Como gerenciar vulnerabilidades técnicas de acordo com o controle A.12.6.1 da ISO 27001

Você certamente já ouviu, ou viveu, este cenário: é um dia normal e os sistemas estão funcionando bem, quando de repente eles ficam mais lentos sem razão aparente ou simplesmente param. O suporte ao usuário começa a receber dúzias de chamados, e a equipe de TI trabalha duro e por horas para colocar os Sistema online novamente. Felizmente, nenhum dado foi perdido, apenas horas de trabalho.

Durante a tratativa do evento, a equipe de TI descobre que a causa raiz do problema foi uma falha em um dos sistemas de informação que, de forma inocente ou intencional, levou ao mau funcionamento dos sistemas. Para tornar as coisas piores, eles descobrem que a causa raiz já havia sido identificada e corrigida pelo fabricante, através de um procedimento que não leva mais do que cinco minutos. Que dia…

Este cenário é mais comum do que você pode imaginar, e algumas vezes mais sombrio: dados perdidos ou roubados, e perdas operacionais que podem tornar a continuidade do negócio impossível. Neste artigo, apresentarei a você uma forma como a ISO 27001 pode ajudar organizações a lidar com este tipo de situação, através de controle A.12.6.1 – Gestão de vulnerabilidades técnicas.

O que são vulnerabilidades técnicas, e como elas surgem?

De acordo com a ISO 27000, que provê uma visão geral e vocabulário para Sistemas de Gestão de Segurança da Informação ISO, uma vulnerabilidade é “uma fraqueza de um ativo que poderia ser potencialmente explorada por uma ou mais ameaças.” Ela também define uma ameaça como qualquer “causa potencial de um incidente não desejado que possa resultar em dano ao sistema ou organização.”

Assim, uma vulnerabilidade surge quando uma ameaça encontra uma fraqueza que ela pode explorar, mas de onde esta fraqueza veio? De forma geral, uma fraqueza é uma falha que ocorre durante a concepção, implementação, configuração ou operação de um ativo ou controle. Fraquezas podem ser criadas por descuido, ou intencionalmente. Algumas são fáceis de se identificar / corrigir / explorar, enquanto outras requerem algum tempo, esforço e recursos.

A abordagem da ISO 27001 para gestão de vulnerabilidades

Basicamente, o controle A.12.6.1 da ISO 27001 se fixa em três metas:

Identificação de vulnerabilidades em tempo hábil. Quanto mais cedo você descobrir uma vulnerabilidade, mais tempo você terá para corrigi-la, ou ao menos para avisar o fabricante sobre a situação, diminuendo a janela de oportunidade que um atacante em potencial poderia ter.

Avaliar a exposição da organização a uma vulnerabilidade. Nem todas as organizações são afetadas da mesma maneira por uma certa vulnerabilidade, ou conjunto de vulnerabilidades. Você precisa fazer uma avaliação de risco para identificar e priorizar aquelas vulnerabilidades que são mais críticas para os seus ativos e negócio.

Adoção de medidas apropriadas considerando os riscos associados. Uma vez que você tenha identificado as vulnerabilidades mais críticas, você precisa pensar sobre ações e alocação de recursos dos quais dispõe para lidar com elas – este é o seu plano de tratamento de riscos. A forma mais prudente é considerar o nível de riscos associado a cada vulnerabilidade.

Orientações da ISO 27002 para a gestão de vulnerabilidades

Como ações de apoio para atingir estas metas, a ISO 27002, que provê boas práticas a serem consideradas quando da implementação de controles de segurança como o A.12.6.1, sugere:

Implemente um inventário de ativos. Uma gestão de vulnerabilidades eficaz depende do seu conhecimento de informações relevantes sobre seus ativos de informação, tais como fabricante do software, versão do software, onde o software está instalado, e quem é o responsável por cada unidade do software.

Defina responsabilidades. A gestão de vulnerabilidades requer que muitas atividades diferentes sejam realizadas (por exemplo, monitoramento, avaliação de riscos, correções, etc.), assim é conveniente definir claramente que está fazendo o que para assegurar uma rastreabilidade adequada dos ativos.

Defina fontes de referência. Sites de fabricantes, fóruns especializados, e grupos especiais deveriam estar na sua lista de fontes de informação a serem consultadas sobre notícias relacionadas a vulnerabilidade e medidas de correção. Para maiores informações sobre o papel de grupos especiais em um SGSI, por favor veja o artigo Grupos especiais: Um recurso útil para apoiar o seu SGSI.

Trate as vulnerabilidades por meio de procedimentos definidos. Independente da urgência para se lidar com a vulnerabilidade, é importante tratá-la de forma estruturada. Procedimentos de gestão de mudança ou de resposta a incidentes deveriam ser considerados para tratar vulnerabilidades, porque eles podem orientar você sobre o que fazer considerando priorização, tempo de resposta, escalada de resposta, etc.

Mantenha registros para análise posterior (e faça as análises). Manter registro de incidentes sobre o que aconteceu e quais procedimentos foram realizados é vital para se aprender com o incidente e prevenir futuras ocorrências, ou ao menos minimizar seus impactos, assim como para melhorar o próprio processo de gestão de vulnerabilidades. Adicionalmente, assegure-se de conduzir avaliações periódicas, de forma que você possa implementar melhorias, ou fazer correções, o mais breve possível.

Como exemplo de um cenário de gestão de vulnerabilidades, considere a vulnerabilidade heartbleed descoberta em 2014, a qual permite o comprometimento de informações enviadas através de comunicação criptografada. A partir do monitoramento de fontes de referência definidas em um inventário de ativos, uma organização pode detectar que esta vulnerabilidade pode afetar alguns ativos classificados como críticos. Através de procedimentos de gestão de mudança, ações apropriadas podem ser planejadas para corrigir a falha, por meio de aplicação de correções, assim como para minimizar o risco de vazamento de informações até a correção ser aplicada, ao se criptografar informações antes de transmiti-las.

Não seja derrotado por brechas em sua armadura

Devido a demanda de Mercado por entrega cada vez mais rápida de software e por mais funcionalidades, você pode esperar que o número de vulnerabilidades se torne cada vez maior, assim, de forma a preservar a segurança de seus ativos de informação e a imagem e competitividade de sua organização, é vital planejar como identificar e tratar com vulnerabilidades. Você irá descobrir que ao adequar as recomendações propostas pela ISO 27001 e 27002 para a sua realidade, você poderá evitar muitas preocupações e trabalho, assim como minimizar perdas e impactos na reputação do seu negócio.

Para ver o grau de conformidade de sua organização com outros controles de segurança de TI, use nossa ferramenta gratuita ISO 27001 Gap Analysis Tool.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001