Adotar uma abordagem de segurança por desenho
  5. Assumir que você está comprometido
Nesta postagem, vamos olhar mais detalhadamente os instrumentos que podem ser usados para que você possa alcançar a segurança cibernética - em particular, nos passos 3 e 4.

Modelos para a segurança cibernética

Não vamos surpreendê-lo ao defender uma abordagem baseada em modelos para analisar e mitigar os riscos cibernéticos. Descrições claras e formais da sua organização ajudarão você a obter o entendimento necessário para fornecer soluções de segurança cibernética ótimas. Naturalmente, não é possível alcançar a segurança absoluta; ao invés disso, você deveria focar onde você precisa investir a partir da perspectiva 1) do valor dos ativos que você quer proteger e 2) das vulnerabilidades associadas a estes ativos.

Nossa abordagem para o gerenciamento de segurança e risco corporativo é baseada em vários padrões abertos, mais notadamente o padrão ArchiMate para a modelagem da arquitetura corporativa, bem como o padrão Open FAIR para o gerenciamento de risco da informação. Mais detalhes estão descritos neste artigo do The Open Group sobre modelagem de segurança e gerenciamento de risco corporativo.


Processo de gerenciamento de segurança e risco


A figura acima mostra os passos principais da nossa abordagem, os quais estão embutidos na funcionalidade de Gerenciamento de Conformidade, Risco e Segurança do BiZZdesign Enterprise Studio. Na parte inferior da figura, você vê os ativos que você quer proteger de riscos cibernéticos, enquanto na parte superior você vê as políticas, princípios e objetivos que orientam a organização. Entre estes extremos estão os passos que os conectam; no lado esquerdo (em vermelho), você vê a análise dos riscos cibernéticos na sua organização, e no lado direito (em verde) você vê a implementação dos controles para melhorar a sua segurança. Estas são as etapas para o gerenciamento de segurança e risco:

1. Revisar os ativos: Quais são os ativos mais importantes que são críticos para a sua organização? O que as regulações aplicáveis falam sobre estes ativos? Por exemplo, os dados pessoais dos seus clientes podem ser um destes ativos. Sua reputação como uma organização confiável pode ser outro. Você pode atribuir algum valor a estes elementos? Tudo isso ajudará você posteriormente quando decidir o que é mais importante proteger.

2. Analisar as vulnerabilidades: De que forma os ativos da sua organização estão vulneráveis? Em segurança cibernética, "vulnerabilidades do dia zero", que não são conhecidas por ninguém exceto pelo atacante, são naturalmente as mais perigosas, e não aparecerão nesta lista. Mas outras vulnerabilidades que você possa reconhecer deveriam ser investigadas e ligadas com os ativos que elas expõem. Você pode reusar os modelos da sua arquitetura de negócios e de TI, possivelmente estendendo-os com os aspectos relevantes de segurança.

3. Avaliar as ameaças: Depois que você avalia as vulnerabilidades específicas dos seus ativos, você precisa avaliar se estas vulnerabilidades podem ser exploradas efetivamente pelos chamados "eventos de ameaça" e "agentes de ameaça". Isto pode ir desde hackers maliciosos até governos hostis e concorrentes desonestos, bem como seu próprio pessoal, mal-funcionamento técnico, desastres naturais, e outros acidentes. Nós coletamos um extenso modelo contendo centenas de vulnerabilidades, agentes de ameaça e eventos de ameaça, que pode servir como um ponto de partida para as suas análises neste passo e no anterior.

4. Calcular riscos: Com base nas ameaças potenciais e no valor dos seus ativos, você pode avaliar os riscos que a sua organização enfrenta na realidade. Em uma fórmula simples, risco = valor x probabilidade; quanto maior o risco, mais você quererá investir para mitigá-lo. A figura abaixo mostra um exemplo de uma análise como esta, construída gradualmente através destes quatro primeiros passos:
A parte inferior, amarela, do modelo mostra os processos de negócio e os ativos a serem protegidos ('Informação do Cliente'). A parte superior mostra, da esquerda para a direita:
  • a vulnerabilidade ('Autenticação fraca')
  • o agente de ameaça (o hacker)
  • eventos de ameaça
  • eventos de perda potencial resultantes destas ameaças
  • os riscos resultantes
Os sinais de tráfego mostram os vários parâmetros, tais como valor do ativo, nível de vulnerabilidade e nível de risco resultante. Todos eles são interconectados, e o nosso algorítimo de análise de risco calcula os resultados, ou seja, aumentando o nível de risco se você aumenta o valor do ativo ou a capacidade da ameaça.

