Implementando uma estrutura de gestão de riscos de segurança da informação

Todas as organizações estão expostas a riscos de segurança da informação. Todo gerente de segurança precisa encarar a realidade de que existem muito mais riscos do que aqueles que podem ser gerenciados de forma razoável. Então, como a equipe de segurança determina quais riscos merecem sua atenção?

Todo gestor de segurança deve confrontar a realidade de que existem muito mais riscos de cibersegurança do que aqueles que podem ser geridos de forma razoável.

A partir daí, quanto esforço deve ser investido na mitigação de um determinado risco? Nem todos os riscos exigem o mesmo nível de recursos. Quais contramedidas são adequadas? Estrutura de Gestão de Riscos de Segurança da Informação (ISRMF) fornece um método para responder a essas questões importantes.

O que é uma estrutura de gestão de riscos de segurança da informação?

Embora as definições variem, um ISRMF (Integrated Security and Resource Management Framework) é tipicamente um conjunto de processos e práticas. A estrutura permite que os gestores de segurança identifiquem onde estão mais vulneráveis e, em seguida, como lidar com essas vulnerabilidades.

A Estrutura de Gerenciamento de Riscos do NIST é um exemplo notável. Ela é obrigatória para agências federais que precisam cumprir a FISMA e leis correlatas. Em particular, as agências em conformidade devem seguir o NIST SP 800-37, o “Guia para Aplicação da Estrutura de Gerenciamento de Riscos”.”

Estruturas como a do NIST baseiam-se no princípio de que o risco nunca pode ser eliminado. Em vez disso, ele deve ser gerenciado. Ou seja, um bom gestor de segurança investirá o máximo de recursos na proteção da organização contra os riscos mais graves. A estrutura do NIST oferece seis etapas para alcançar esse resultado:

1. Classificar Sistemas de Informação (NIST SP 800-60) – Envolve a categorização de objetivos de segurança (por exemplo, confidencialidade, integridade de dados e definição de níveis de impacto como alto, baixo, etc.).
2. Selecione os controles de segurança (NIST SP800-53) – Especifica a implementação de uma base mínima de controles de segurança.
3. Implementar controles de segurança – Inclui a preparação de controles, a configuração de métodos e ferramentas de detecção e análise de ameaças, a contenção, a erradicação e a recuperação de ameaças, bem como os processos de acompanhamento pós-incidente.
4. Avaliar os controles de segurança (NIST SP 800-53A) – Exige a avaliação da eficácia dos controles de segurança por meio de métodos como entrevistas com as partes interessadas, bem como o exame e teste dos controles.
5. Sistemas de Informação Autorizados (NIST SP 800-37) – Examina o resultado da avaliação dos controles de segurança para determinar se o nível de risco é aceitável ou não.
6. Monitorar o estado de segurança (NIST SP 800-137 e SP 800-53A) – Define uma estratégia de monitoramento contínuo, incluindo frequência de monitoramento, métricas e relatórios.

O subtexto de todo o processo aprofunda-se na análise de quatro fatores de risco interdependentes:

• Ameaças
• Vulnerabilidades
• Probabilidades
• Impactos

A ameaça É uma pessoa ou tecnologia que tem o potencial de atacar sua organização (por exemplo, malware ou um ataque de phishing). vulnerabilidade A vulnerabilidade à ameaça ocorre quando as defesas da sua organização contra essa ameaça não são adequadas (por exemplo, um firewall deficiente). Probabilidade é a probabilidade de o atacante explorar a vulnerabilidade. Impacto É o efeito, geralmente em dólares, de um ataque bem-sucedido.

Em outras palavras: qual a probabilidade de você sofrer um incidente de segurança com um alto impacto (custoso)Aqueles com alto impacto obviamente merecem mais atenção e maiores alocações de recursos. Na estrutura do NIST, a seleção, implementação e avaliação dos controles de segurança giram em torno dessa questão.

A seleção, implementação e avaliação de controles de segurança podem ajudar a determinar a probabilidade de sua organização se tornar vítima de um incidente de alto impacto.

Como implementar um ISRMF

A implementação de um ISRMF envolve muitos detalhes. A estrutura do NIST inclui diversas Publicações Especiais que descrevem como ela deve ser implementada. No entanto, embora existam inúmeras sugestões e boas práticas, duas capacidades fundamentais tornam o restante possível: integração e automação.

