Notícias

12h09

Insights sobre evento de Segurança e Gestão de Risco do Gartner

Artigo aborda insights de especialista da BR Defender, que participou de evento do Gartner sobre Segurança e Gestão de Risco, em São Paulo (SP), nos dias 8 e 9 de agosto.

Compartilhe
Tamanho do Texto
Insights sobre evento de Segurança e Gestão de Risco do Gartner

Por Leonardo Queiroz

Compartilho neste artigo algumas constatações e insights percebidos no evento do Gartner sobre Segurança e Gestão de Risco, que ocorreu em São Paulo (SP), nos dias 8 e 9 de agosto, cujo tema foi: “Gerencie riscos, construa confiança e abrace a mudança tornando-se adaptável em todos os lugares”.

Ao tratarmos de “gerencie riscos”, vale lembrar que “zero risco é igual a zero oportunidade”. Zero risco seria muito caro e provavelmente travaria o seu processo e, consequentemente, o seu negócio. Neste caso, cabe ao gestor do negócio encontrar o equilíbrio entre o risco que ele está disposto a correr (apetite de risco), com o retorno esperado do seu negócio.

Aqui vale outra máxima: quanto maior o risco, maior o retorno (ou prejuízo!). Observem que a decisão quanto ao risco é do gestor e não da área de Tecnologia de Informação (TI) ou Segurança da Informação (SI). Assim, a implementação de controles de segurança deve ser sugerida pela área de SI, com a justificativa de tratar um determinado risco, sendo que o gestor pode decidir por não o implementar, assumindo (retendo) o risco. Claro que esta decisão deve estar alinhada ao apetite e tolerância ao risco, não devendo o gestor assumir mais riscos do que a capacidade da organização, sob pena de comprometer o negócio.

Logo no início do encontro em São Paulo, também ficou claro que em um ambiente com muitos alertas e ruídos, a Segurança da Informação já virou um problema de Big Data Analytics (trabalho analítico e inteligente de grandes volumes de dados) [1]. Se combinarmos isto com os recursos humanos e financeiros cada vez mais limitados, podemos constatar que jamais conseguiremos analisar todos os eventos, então precisamos focar nossos recursos escassos para analisar os eventos de maior risco.

E como fazer para, no meio de tantos alertas e ruídos, no meio deste Big Data, separar os eventos de maior risco para priorizar a análise e o tratamento? É aí que entra a inteligência artificial e o machine learning, tão falados neste evento. Soluções de User Behavior Analytics - UBA, que observam o comportamento padrão humano e então aplicam algoritmos e análises estatísticas para detectar anomalias significativas deste padrão, anomalias estas que possam indicar potenciais ameaças [2].

Foram dados exemplos de combinação de eventos do endpoint com os de rede, associados a processos de inteligência artificial, para diminuir bastante os eventos do SIEM no Valley National Bank, por exemplo, de 1500 para 30 de alto risco por dia.

Sobre a gestão de vulnerabilidades, parte crítica para prevenção de ataques, uma das constatações foi de que o ótimo é inimigo do bom e que zero vulnerabilidade não é possível. Sendo assim, a recomendação é de eliminar as vulnerabilidades severas e permitir que as com menos risco estejam “ok”, ou que tenham um prazo mais elástico para o seu tratamento (Gradual Risk Reduction).

Outra declaração forte é de que "a segurança precisa deixar de ser dogmática e passar a ser pragmática". Você sabia que a troca periódica de senha não é mais recomendada pelo NIST [3]? Esta é uma das regras dogmáticas que fazem legiões de funcionários corporativos criar uma nova senha todos os meses. Houve vários estudos que mostraram que exigir mudanças de senha frequentes parece ser realmente contraproducente para uma boa segurança de senha, apesar da indústria ter mantido obstinadamente esta prática [4].

A gestão de riscos precisa ser contínua e integrada. A segurança de hoje deve ser integrada e adaptativa, não mais um conjunto de silos. Portanto, deve-se exigir dos atuais fornecedores APIs abertas para permitir integração entre soluções, suporte a políticas adaptativas e a utilização de múltiplos métodos de detecção.

Just in time trust: é preciso mudar o paradigma de decisões binárias e estáticas para decisões continuas e adaptativas, em tempo real, baseado no risco e na confiança. O controle de acesso estático já não é mais suficiente, por exemplo.

Just enough trust: os controles não podem ser demais, para não travar o negócio, e nem de menos, para não expor o negócio a riscos excessivos e comprometer a sua existência. Os controles precisam ser suficientes.

As coisas não são mais binárias, 0 ou 1, sim ou não, preto ou branco. Aceite o cinza!

 

[1] https://en.wikipedia.org/wiki/Big_data
[2] https://en.wikipedia.org/wiki/User_behavior_analytics
[3] https://pages.nist.gov/800-63-3/sp800-63-3.html
[4] https://www.passwordping.com/surprising-new-password-guidelines-nist/

 

Leonardo Queiroz é consultor de Segurança da Informação e Gestão de Risco na BR Defender, trabalha com Defesa Cibernética na PETROBRAS, possui especializações na área de Redes e Telecomunicações, Gestão de Projetos e Administração de Empresas, é PMP, CSM e Auditor Líder da ISO 27001.

Compartilhe
Tamanho do Texto
Entre em contato ou faça-nos uma visita.
Entre em contato
ou faça-nos uma visita.
Alameda Salvador, 1057.
Salvador Shopping Business, Sala 1810. Salvador Bahia.
71 3102-2442
contato@BR Defender.com.br
BR Defender
2016 - 2018. BR Defender. Todos os direitos reservados.
Produzido por: Click Interativo | Agência Digital