5. Criar políticas: Para lidar proativamente com riscos cibernéticos potenciais, você deveria definir princípios e políticas de segurança apropriadas que estejam em linha com a sua estratégia de negócio e que também siga as regulações aplicáveis. Isto pode incluir, por exemplo, princípios tais como segurança por desenho, separação de responsabilidades, acesso restrito a dados pessoais, e outras políticas comuns. Frameworks regulatórios, como o GDPR, requerem políticas de proteção de dados sólidas, com altas multas em casso de não-conformidade e até mesmo a responsabilização pessoal da gerência responsável. Isto, por sua vez, influencia o valor dos ativos que você quer proteger. Não é apenas o seu valor intrínseco que está em jogo; multas, danos à reputação e outros efeitos colaterais também deveriam ser levados em consideração.

6. Definir objetivos de controle: Com base nas políticas que você criou no passo anterior, você deveria definir objetivos de controle apropriados. Uma abordagem padrão é, por exemplo, classificar a confidencialidade, integridade, disponibilidade, sensitividade à privacidade, e outros atributos dos seus dados, de acordo com casos de uso comuns que você tenha. Por exemplo, os dados no seu website precisarão de baixa confidencialidade, mas alta disponibilidade, enquanto os dados do cliente terão requisitos de confidencialidade e privacidade muito mais altos, enquanto a disponibilidade poderia ser uma preocupação menor.

7. Criar medidas de controle: Estes objetivos de controle são traduzidos em medidas de controle aplicáveis, que dizem o que deve ser feito para atingir estes objetivos. Padrões relevantes, como a ISO/IEC 27001, NIST 800-53, CSA e outros, podem ajudar fornecendo um conjunto predefinido e organizado de medidas de controle. Abaixo, vemos um pequeno extrato de um modelo do padrão ISO/IEC 27001, mostrando um objetivo de controle específico e várias medidas de controle relacionadas, expressas através da sobreposição de risco e segurança do ArchiMate que está definida no artigo do The Open Group mencionado acima. 

A força destas medidas de controle também pode ser usada como entrada para os cálculos de risco mostrados na figura anterior. Quanto mais forte o seu controle, mais baixas as suas vulnerabilidades e, assim, mais baixos os riscos que você corre.

8. implementar: A etapa final é desenhar a implementação destas medidas de controle como parte da sua arquitetura, processos e sistemas. Por exemplo, você terá que descobrir como você realiza o registro de usuários (a primeira medida na figura acima). O custo da implementação destas medidas pode ser comparado aos riscos que você está correndo. Eles realmente valem isto, ou você está protegendo ativos de baixo valor com caros controles extensivos?

A análise de risco mostrada acima é, naturalmente, algo a ser feito por especialistas em avaliação de riscos e modeladores, e pode parecer complicado para os não iniciados. Os resultados podem, no entanto, ser apresentados através de mapas de calor amigáveis como o mostrado abaixo.


O mapa de calor acima mostra como a alta capacidade das ameaças (por exemplo, um hacker esperto) combinado com controles com pouca força resultam em um nível de vulnerabilidade muito alto. As outras duas vulnerabilidades neste mapa de calor são, provavelmente, menos urgentes.

Esta análise ajuda a gerência a priorizar investimentos na melhoria da segurança como, neste exemplo, implementar regras relacionadas com o tamanho das senhas, ou instituir a autenticação de múltiplos fatores. Assim, sua organização ganha espaço no orçamento para investir naquilo que realmente conta.

A arquitetura de segurança é uma preocupação contínua

O gerenciamento de risco é um processo iterativo e contínuo. O processo esboçado aqui deveria ser executado regularmente para avaliar novas vulnerabilidades e ameaças, e para manter suas política, princípios e controles atualizados com a estratégia da sua organização e com as demandas regulatórias. Mais ainda, o fato que você tenha um processo de gerenciamento de risco como este é, em si, demandado por vários frameworks regulatórios.

Embutir isto em seus processos regulares de arquitetura e desenho fornece para você uma abordagem de segurança por desenho - uma forma muito mais efetiva de melhorar a resiliência da sua organização do que simplesmente implementar algumas medidas de segurança após o evento de segurança cibernética.

Não existe garantia de que nada sairá errado. De qualquer forma, ter uma abordagem para análise e mitigação de risco baseada em modelo, como apresentado aqui, se provará ser um grande investimento na segurança cibernética, continuidade do negócio e resiliência da sua organização onde (e quando) isto realmente importa.

Interessado em saber mais? Entre em contato com a Centus Consultoria e solicite uma demonstração da funcionalidade de Gerenciamento de Risco, Segurança e Conformidade do BiZZdesign Enterprise Studio!



* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.