A segurança que nunca dorme

seguranca3 Agências federais dos EUA mudam avaliação anual de segurança de TI para monitoramento contínuo de seus riscos.

Trimestral contra tempo real. Estático contra dinâmico. Manual contra automatizado. Todas essas considerações são relevantes quando se avalia as abordagens para gerenciar o ciberrisco em um ambiente de riscos e vulnerabilidades.

Para este fim, o governo federal dos Estados Unidos modificou suas orientações para melhorar o suporte às áreas críticas. Uma das principais mudanças em curso é a alteração da avaliação anual de segurança de TI para o uso de métricas em tempo real, análises e avaliações, naquilo que eles chamam de “monitoramento continuado”.

O CIO Vivek Kundra tem chamado a atenção para a necessidade de as agências federais norte-americanas implantarem o tal monitoramento continuado e, para isso, está num processo de instruir esses órgãos no sentido de que incluam em suas submissões de orçamento para o ano fiscal 2012 um tópico para financiar as ferramentas necessárias para permitir essa atividade.

Por lá há agências em diferentes estágios de implantação de monitoramento contínuo da segurança, mas a maioria está bem no início. Muitas necessitam investir em novas capacidades de TI para sair de uma postura estática e caminhar para a nova abordagem contínua. Como evidência das mudanças, a In-Q-Tel, braço de investimento tecnológico da CIA, investiu na RedSeal Systems, uma fornecedora de automação de software para monitoramento contínuo. O produto da fabricante monitora firewalls, roteadores e balanceadores, assistindo acessos não-autorizados e identificando os riscos.

Em fevereiro de 2010, o National Institute of Standards and Technology (NIST) apresentou uma espécie de guia para implantação de um framework para gestão de risco, o “Guide for Applying the Risck Management Framework to Federal Information Systems”. A publicação foi desenvolvida em conjunto com o Departamento de Defesa, escritório do diretor nacional de inteligência e o Comitê Nacional de Sistemas de Segurança. O relatório explica novos guidelines federais e padrões, tarefas relacionadas ao monitoramento contínuo e traz considerações chave para seleção de ferramentas de suporte.

O objetivo desta iniciativa colaborativa é prover um framework comum que possa ser usado em todos os órgãos federais para transformar a abordagem de segurança de algo estático, discreto, com certificações pontuais e acreditações para algo baseado em um framework com seis passos para o gerenciamento de risco. Um objetivo é deixar esse processo mais dinâmico, além de ativar o gerenciamento em um ambiente de TI onde ameaças e vulnerabilidades estão em plena mudança.

Confira os seis passos do guia:

1 – Definir quão crítico é um sistema de informação é de acordo com impacto potencial que possa causar à organização;

2 – Selecionar uma linha base de controles de segurança e pensar em controles suplementares baseados em necessidades de avaliação de risco;

3 – Implemente controles de segurança usando práticas de engenharia e aplicando ferramentas de configurações;

4 – Avalie a eficácia dos controles de segurança para confirmar se eles foram implantados corretamente e atendem aos requerimentos das informações;

5 – Determine o risco para as operações de sua organização, teste e, se for aceitável, autorize a operação; e

6 – Verifique continuamente as mudanças nos sistemas de informação que podem afetar os controles de segurança e reavalie a eficácia do controle.

Fonte:John Sankovich

Tags:

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: