Por Rangel Rodrigues*
Seguindo o modelo de domínios sugeridos pela ISC2 para a perspectiva de uma arquitetura de Segurança, tenho me convencido o quanto ela é essencial para um programa de Cyber. Especialmente em um cenário de tecnologias emergentes como a Inteligência Artificial Generativa, que particularmente requer alto nível de processamento em um ambiente de cloud em datacenters robustos.
Além da alta demanda energética, essas inovações trazem desafios com gestão de acessos e identidade, guardrails na infraestrutura de rede para proteger workloads e demandam um bom modelo de modelagem de arquitetura, incluindo projetos de Governança de Risco e Compliance (GRC).
No meu ponto de vista, a criação de um processo de gestão de risco cibernético, cruzado com a Governança do processo de gestão de Segurança da Informação, é uma premissa que garante a sobrevivência da organização.
Então, se me perguntassem em uma entrevista qual seria a minha estratégia para implementar um processo de gestão de SI, eu diria ser importante pensar no cenário da organização, seu contexto e, por fim, no grau maturidade da cultura de risco entre os stakeholders.
1- Se a empresa ainda não tem uma mentalidade de risco disseminada entre stakeholders e colaboradores, torna-se mais difícil vender e implementar um programa de Cibersegurança. É necessário trabalhar intensamente, com articulação e um facilitador com executivos das linhas de negócios, pois chegar apontando os erros no começo pode gerar desafios no longo prazo. Tive experiências próprias, em que já enfrentei barreiras e tive que recuar.
No entanto, o desenvolvimento de uma cultura de risco, incluindo o apetite, tolerância e perfil, no escopo do programa de gerenciamento, é essencial para dar a real visibilidade dos riscos em curso e como estão sendo percebidos e mitigados, alavancando a capacidade da organização melhorar a postura de Segurança. Consequentemente, passa-se a fornecer produtos confiáveis ao cliente, garantir uma reputação e construir uma imagem de Segurança para obter vantagem competitiva e reconhecimento da marca.
2 -Se a empresa já possui uma cultura de risco madura, torna mais flexível a implementação de um projeto de gestão de Segurança cibernética. Como meu intuito é compartilhar a mecânica a fim de buscar o sucesso em um programa de Cibersegurança, enfatizo a seguir alguns componentes desta receita a serem considerados:
(i). Entender a dinâmica e o escopo do negócio, mapeando stakeholders, processos e sistemas críticos da organização, categorizando as aplicações e classificando os dados para determinar o conjunto de controles (guardrails) apropriados.
(ii). Compreender a escolha e aplicação de um framework como NIST CSF 2.0, linkado com ISO 27001, COBIT, CMM, NIST 800-53, SABSA, TOGAF, MITTRE attack, OWASP, entre outros.
(iii). Iniciar com a definição de visão, metas, estratégicas e objetivos, considerando o que a seção “Govern” do NIST CSF define como estratégia do GRC. Um exemplo: “Expandir uma abordagem orientada a ameaças em toda a organização e um programa de Governança, Risco e Conformidade (GRC) de segurança cibernética alinhado aos negócios e conformidade com os padrões do mercado”. Para cada meta, deve-se definir objetivos como “melhorar as capacidades de gerir risco cibernético, atualizar a estrutura para o NIST CSF e absorver também o uso do FAIR”.
(iv). Dentro do programa para medir a maturidade contínua, é necessário a definição de indicadores na combinação de KPI e KRI, seguindo um exemplo de controle crítico: “Aplicação de patches: média de dias para resolver uma vulnerabilidade crítica/alta em sistemas voltados para a Internet e sistemas críticos”. Desta forma, o programa irá persuadir os stakeholders e applications owners a resolver os problemas de Segurança elevando a maturidade do programa, proporcionando transparências para os executivos.
(v). Nesta parte do processo, é recomendado executar um levantamento das ameaças e métodos comuns de ataque as quais a organização está sujeita e vulnerável. Neste contexto, deve-se agregar todas as informações para tornar o processo robusto, como definir a lista de ameaças, riscos, controles de prevenção, detecção e risco para o negócio. (Ex: risco de exposição, reputação e perda financeira, etc.). Os controles podem ser definidos baseado no cenário da organização, alguns frameworks podem ajudar, como: PCI-DSS, COBIT, NIST 800-53, CIS, NIST CSF, CRI, CMM e ISO 27001.
(vi). Aqui é a parte crítica do programa, que envolve entender os ativos críticos do negócio. Executar o mapeamento das aplicações, obter um big picture com os resultados de uma gaps analysis, risk assessements, pen tests, e até os resultados da última auditoria colaboram com esta fase. Como dito anteriormente, mapear as aplicações e usar como suporte o Business Impact Analysis (BIA) para determinar o alinhamento com os requerimentos do negócio é essencial. Aqui também entra a definição da Governança elaborando as políticas, padrões e procedimentos para o programa de gestão cibernética.
