1. O MARCO DA CIBERSEGURANÇA NIST,
INFORMAÇAO E CAFÉ
Uma conversa ficcional entre dois oficiais em um departamento de polícia…
Lt. Hannah Barry se senta do outro lado do oficial de Garantia da Informação John
Tomczak e o oferece café. “Lemos um artigo sobre Durham, estão forçando o
departamento de polícia de New Hampshire a apagar sua rede por dias devido a um vírus
de computador. Nosso chefe está frenético. Ele quer saber se o mesmo pode acontecer
com a gente.”
Tomczak confirma que sim com simpatia. “Novidades espantosas. Então, o que você
disse a ele?”
“Não sei ao certo o que lhe disse. Realmente pensamos na segurança. Somente não
temos muito no papel.”
A frustração se nota na cara do Tenente. “Dei uma olhada no Marco da Cibersegurança
NIST, mas não estou certo se isso ajudará um pequeno departamento como o nosso.”
“Certo. O objetivo da NIST é ajudar a implementar segurança de informação
compreensível em uma organização de qualquer tamanho” explica Tomczak. “Isso divide
as cosas básicas que temos que fazer para manter nossa informação segura em cinco
funções gerais ou etapas – Identificar, Proteger, Detectar, Responder e Recuperar. Cada
uma dessas funções contêm várias categorias. Mas, o específico dessas categorias pode
variar segundo a organização e que tipo de dados eles estão projetando.”
Lt. Barry considera o que foi dito. “Penso que estou acompanhando. Então, que tipo de
coisas uma organização como a nossa precisa definir em cada função?”
Tomczak dá pequenos goles ao seu café. “Bem, para a função “Identidade”, primeiro
temos que saber quais coisas estão em nosso ambiente. Isso não inclui somente uma
arquitetura de computadores e redes, mas também como nosso departamento funciona e
quais dados são importantes garantir. Por exemplo, nós armazenamos muitos dados de
casos confidenciais que têm restrições especiais.”
“Entendi. Não se pode assegurar alguma coisa sem saber o que se vai assegurar.”
“Exatamente. Também necessitamos trazer nosso oficial da gestão de riscos a esta etapa
- eles têm que pensar em nosso nível de segurança e o que vamos perder contra o
funcionamento do departamento normalmente.’
2. “…O próximo, a função “Proteger”. Penso que somos bastante bons nisso.” Lt. Barry
afirma.
Tomczak afirma com a cabeça. “Temos bons processos de proteção de informação já em
funcionamento. Temos um sistema de prevenção de intrusos, um firewall propriamente
configurado, e um antivírus. Temos codificados dados confidenciais. Nosso departamento
pratica um bom controle do aceso físico e da rede – alguns dos nossos aparelhos críticos
são suas próprias redes. O IT também é muito bom em manter todos os computadores,
rádios e equipamentos de redes remendados e com suportes, o que é verdadeiramente
importante. Uma área que acho que poderíamos melhorar é a de sensibilização do
usuário. Nós somente pedimos que a equipe e os oficiais façam o treinamento da
Garantia de Informação uma vez ao ano, e acho que algumas pessoas clicam nos slides
sem ler. Muitos emails spam não são reportados, e não estou certo de que todos estejam
usando fortes senhas de segurança.”
O Tenente considera. “Uau, tudo isso está na função “Proteger”. O que acontece com
“Detectar”?
“Não importa quão cuidadosa uma agência assegura sua rede, é provável que haja algum
tipo de inconveniente com o tempo. O importante é saber o mais rápido possível. Eu
reviso todos nossos registros de aceso e a lista de controle regularmente. Os registros de
segurança dos monitores da Motorola Solutions da nossa rede interna e nossa rede
ASTRO. Quando eles me reportam anomalias, eu tomo uma decisão baseada em se
precisamos nos mover para a próxima Função– ‘Respondi’.”
“Deixe-me adivinhar – isso significa ‘Resposta à Incidente’? Este é um termo familiar para
a aplicação da lei.
“É o mesmo concepto. Nós nos encarregamos de um incidente de segurança utilizando as
mesmas habilidades de seleção e comunicação como a primeira resposta. Isso significa
que temos que desenvolver e documentar planos de respostas para alguns tipos generais
de incidentes de segurança. Por exemplo, negação de ataques de serviços,
desconfiguração de páginas web, surgimento de malware ou fuga de PII. Cada processo
deve incluir quem fica notificado e quão rápido a pessoa é notificada. Também temos que
detalhar os processos para mitigar um incidente em curso o mais rápido possível. Isso
poderia significar trazer computadores infectados e substituí-los com repostos, agregando
ligeiramente regras de firewalls, ou recuperando imagens do sistema para evidência ou
análise forense. Essas coisas podem ser difíceis de fazer rapidamente no meio da noite.”
“Penso que será difícil fazer contato com os empreiteiros em uma emergência…” Lt Barry
anota algumas coisas. “Certo, então haveria uma função mais – “Recuperar”. Soa como
um sentido comum.”
3. “Sim e não.” Tomczak o considerou por um momento. “Se recuperar de um incidente de
segurança não só inclui reparar o dano feito, relações públicas, ou até levar um caso a um
juiz. Também significa identificar e discutir ‘lições aprendidas’ o que é tão importante para
a segurança quanto é para qualquer resposta a outro incidente. Temos que entender o
quê fizemos bem e o quê fizemos mal e modificar nossos processos, para então
manusear o próximo incidente melhor.”
Lt Barry confirma e fecha suas notas. “Com certeza. Sempre fazemos uma anotação do
depois-da-ação com um incidente grande; isso faz todo o sentido. Obrigado! Penso que já
tenho o suficiente para começar a desenhar uma política. Parece que vou precisar trazer
uns quantos aparelhos, o mesmo você tem que fazer.”
“Sem problema, Tenente. Seguir uma informação de política de segurança estruturada,
bem documentada, nos ajuda a nos prevenir melhor, detectar e responder aos incidentes
de segurança. Isso também pode diminuir nossa responsabilidade legal em caso de que
algo pior aconteça. Me diga como posso te ajudar.”
Lesley Carhart é a Líder da Equipe de Resposta a Incidentes do Centro de Operações da
Motorola Solutions. Tem 13 anos de experiência em informação tecnológica, incluindo
redes de computadores e comunicações táticas. Pelos últimos cinco anos, se ficou em
segurança, especializando-se na análise forense digital.
Lesley Carhart falará na CircleCityCon em Indianápolis no dia 14 de Junho às 2pm em
“Ten Commandments of Incident Response (For Hackers)”.
Leia mais sobre como Motorola Solutions oferece várias soluções para segurança e
monitoramento de redes sem-fio. Leia postagens anteriores por Lesley Carhart aqui.