Recurso de IO: Processo de segurança - Básico para Padronizado
Nesta página
.gif){kind=icon}
Introdução
Requisito: Diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados
Ponto de verificação: Diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados
Introdução
O processo de segurança é um elemento-chave da otimização de infra-estrutura, e a segurança deve constar entre os critérios de projeto de todos os procedimentos e tecnologias destacados pelo Modelo de Otimização de Infra-estrutura. A tabela a seguir descreve os desafios de alto nível, as soluções aplicáveis e as vantagens de se passar para o nível Padronizado em Processo de Segurança.
Desafios |
Soluções |
Benefícios |
|---|---|---|
Desafios comerciais Os sistemas são complexos, incompatíveis, caros e oferecem serviços limitados na organização Desafios de TI Ausência de serviços remotos ou baseados na Web consistentes e seguros Ausência de diretivas de segurança padrão Identificação irregular de dispositivos conectados à rede Poucas diretivas de TI e poucos processos automatizados definidos |
Projetos Desenvolver processos uniformes para identificar e atualizar os problemas de segurança em todos os dispositivos conectados à rede Desenvolver conformidade com as diretivas de segurança em todos os dispositivos conectados à rede Migrar para versões recentes de SO e infra-estrutura Planejar uma avaliação dos softwares atuais para assegurar-se de que eles atendam aos requisitos de segurança |
Benefícios comerciais Os usuários finais têm um contrato de nível de serviço conhecido para a solução de problemas, o que melhora a produtividade dos funcionários Benefícios de TI Os níveis de risco de segurança são conhecidos e gerenciados A resposta a incidentes é mais previsível e eficiente Os dados e dispositivos ficam mais seguros através de medidas de segurança proativas |
O nível Padronizado de otimização requer que a organização tenha definido procedimentos para gerenciamento de riscos, gerenciamento e resposta a incidentes e teste de aplicativos.
Requisito: Diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados
Público-alvo
Leia esta seção se não tiver planos definidos para diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados.
Visão geral
A maioria das organizações sabe que é importante proteger seus dados e recursos contra perdas e danos devidos a furto, erro humano ou de computador, má-fé ou qualquer outro tipo de evento. Você pode tomar providências para limitar as oportunidades de perda ou dano. Também pode estabelecer diretivas e procedimentos para minimizar os efeitos da perda ou dano em seu ambiente de TI e reagir a eles.
Fase 1: Avaliação
A fase Avaliação deve determinar as necessidades de segurança adequadas à organização, assim como os processos que estão em funcionamento no momento. Os requisitos de segurança podem variar drasticamente de empresa para empresa ou de instituição para instituição, dependendo, por exemplo, do porte, setor ou campo, ou de leis ou regulamentos regionais. Reunir os requisitos impostos à sua organização permitirá definir um processo de segurança apropriado.
Fase 2: Identificação
Durante a fase Identificação, a organização examinará as ferramentas e os procedimentos implantados e determinará os requisitos de segurança da organização. Durante essa fase, você reunirá diretivas de segurança existentes no momento, implícitas ou aplicadas, além de componentes tecnológicos já em uso à sua disposição. Você também reunirá quaisquer requisitos externos baseados em leis e regulamentos de sua região ou setor.
Fase 3: Avaliação e planejamento
A fase Avaliação e planejamento na passagem para o nível Padronizado da otimização destaca áreas específicas de aprimoramento.
Diretivas de segurança
Para estabelecer um conjunto eficaz de diretivas e controles de segurança, você precisa determinar as vulnerabilidades que existem em seus sistemas de computador e rever as diretivas e controles de segurança que os protegem. Essa revisão deve abranger as áreas em que faltam diretivas, além de examinar as diretivas atuais. Algumas dessas áreas são:
Diretivas de segurança física de computadores, como controles de acesso físico
Diretivas de segurança de rede (por exemplo, diretivas de email e Internet).
Diretivas de segurança de dados (controle de acesso e controles de integridade).
Planos e testes de recuperação para desastres e fatos imprevisíveis.
Reconhecimento e treinamento de segurança de computadores.
Diretivas de gerenciamento e coordenação de segurança de computadores.
Conformidade dos softwares adquiridos.
