Mais notícias
Ameaças cibernéticas cercam empresas de todos os setores e portes. Embasado em conversas que tenho com executivos, na participação de implantação de projetos de segurança e nos dados fornecidos pela consultoria global da Mandiant, empresa de inteligência do grupo FireEye, concluí que a integração da inteligência de ameaças cibernéticas (CTI, na sigla em inglês) deve abranger não apenas programas específicos, como práticas de risco operacional. Isso porque a CTI vai muito além dos dados brutos e de informações obtidas de várias fontes, sejam internas ou externas.
De acordo com o Gartner, a inteligência de ameaças cibernéticas é a capacidade de conhecimento baseado em evidências, o que inclui contexto, mecanismos, indicadores, implicações e aconselhamento sobre indícios existentes — ou emergentes — utilizados para sugestão de respostas aos incidentes quando estes acontecem.
Por isso, é importante entender que a CTI auxilia a reduzir proativamente o risco a partir da completa compreensão de um adversário e de suas capacidades. Mas o que significa ter um programa de segurança cibernética liderado por inteligência?
Com ele, as organizações estão aptas para antecipar, identificar e priorizar as ameaças ativas ou as iniciais para reduzir a exposição e adaptar as defesas; informar funções de risco organizacional, determinando a motivação, capacidade e intenção do adversário; contextualizar e comunicar ameaças cibernéticas em todas as operações de negócios, fornecendo vantagem de decisão à liderança organizacional, bem como às partes interessadas operacionais convencionais de segurança cibernética; alinhar recursos de segurança com base nas ameaças mais relevantes e impactantes que têm direcionado a empresa.
De que forma é possível mensurar todas essas etapas? Ao responder as seguintes perguntas:
. Com qual frequência a empresa respondeu a um incidente com uma compreensão limitada das motivações do autor da ameaça e suas táticas, técnicas e procedimentos (TTPs)?;
. A organização pode conectar um incidente a autores e campanhas de ameaças específicas?;
. As ameaças reais versus as percebidas podem ser validadas e priorizadas com base no nível de risco que elas representam?;
. As questões de segurança podem ser traduzidas para uma linguagem de negócios que os executivos entendam e possam agir?;
. Os produtos CTI são usados para ajudar a alcançar níveis aceitáveis do asseio cibernético?;
. As alterações de arquitetura são feitas com base na correlação de dados de ameaças operacionais?;
. Existe uma base de conhecimento de inteligência com análise personalizada para ajudar a responder rapidamente a quem, o quê, por que, quando e como sobre as ameaças?;
. Quantos relatórios foram escritos que apoiaram uma decisão comercial?
Se a organização não consegue responder a estes questionamentos de forma consistente e repetitivamente, pode ser indício de uma lacuna de inteligência ou de função subutilizada em sua estrutura, uma vez que a inteligência de ameaças confiável, acionável e rica em contexto informa os principais tomadores de decisão desta companhia, incluindo analistas de centro de operações de segurança, respondedores de incidentes e líderes executivos.
Para incorporar esta capacidade de inteligência, há três elementos-chave a serem considerados no programa:
1. Retrato da ameaça organizacional: Manter o perfil de ameaça de linha de base periodicamente atualizado é uma forma eficaz de ter o panorama consistente sobre as ameaças, vulnerabilidades e riscos enfrentados pela organização, além de deter informações essenciais sobre o ambiente e a operação. Compreender o perfil de ameaça da organização garantirá operações de segurança focadas com capacidades de inteligência de ameaças cibernéticas e outras funções de gerenciamento de riscos.
2. Análise das partes interessadas: Saber como os produtos e serviços da CTI podem ou serão consumidos, a fim de fornecer inteligência relevante e acionável, é fundamental. Para atender às demandas de negócios em constante mudança, esse processo deve ser revisado regularmente e incluir feedback para garantir que as necessidades das partes interessadas sejam consideradas. Por isso, deve-se seguir o subprocesso de análise que inclui as seguintes etapas: identificar as partes envolvidas; associar valor e função ao time de inteligência; definir as aplicações que serão utilizadas; determinar frequência, formato e conteúdo; estabelecer resultados de ações e feedback.
3. Requisitos de inteligência: Estes devem traçar uma necessidade específica, assim como serem explícitos, para garantir que a ameaça seja compreendida e que as ações para combatê-la serão tomadas. Ao saber quem são os adversários que podem direta ou indiretamente sinalizar o negócio é fundamental para o desenvolvimento de requisitos de inteligência eficazes.
As capacidades de inteligência de ameaças eficazes transformam tecnologias, conhecimentos e processos de segurança existentes na redução da exposição e do risco às funções e serviços críticos dos negócios. Com a integração de pessoas, processos e tecnologias, o programa de segurança cibernética liderado por inteligência garante às organizações o consumo, interpretação e aplicação do CTI para proteger as informações e os sistemas do negócio.
*Leandro Roosevelt é diretor de vendas da FireEye Brasil.
Fonte: Computerworld
Data: 28/03/2017
Hora: 13h20
Seção: Segurança
Autor: Leandro Roosevelt
Foto: ------
Link: http://computerworld.com.br/tres-itens-chaves-para-implementar-um-programa-de-ciberseguranca
Destaques
Comentários
