Voc\u00ea certamente j\u00e1 ouviu, ou viveu, este cen\u00e1rio: \u00e9 um dia normal e os sistemas est\u00e3o funcionando bem, quando de repente eles ficam mais lentos sem raz\u00e3o aparente ou simplesmente param. O suporte ao usu\u00e1rio come\u00e7a a receber d\u00fazias de chamados, e a equipe de TI trabalha duro e por horas para colocar os Sistema online novamente. Felizmente, nenhum dado foi perdido, apenas horas de trabalho.<\/p>\n
Durante a tratativa do evento, a equipe de TI descobre que a causa raiz do problema foi uma falha em um dos sistemas de informa\u00e7\u00e3o que, de forma inocente ou intencional, levou ao mau funcionamento dos sistemas. Para tornar as coisas piores, eles descobrem que a causa raiz j\u00e1 havia sido identificada e corrigida pelo fabricante, atrav\u00e9s de um procedimento que n\u00e3o leva mais do que cinco minutos. Que dia\u2026<\/p>\n
Este cen\u00e1rio \u00e9 mais comum do que voc\u00ea pode imaginar, e algumas vezes mais sombrio: dados perdidos ou roubados, e perdas operacionais que podem tornar a continuidade do neg\u00f3cio imposs\u00edvel. Neste artigo, apresentarei a voc\u00ea uma forma como a ISO 27001<\/a>\u00a0pode ajudar organiza\u00e7\u00f5es a lidar com este tipo de situa\u00e7\u00e3o, atrav\u00e9s de controle A.12.6.1 \u2013 Gest\u00e3o de vulnerabilidades t\u00e9cnicas.<\/p>\n De acordo com a ISO 27000, que prov\u00ea uma vis\u00e3o geral e vocabul\u00e1rio para Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o ISO, uma vulnerabilidade \u00e9 \u201cuma fraqueza de um ativo que poderia ser potencialmente explorada por uma ou mais amea\u00e7as.\u201d Ela tamb\u00e9m define uma amea\u00e7a como qualquer \u201ccausa potencial de um incidente n\u00e3o desejado que possa resultar em dano ao sistema ou organiza\u00e7\u00e3o.\u201d<\/p>\n Assim, uma vulnerabilidade surge quando uma amea\u00e7a encontra uma fraqueza que ela pode explorar, mas de onde esta fraqueza veio? De forma geral, uma fraqueza \u00e9 uma falha que ocorre durante a concep\u00e7\u00e3o, implementa\u00e7\u00e3o, configura\u00e7\u00e3o ou opera\u00e7\u00e3o de um ativo ou controle. Fraquezas podem ser criadas por descuido, ou intencionalmente. Algumas s\u00e3o f\u00e1ceis de se identificar \/ corrigir \/ explorar, enquanto outras requerem algum tempo, esfor\u00e7o e recursos.<\/p>\n Basicamente, o controle A.12.6.1 da ISO 27001 se fixa em tr\u00eas metas:<\/p>\n Identifica\u00e7\u00e3o de vulnerabilidades em tempo h\u00e1bil.<\/strong> Quanto mais cedo voc\u00ea descobrir uma vulnerabilidade, mais tempo voc\u00ea ter\u00e1 para corrigi-la, ou ao menos para avisar o fabricante sobre a situa\u00e7\u00e3o, diminuendo a janela de oportunidade que um atacante em potencial poderia ter.<\/p>\n Avaliar a exposi\u00e7\u00e3o da organiza\u00e7\u00e3o a uma vulnerabilidade.<\/strong> Nem todas as organiza\u00e7\u00f5es s\u00e3o afetadas da mesma maneira por uma certa vulnerabilidade, ou conjunto de vulnerabilidades. Voc\u00ea precisa fazer uma avalia\u00e7\u00e3o de risco<\/a>\u00a0para identificar e priorizar aquelas vulnerabilidades que s\u00e3o mais cr\u00edticas para os seus ativos e neg\u00f3cio.<\/p>\n Ado\u00e7\u00e3o de medidas apropriadas considerando os riscos associados.<\/strong> Uma vez que voc\u00ea tenha identificado as vulnerabilidades mais cr\u00edticas, voc\u00ea precisa pensar sobre a\u00e7\u00f5es e aloca\u00e7\u00e3o de recursos dos quais disp\u00f5e para lidar com elas \u2013 este \u00e9 o seu plano de tratamento de riscos<\/a>. A forma mais prudente \u00e9 considerar o n\u00edvel de riscos associado a cada vulnerabilidade.<\/p>\n Como a\u00e7\u00f5es de apoio para atingir estas metas, a ISO 27002, que prov\u00ea boas pr\u00e1ticas a serem consideradas quando da implementa\u00e7\u00e3o de controles de seguran\u00e7a como o A.12.6.1, sugere:<\/p>\n Implemente um <\/strong>invent\u00e1rio<\/strong><\/a> de ativos.<\/strong> Uma gest\u00e3o de vulnerabilidades eficaz depende do seu conhecimento de informa\u00e7\u00f5es relevantes sobre seus ativos de informa\u00e7\u00e3o, tais como fabricante do software, vers\u00e3o do software, onde o software est\u00e1 instalado, e quem \u00e9 o respons\u00e1vel por cada unidade do software.