Integração

A integração é essencial para a implementação do ISRMF, pois muitos sistemas distintos precisam trabalhar em conjunto para atingir os objetivos da estrutura. Os firewalls devem se comunicar com o Sistema de Detecção de Intrusão (IDS) e com as soluções de Gerenciamento de Eventos e Incidentes de Segurança (SIEM). As ferramentas de monitoramento de segurança funcionam melhor quando integradas a bancos de dados de ameaças e sistemas de detecção especializados. Tudo precisa se conectar com ferramentas de geração de relatórios, e assim por diante.

As soluções de segurança atuais tendem a usar o Especificação de API aberta como seu principal modo de integração. A Open API detalha arquivos de Interface de Programação de Aplicativos (API) legíveis por máquina, capazes de descrever, produzir, consumir e visualizar serviços web RESTful. É possível desenvolver um serviço web RESTful e uma API do zero, mas a especificação Open API simplifica a conexão de múltiplos aplicativos de software.

Ferramentas de segurança que utilizam APIs abertas podem expor interfaces funcionais umas às outras com relativa facilidade. Uma ferramenta pode solicitar dados, enviar dados ou invocar uma chamada de procedimento de outra ferramenta usando o padrão REST e linguagens de código aberto, como JSON, e protocolos de transporte comuns, como HTTP.

Automatização

Automatização, A outra funcionalidade necessária para a implementação do ISRMF coloca as integrações baseadas em API em funcionamento. Com tantas partes envolvidas em um ISRMF, a automação é extremamente útil para torná-lo prático para uma equipe de segurança. Sem automação, o ISRMF costuma ser extremamente complexo.

Automação e orquestração de segurança (SAO) e o ISRMF

Automação de segurança e Orquestração As ferramentas de Automação de Segurança (SAO) reúnem o potencial de integração e automação para um Sistema Integrado de Gestão de Riscos e Segurança (ISRMF). Elas aproveitam essas capacidades para ajudar as equipes de segurança a automatizar processos demorados do ISRMF. Além disso, permitem que os analistas de segurança concentrem sua expertise em tarefas de gerenciamento de riscos mais subjetivas e importantes.

Automação e orquestração de segurança As ferramentas (SAO) reúnem o potencial de integração e automação para um ISRMF.

As funções de integração do SAO, que normalmente utilizam APIs abertas, oferecem uma maneira de orquestrar processos de segurança automatizados em diversos sistemas. Por exemplo, na Etapa 3 do NIST, o SAO pode ser usado para configurar a detecção e análise automatizadas de ameaças. Uma solução SAO, como o Swimlane, pode identificar um binário suspeito assim que ele aparece na rede. Em seguida, pode verificá-lo automaticamente em relação a ameaças conhecidas, sem a necessidade de intervenção humana.

Para verificar, a Swimlane utiliza sua capacidade de integração de API aberta para enviar o binário a um banco de dados de inteligência de ameaças de terceiros. O banco de dados compara o binário suspeito com ameaças conhecidas. A API da Swimlane então recebe uma mensagem de retorno do banco de dados de ameaças. Nesse ponto, se a ameaça for genuína, o mecanismo de orquestração da Swimlane é capaz de executar uma série de etapas automatizadas. Estas incluem a abertura de um chamado, o envio de e-mails para as principais partes interessadas, o isolamento da ameaça, a atualização do banco de dados de ameaças e assim por diante. Dessa forma, a Swimlane coloca os conceitos do ISRMF em prática, evitando sobrecarregar a equipe de segurança com tarefas repetitivas.

As ferramentas SAO também facilitam a implementação das etapas do ISRMF, incluindo o monitoramento e o acompanhamento pós-incidente. Elas criam registros das tarefas de resposta a incidentes realizadas. Essa abordagem holística resulta em economia de tempo na coleta de informações sobre o incidente para uso posterior.

Como a Swimlane pode ajudar

A Swimlane entrega automação e orquestração de segurança É fácil de implementar e usar. É conhecido por sua facilidade de gerenciamento e escalabilidade. O Swimlane permite que uma equipe de operações de segurança aproveite os recursos de suas soluções de segurança existentes para enriquecer as informações apresentadas. Combinado com recursos de integração baseados em API aberta, isso representa um meio poderoso para implementar um ISRMF (Information Security and Management Framework - Estrutura Integrada de Gerenciamento de Informações de Segurança).

Para saber mais sobre a Swimlane SAO, Agende uma demonstração hoje mesmo.