(vii). Também nesta etapa deve-se incluir um modelo de framework. Nesse caso, eu gosto muito da combinação da ISO 27001, NIST CSF, NIST 800-30, 39, e RMF. Pensando no mercado financeiro aqui nos EUA, o Cyber Risk Institute (CRI) também fornece um material excelente para implementar um programa com eficácia. Além disso, como muitas empresas já estão na cloud, os frameworks do CIS Controls e CMM da Cloud Security Alliance (CSA) são outros bons colaboradores.
Essa fase pode ser definida como o coração do projeto, dada a sua delicadeza. É quando se define o apetite e a tolerância de risco que a organização irá considerar, alinhado aos objetivos do negócio. Portanto, é nesta parte que a articulação com os stakeholders é crítica para elevar uma cultura de risco que determinará o sucesso do projeto.
A estrutura da organização do CISO em relação aos domínios de Segurança cibernética, que é essencial para o programa, também já deve estar presente, considerando as etapas de Identify, Protect, Detect, Respond e Recover do NIST CSF. Ressalto ainda que a primeira fase, Govern, já foi abordada anteriormente, onde apontei outros pontos cruciais para o programa.
(viii). Outro fator importante, que deve ser trabalhado em conjunto com a elevação da cultura de risco, é o processo contínuo de conscientização de Segurança da Informação. Essa ação deve incluir no escopo todos os colaboradores, especialmente os que estão no elo entre Gestão de Incidente e Resiliência Cibernética. Para esse conjunto, indico a execução de tabletops demostrando cenários de desastres como Ransomware, Phishing, Ataques de IA, vazamento de informações sensíveis, etc. Isso será útil para preparar a organização a ser mais resiliente à uma crise.
Ressalto também a aplicação de treinamentos das melhores práticas em desenvolvimento seguro para os desenvolvedores de software, visto que, hoje, tudo se define em código (APIs, containers, serveless, etc), e por isso, requerem atenção com processos como SAST, DAST, SCA, RASP, Threat Modeling, Pentest, entre outros.
(ix). Olhando para o viés técnico, é importante selecionar e implementar os controles apropriados das etapas do NIST CSF: Identify, Protect, Detect, Response e Recover. Contudo, a seleção de cada controle para a construção dos guardrails vai depender da big Picture da Segurança cibernética, frente as melhores práticas do mercado. Porém, para cada problema identificado, deve ser determinado o devido controle, cada qual monitorado pelas três linhas de defesa (TI e Cibersegurança, Gestão e Risco e Auditoria).
Não está no escopo deste artigo detalhar a lista de controles adequados para cada cenário, mas sugiro consultar frameworks como NIST CSF, AI RMF, CIS Controls, CCM, CRI, PCI-DSS, OWASP, e ISO 27001 e 27002, mencionados acima e que detalham cada tipo controle, ex: “Threat Intelligence para identificar e avaliar novas cenários de ameacas cibernéticas que pode ajudar a organização a mitigar impactos”.
Por fim, o programa de gestão cibernética deve também considerar aspectos legais, reguladores, requerimentos da região em escopo, leis de privacidade e Cibersegurança. Isso inclui LGPD, CCPA, GDPR, FFEIC, Banco Central, etc, para se ter em vista quais as consequências em caso de não cumprimento dos requerimentos regulatórios, que podem ser vilões (issue) para a organização.
Ufa… Espero ter conseguido transferir um brief da arquitetura, sobre como construir um programa de gestão cibernética e riscos alinhados com os requerimentos de negócios de maneira simplificada.
Lembre-se que este é um caminho sugerido em que tenho usado e proposto para os líderes das organizações que tenho atuado. Em geral, a relevância de uma boa arquitetura desenhada e implementada está por trás de todo o programa, sendo essencial para o seu sucesso. Com isso, reitero que o encadeamento entre arquitetura, GRC e o propósito das funções do CISO tem potencial para determinar o quanto a organização poderá elevar a sua capacidade frente as ameaças e melhorar a sua postura de Segurança cibernética.
Como um conhecido provérbio diz: “Eu estava com ele e era o seu arquiteto, dia após dia eu era a sua alegria, divertindo-me em todo o tempo na sua presença”. Que este conhecimento contribua para o sucesso do seu programa de Cibersegurança. Retenha o que é bom e até a próxima!
*Rangel Rodrigues é advisor e security evangelist em Segurança da Informação, CISSP, CCSP, CGRC, CRISC, CCISO, CCSK, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA, instrutor da ISC2 e colaborador da Cloud Security Alliance (CSA) para a certificação CCSK e materiais como o Security Guidance for Critical Areas of Focus in Cloud Computing v5. Atualmente, trabalha para uma instituição financeira nos Estados Unidos.