<\/p>\n Defina responsabilidades.<\/strong> A gest\u00e3o de vulnerabilidades requer que muitas atividades diferentes sejam realizadas (por exemplo, monitoramento, avalia\u00e7\u00e3o de riscos, corre\u00e7\u00f5es, etc.), assim \u00e9 conveniente definir claramente que est\u00e1 fazendo o que para assegurar uma rastreabilidade adequada dos ativos.<\/p>\n Defina fontes de refer\u00eancia.<\/strong> Sites de fabricantes, f\u00f3runs especializados, e grupos especiais deveriam estar na sua lista de fontes de informa\u00e7\u00e3o a serem consultadas sobre not\u00edcias relacionadas a vulnerabilidade e medidas de corre\u00e7\u00e3o. Para maiores informa\u00e7\u00f5es sobre o papel de grupos especiais em um SGSI, por favor veja o artigo Grupos especiais: Um recurso \u00fatil para apoiar o seu SGSI<\/a>.<\/p>\n Trate as vulnerabilidades por meio de procedimentos definidos.<\/strong> Independente da urg\u00eancia para se lidar com a vulnerabilidade, \u00e9 importante trat\u00e1-la de forma estruturada. Procedimentos de gest\u00e3o de mudan\u00e7a ou de resposta a incidentes<\/a>\u00a0deveriam ser considerados para tratar vulnerabilidades, porque eles podem orientar voc\u00ea sobre o que fazer considerando prioriza\u00e7\u00e3o, tempo de resposta, escalada de resposta, etc.<\/p>\n Mantenha registros para an\u00e1lise posterior (e fa\u00e7a as an\u00e1lises).<\/strong> Manter registro de incidentes<\/a>\u00a0sobre o que aconteceu e quais procedimentos foram realizados \u00e9 vital para se aprender com o incidente e prevenir futuras ocorr\u00eancias, ou ao menos minimizar seus impactos, assim como para melhorar o pr\u00f3prio processo de gest\u00e3o de vulnerabilidades. Adicionalmente, assegure-se de conduzir avalia\u00e7\u00f5es peri\u00f3dicas, de forma que voc\u00ea possa implementar melhorias, ou fazer corre\u00e7\u00f5es, o mais breve poss\u00edvel.<\/p>\n Como exemplo de um cen\u00e1rio de gest\u00e3o de vulnerabilidades, considere a vulnerabilidade heartbleed descoberta em 2014, a qual permite o comprometimento de informa\u00e7\u00f5es enviadas atrav\u00e9s de comunica\u00e7\u00e3o criptografada. A partir do monitoramento de fontes de refer\u00eancia <\/strong>definidas em um invent\u00e1rio de ativos<\/strong>, uma organiza\u00e7\u00e3o pode detectar que esta vulnerabilidade pode afetar alguns ativos classificados como cr\u00edticos. Atrav\u00e9s de procedimentos de gest\u00e3o de mudan\u00e7a<\/strong>, a\u00e7\u00f5es apropriadas podem ser planejadas para corrigir a falha, por meio de aplica\u00e7\u00e3o de corre\u00e7\u00f5es, assim como para minimizar o risco de vazamento de informa\u00e7\u00f5es at\u00e9 a corre\u00e7\u00e3o ser aplicada, ao se criptografar informa\u00e7\u00f5es antes de transmiti-las.<\/p>\n Devido a demanda de Mercado por entrega cada vez mais r\u00e1pida de software e por mais funcionalidades, voc\u00ea pode esperar que o n\u00famero de vulnerabilidades se torne cada vez maior, assim, de forma a preservar a seguran\u00e7a de seus ativos de informa\u00e7\u00e3o e a imagem e competitividade de sua organiza\u00e7\u00e3o, \u00e9 vital planejar como identificar e tratar com vulnerabilidades. Voc\u00ea ir\u00e1 descobrir que ao adequar as recomenda\u00e7\u00f5es propostas pela ISO 27001 e 27002 para a sua realidade, voc\u00ea poder\u00e1 evitar muitas preocupa\u00e7\u00f5es e trabalho, assim como minimizar perdas e impactos na reputa\u00e7\u00e3o do seu neg\u00f3cio.<\/p>\n Para ver o grau de conformidade de sua organiza\u00e7\u00e3o com outros controles de seguran\u00e7a de TI, use nossa ferramenta gratuita<\/em>\u00a0ISO 27001 Gap Analysis Tool<\/a>.<\/p>\nO que s\u00e3o vulnerabilidades t\u00e9cnicas, e como elas surgem?<\/h2>\n
A abordagem da ISO 27001 para gest\u00e3o de vulnerabilidades<\/h2>\n
Orienta\u00e7\u00f5es da ISO 27002 para a gest\u00e3o de vulnerabilidades<\/h2>\n
N\u00e3o seja derrotado por brechas em sua armadura<\/h2>\n