A gestão de riscos sempre foi um processo importante para as empresas. Na era digital, este esforço contínuo assume uma importância ainda maior. Atualmente, as organizações não podem gerir eficazmente o risco sem avaliarem periodicamente as suas políticas de segurança de TI e os respectivos programas de aplicação. Aquelas que não estão dispostas ou não são capazes de examinar a forma como gerem as suas políticas de segurança não conseguem identificar quando algo está a funcionar. Pior ainda, não conseguem reconhecer quando o seu programa está preso numa rotina ou quando está a ignorar oportunidades que reduzem o risco.

Aqui estão cinco erros comuns que as organizações cometem quando se trata do seu programa de gestão de políticas de segurança.

  1. Pensa na rede e não nas aplicações empresariais

Por vezes, as organizações não vêem a floresta através das árvores. Cria uma política que justifica a configuração da rede, como as portas ou os túneis VPN a utilizar. Mas não pensa na razão pela qual o acesso à rede é necessário em primeiro lugar e na aplicação comercial que a regra ou política está a suportar. O mesmo acontece com o inverso. As empresas normalmente não removem o acesso à rede de uma aplicação desactivada e não revêem uma das suas políticas porque receiam que isso possa afetar negativamente a funcionalidade de um ativo. Na realidade, deveriam estar mais preocupadas com a forma como um atacante poderia explorar o acesso aberto para atacar os seus sistemas.

  1. Falta de comunicação eficaz entre as diferentes equipas

É necessário muito trabalho de equipa para que uma organização possa gerir as suas políticas de segurança. Existem aqueles que criam e aplicam as políticas, aqueles que se certificam de que essas políticas garantem a funcionalidade ideal do sistema e aqueles que associam as políticas às aplicações empresariais. Estes grupos de indivíduos nem sempre interagem uns com os outros. Mas os seus trabalhos são fundamentalmente colaborativos e interdependentes. Sem uma compreensão das aplicações empresariais que necessitam de apoio, o pessoal não pode criar políticas de segurança eficazes. As equipas também têm de estar familiarizadas com essas políticas para compreenderem como podem ou não afetar a rede da organização.

  1. Permite alterações não documentadas em tempo real

Uma parte essencial da gestão das políticas de segurança é a documentação de todas as políticas. Se as organizações não encorajarem a documentação, correm o risco de os funcionários criarem políticas para as quais não existe qualquer explicação quando um auditor as contactar. Há também a possibilidade de os funcionários criarem várias políticas que abrangem o mesmo risco de segurança, o que leva a uma confusão desnecessária. A documentação é importante na medida em que regista uma política e normaliza a sua aplicação em todos os colegas de equipa. Consequentemente, as organizações não devem incentivar a documentação, mas também associá-la a um processo formal de criação de novas políticas. Ao fazê-lo, evita que os funcionários criem impulsivamente políticas de segurança que possam merecer deliberação e revisão.

  1. Não tens em conta os erros humanos

Somos todos humanos. Isso significa que, por vezes, cometemos erros. Nimrod Reichenberg, diretor de estratégia global da AlgoSec, explica num artigo  publicou no Dark Reading um desses cenários com que se deparou no seu trabalho:

“Um administrador de uma empresa com a qual trabalhamos digitou acidentalmente a porta 433 em vez da porta 443 ao fazer uma alteração na regra da firewall. Digamos que não foi um bom dia para ele”.

Os erros de introdução de dados fazem mais do que apenas perder tempo. Criam confusão que pode potencialmente enfraquecer a segurança de uma empresa. Por isso, as organizações precisam de ter em conta o erro humano no seu programa de gestão de políticas de segurança. Uma das formas de o fazer é utilizar uma ferramenta complementar ou um script que seja capaz de detetar erros de digitação e outros erros.

  1. Não considera o risco incorporado

As políticas de segurança mal concebidas não funcionam no melhor interesse de uma empresa. Por vezes, aumentam o risco, violam os requisitos de conformidade ou entram em conflito com outras partes da estratégia de TI de uma organização. Tendo em conta os potenciais riscos criados pelas políticas de segurança, as empresas devem refletir mais sobre a forma como concebem os seus programas de gestão de políticas de segurança. Especificamente, devem descobrir quais os riscos que podem ocorrer se criarem uma nova política de segurança.

Para reduzir ainda mais o risco incorporado, as organizações devem considerar a automatização. O IT Business Edge é um firme defensor desta decisão:

“A automatização simplificará os seus processos, permitir-lhe-á alterar rapidamente as concepções, identificar regras que podem ser reutilizadas, aplicar políticas sem problemas, realizar análises de risco e auditorias rapidamente, criar documentação instantaneamente e validar e reconciliar, tudo em tempo real. Haverá sempre algumas tarefas que requerem intervenção humana, mas terás um sistema mais seguro se mantiveres as pessoas da tua equipa concentradas nos trabalhos que necessitam de análise e investigação, em vez de tarefas mundanas que podem ser automatizadas.”

Conclusão

A gestão da política de segurança é uma faceta importante da gestão do risco. Mas não é algo natural para todas as empresas. É por isso que a  A Metacompliance criou uma linha de produtos de gestão de políticas que ajudam as empresas a conceber políticas de segurança e a garantir a sensibilização do pessoal.

Para saber mais sobre como as soluções da Metacompliance podem ajudar a tua empresa, clica aqui.