O MARCO DA CIBERSEGURANÇA NIST, INFORMAÇAO E CAFÉ Uma conversa ficcional entre dois oficiais em um departamento de polícia… Lt. Hannah Barry se senta do outro lado do oficial de Garantia da Informação John Tomczak e o oferece café. “Lemos um artigo sobre Durham, estão forçando o departamento de polícia de New Hampshire a apagar sua rede por dias devido a um vírus de computador. Nosso chefe está frenético. Ele quer saber se o mesmo pode acontecer com a gente.” Tomczak confirma que sim com simpatia. “Novidades espantosas. Então, o que você disse a ele?” “Não sei ao certo o que lhe disse. Realmente pensamos na segurança. Somente não temos muito no papel.” A frustração se nota na cara do Tenente. “Dei uma olhada no Marco da Cibersegurança NIST, mas não estou certo se isso ajudará um pequeno departamento como o nosso.” “Certo. O objetivo da NIST é ajudar a implementar segurança de informação compreensível em uma organização de qualquer tamanho” explica Tomczak. “Isso divide as cosas básicas que temos que fazer para manter nossa informação segura em cinco funções gerais ou etapas – Identificar, Proteger, Detectar, Responder e Recuperar. Cada uma dessas funções contêm várias categorias. Mas, o específico dessas categorias pode variar segundo a organização e que tipo de dados eles estão projetando.”

Lt. Barry considera o que foi dito. “Penso que estou acompanhando. Então, que tipo de coisas uma organização como a nossa precisa definir em cada função?”

Tomczak dá pequenos goles ao seu café. “Bem, para a função “Identidade”, primeiro temos que saber quais coisas estão em nosso ambiente. Isso não inclui somente uma arquitetura de computadores e redes, mas também como nosso departamento funciona e quais dados são importantes garantir. Por exemplo, nós armazenamos muitos dados de casos confidenciais que têm restrições especiais.”

“Entendi. Não se pode assegurar alguma coisa sem saber o que se vai assegurar.”

“Exatamente. Também necessitamos trazer nosso oficial da gestão de riscos a esta etapa - eles têm que pensar em nosso nível de segurança e o que vamos perder contra o funcionamento do departamento normalmente.’

“…O próximo, a função “Proteger”. Penso que somos bastante bons nisso.” Lt. Barry afirma.

Tomczak afirma com a cabeça. “Temos bons processos de proteção de informação já em funcionamento. Temos um sistema de prevenção de intrusos, um firewall propriamente configurado, e um antivírus. Temos codificados dados confidenciais. Nosso departamento pratica um bom controle do aceso físico e da rede – alguns dos nossos aparelhos críticos são suas próprias redes. O IT também é muito bom em manter todos os computadores, rádios e equipamentos de redes remendados e com suportes, o que é verdadeiramente importante. Uma área que acho que poderíamos melhorar é a de sensibilização do usuário. Nós somente pedimos que a equipe e os oficiais façam o treinamento da Garantia de Informação uma vez ao ano, e acho que algumas pessoas clicam nos slides sem ler. Muitos emails spam não são reportados, e não estou certo de que todos estejam usando fortes senhas de segurança.”

O Tenente considera. “Uau, tudo isso está na função “Proteger”. O que acontece com “Detectar”?

“Não importa quão cuidadosa uma agência assegura sua rede, é provável que haja algum tipo de inconveniente com o tempo. O importante é saber o mais rápido possível. Eu reviso todos nossos registros de aceso e a lista de controle regularmente. Os registros de segurança dos monitores da Motorola Solutions da nossa rede interna e nossa rede ASTRO. Quando eles me reportam anomalias, eu tomo uma decisão baseada em se precisamos nos mover para a próxima Função– ‘Respondi’.” “Deixe-me adivinhar – isso significa ‘Resposta à Incidente’? Este é um termo familiar para a aplicação da lei.

“É o mesmo concepto. Nós nos encarregamos de um incidente de segurança utilizando as mesmas habilidades de seleção e comunicação como a primeira resposta. Isso significa que temos que desenvolver e documentar planos de respostas para alguns tipos generais de incidentes de segurança. Por exemplo, negação de ataques de serviços, desconfiguração de páginas web, surgimento de malware ou fuga de PII. Cada processo deve incluir quem fica notificado e quão rápido a pessoa é notificada. Também temos que detalhar os processos para mitigar um incidente em curso o mais rápido possível. Isso poderia significar trazer computadores infectados e substituí-los com repostos, agregando ligeiramente regras de firewalls, ou recuperando imagens do sistema para evidência ou análise forense. Essas coisas podem ser difíceis de fazer rapidamente no meio da noite.”

“Penso que será difícil fazer contato com os empreiteiros em uma emergência…” Lt Barry anota algumas coisas. “Certo, então haveria uma função mais – “Recuperar”. Soa como um sentido comum.”

“Sim e não.” Tomczak o considerou por um momento. “Se recuperar de um incidente de segurança não só inclui reparar o dano feito, relações públicas, ou até levar um caso a um juiz. Também significa identificar e discutir ‘lições aprendidas’ o que é tão importante para a segurança quanto é para qualquer resposta a outro incidente. Temos que entender o quê fizemos bem e o quê fizemos mal e modificar nossos processos, para então manusear o próximo incidente melhor.”

Lt Barry confirma e fecha suas notas. “Com certeza. Sempre fazemos uma anotação do depois-da-ação com um incidente grande; isso faz todo o sentido. Obrigado! Penso que já tenho o suficiente para começar a desenhar uma política. Parece que vou precisar trazer uns quantos aparelhos, o mesmo você tem que fazer.”

“Sem problema, Tenente. Seguir uma informação de política de segurança estruturada, bem documentada, nos ajuda a nos prevenir melhor, detectar e responder aos incidentes de segurança. Isso também pode diminuir nossa responsabilidade legal em caso de que algo pior aconteça. Me diga como posso te ajudar.”

Lesley Carhart é a Líder da Equipe de Resposta a Incidentes do Centro de Operações da Motorola Solutions. Tem 13 anos de experiência em informação tecnológica, incluindo redes de computadores e comunicações táticas. Pelos últimos cinco anos, se ficou em segurança, especializando-se na análise forense digital.

Lesley Carhart falará na CircleCityCon em Indianápolis no dia 14 de Junho às 2pm em “Ten Commandments of Incident Response (For Hackers)”. Leia mais sobre como Motorola Solutions oferece várias soluções para segurança e monitoramento de redes sem-fio. Leia postagens anteriores por Lesley Carhart aqui.