Sua organização deve ter uma pessoa dedicada à revisão e manutenção das diretivas de segurança e à definição da estratégia de segurança da organização.
Para obter informações detalhadas sobre como desenvolver as diretivas de segurança, visite https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx.
Avaliação de riscos
Com um processo formal de gerenciamento de riscos de segurança, as empresas operam com eficácia em termos de custo com um nível conhecido e aceitável de riscos para os negócios. Um processo de gerenciamento de risco à segurança também oferece às organizações uma estratégia clara e uniforme para organizar e priorizar os recursos limitados para gerenciar riscos. Você descobrirá os benefícios do uso do gerenciamento de riscos quando implementar controles eficientes em termos de custo que reduzem riscos a um nível aceitável.
Existem muitas metodologias para priorizar e avaliar riscos, mas a maioria delas é baseada em uma das duas abordagens, ou uma combinação das duas:
Avaliação de risco quantitativa
Avaliação de risco qualitativa
Avaliação de risco quantitativa
Nas avaliações de risco quantitativas, você estima o valor real de cada ativo comercial no que diz respeito ao custo de substituí-lo, custo de produtividade perdida, custo relacionado à reputação da marca e outros valores comerciais diretos e indiretos. Com essa análise, você pode extrair o seguinte:
Os valores monetários atribuídos aos ativos.
Uma lista abrangente de ameaças significativas.
A probabilidade de ocorrência de cada ameaça.
A possível perda para a empresa com base em cada ameaça ao longo de doze meses.
Salvaguardas, controles e ações recomendados.
Avaliação de risco qualitativa
A análise de risco qualitativa é geralmente conduzida utilizando-se uma combinação de questionários e workshops colaborativos envolvendo pessoas de diversos grupos na organização, como especialistas em segurança da informação, equipes e gerentes de tecnologia da informação, proprietários e usuários de ativos de negócios e gerentes seniores.
Nos workshops, os participantes identificam os ativos e estimam seus valores relativos. Em seguida, tentam prever as ameaças enfrentadas por cada ativo, bem como imaginar quais tipos de vulnerabilidades poderiam ser exploradas por tais ameaças no futuro. Em geral, os especialistas em segurança da informação e os administradores de sistema sugerem controles para atenuar os riscos a serem considerados pelo grupo, bem como o custo de cada controle.
Por fim, os resultados são apresentados à gerência para serem levados em conta durante a análise de custo/benefício.
Para obter informações detalhadas sobre essas abordagens à avaliação de riscos, visite https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01.mspx.
Resposta a incidentes
Quando acontece um incidente de segurança, muitos profissionais de informática sentem que a única coisa que têm tempo de fazer é conter a situação, descobrir as causas e reparar os sistemas afetados no menor tempo possível. Alguns deles podem até tentar identificar a raiz do problema, mas até isso pode parecer um luxo diante da falta extrema de recursos. Embora esse tipo de abordagem reativa possa ser uma tática eficaz, a imposição de uma pequena dosagem de disciplina à abordagem reativa ajuda as organizações de todos os portes a fazer melhor uso de seus recursos. Com o planejamento adequado, sua organização pode lidar com brechas de segurança de forma proativa.
Abordagem reativa
Você deve tentar resolver cada incidente de segurança para minimizar o impacto sobre sua organização e seus dados. Os passos a seguir podem ajudar a gerenciar incidentes de segurança com rapidez e eficiência.
Proteger a vida e garantir a segurança das pessoas.
Se os computadores afetados controlam aparelhos de suporte à vida, desligá-los pode não ser uma opção.Conter os danos.
Proteger dados, software e hardware importantes. Isolar os computadores e servidores afetados pode causar uma interrupção nos serviços de computação, mas manter os sistemas em funcionamento pode causar danos amplos. Você deve confiar em sua decisão. Ter uma diretiva de avaliação de riscos definida facilitará as decisões.Avaliar os danos.
Assim que puder, faça uma cópia dos discos rígidos dos servidores que tenham sido atacados e guarde-os para perícia posterior. Em seguida, avalie os danos. Você deve começar a determinar a extensão dos danos causados pelo ataque assim que possível, imediatamente após conter a situação e duplicar os discos rígidos.Determinar a causa dos danos.
A fim de determinar a origem do ataque, é necessário saber que recursos foram alvos do ataque e que vulnerabilidades foram exploradas para obter acesso ou interromper os serviços. Analise a configuração do sistema, o nível de patches, os logs de auditoria e as trilhas de auditoria nos sistemas que foram afetados diretamente e nos dispositivos da rede que encaminham o tráfego até eles.Corrigir os danos.
Na maioria dos casos, é muito importante que os danos sejam corrigidos o mais rápido possível, a fim de restaurar as operações de negócios normais e os dados que tenham sido perdidos durante o ataque. Os planos e procedimentos de continuidade dos negócios da organização devem abranger a estratégia de restauração.Analisar a resposta e atualizar as diretivas.
Uma vez concluídas as fases de documentação e recuperação, você deve revisar o processo inteiro. Determine com a equipe que etapas foram bem-sucedidas e quais foram os erros cometidos.
Abordagem proativa
O gerenciamento de riscos de segurança proativo apresenta diversas vantagens em relação à abordagem reativa. Em vez de esperar que eventos prejudiciais aconteçam para então agir, reduza a possibilidade de ocorrência de tais eventos. Isso envolve fazer planos para proteger os ativos importantes da sua organização, implementando controles capazes de reduzir o risco de exploração de vulnerabilidades por código mal-intencionado, invasores ou uso acidental.
Uma abordagem proativa eficaz pode ajudar as organizações a reduzir significativamente o número de incidentes de segurança futuros, contudo, é improvável que tais incidentes nunca mais ocorram. Sendo assim, essas organizações devem continuar a aprimorar seus processos de resposta a incidentes, ao mesmo tempo que desenvolvem abordagens proativas de longo prazo.
Ao desenvolver um plano de resposta, você deve considerar os cenários reativos e proativos. As medidas reativas descritas anteriormente devem ser complementadas com um planejamento proativo. As principais áreas a serem consideradas durante a preparação de uma abordagem proativa são:
Identificar os ativos da empresa.
Determinar os danos causados à organização resultantes de um ataque contra um ativo.
Identificar as vulnerabilidades de segurança que poderiam ser exploradas em um ataque.
Determinar como minimizar o risco de ataque ao implementar controles apropriados.
Segurança dos dados
Uma das tarefas mais importantes do departamento de TI é garantir a segurança dos dados da empresa. Existem várias medidas que podem ser tomadas para passar para o nível Padronizado em segurança de dados.
Você deve implementar controles antivírus em todos os computadores. (Consulte a seção "Antivírus para desktops" anteriormente neste guia).
Sua organização precisa estabelecer diretivas uniformes para classificar dados confidenciais.
Você precisa de processos uniformes para identificar os problemas de segurança e as ameaças que podem comprometer os dados confidenciais da empresa.
Para ver um debate completo sobre dados de segurança, visite https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx.
Fase 4: Implantação
Aprimoramentos avaliados e aprovados ao processo de segurança são implementados na fase Implantação. É importante realizar testes de usabilidade, visto que são pertinentes ao reforço da diretiva de segurança, assim como simulações periódicas de desastres para garantir que os processos relativos aos dados sejam eficientes.
Mais informações
Para obter mais informações sobre como desenvolver um plano de resposta a incidentes, visite https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx.
Ponto de verificação: Diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados
|
Requisito |
|---|---|
Uma pessoa especial foi encarregada da estratégia e diretiva de segurança. |
|
|
Uma metodologia de avaliação de riscos foi estabelecida. |
|
Um plano de resposta a incidentes foi estabelecido. |
|
Um processo foi estabelecido para gerenciar usuários, dispositivos e identidades de serviços. |
|
Processos uniformes foram estabelecidos para identificar problemas de segurança, incluindo todos os dispositivos conectados à rede. |
|
Conformidade uniforme com diretivas de segurança foi estabelecida nos dispositivos de rede. |
|
Uma diretiva uniforme foi estabelecida para classificar dados. |
.gif)
Se você concluiu as etapas listadas acima, sua organização atendeu ao requisito mínimo do nível Padronizado para diretivas de segurança, avaliação de riscos, resposta a incidentes e segurança de dados.
Recomendamos seguir as outras práticas recomendadas para processos de segurança abordadas na Central de Segurança Technet da Microsoft.
Vá para a próxima pergunta da auto-avaliação.