A gestão do risco tem sido sempre um processo importante para as empresas. Na era digital, este esforço contínuo assume ainda mais significado. Actualmente, as organizações não podem gerir eficazmente o risco sem avaliar periodicamente as suas políticas de segurança informática e os seus correspondentes programas de aplicação. As que não estão dispostas ou capazes de examinar como gerem as suas políticas de segurança não conseguem identificar quando algo está a funcionar. Pior, não conseguem reconhecer quando o seu programa está preso num cio ou quando está a ignorar oportunidades que reduzem o risco.
Aqui estão cinco erros comuns que as organizações cometem quando se trata do seu programa de gestão da política de segurança.
-
A pensar na rede e nas aplicações não comerciais
As organizações por vezes não vêem a floresta através das árvores. Criam uma política que justifica a sua configuração de rede, como quais as portas ou túneis VPN a utilizar. Mas não pensarão porque é que o acesso à rede é necessário em primeiro lugar e qual a aplicação comercial que a regra ou política está a apoiar. É a mesma coisa ao contrário, também. As empresas normalmente não removem o acesso à rede de uma aplicação desactivada e revêem uma das suas políticas porque receiam que isso possa afectar negativamente a funcionalidade de um activo. Realisticamente, deveriam estar mais preocupadas com a forma como um atacante poderia explorar o acesso aberto para atacar os seus sistemas.
- Falta de Comunicação Eficaz entre Equipas Diferentes
É necessário muito trabalho de equipa para que uma organização possa gerir as suas políticas de segurança. Há aqueles que criam e aplicam as políticas, aqueles que se certificam de que essas políticas asseguram a funcionalidade óptima do sistema, e aqueles que ligam as políticas a aplicações empresariais. Estes grupos de indivíduos nem sempre interagem uns com os outros. Mas os seus trabalhos são fundamentalmente colaborativos e interdependentes. Sem uma compreensão do que as aplicações empresariais necessitam de apoio, o pessoal não pode criar políticas de segurança eficazes. As equipas devem também estar familiarizadas com essas políticas para compreender como podem ou não afectar a rede da organização.
- Permitir mudanças não documentadas na mosca
Uma parte essencial da gestão da política de segurança é a documentação de todas as políticas. Se as organizações não encorajarem a documentação, correm o risco de o pessoal criar políticas para as quais não há explicação quando um auditor chega a telefonar. Há também a possibilidade de os funcionários poderem criar várias apólices que cubram o mesmo risco de segurança, levando a uma desordem desnecessária. A documentação é importante na medida em que regista uma política e uniformiza a sua aplicação em todos os colegas de equipa. Consequentemente, as organizações não devem encorajar a documentação, mas também associá-la a um processo formal para a criação de novas políticas. Ao fazê-lo, evitará que os funcionários criem impulsivamente políticas de segurança que possam merecer deliberação e revisão.
- Não contabilizar os erros humanos
Somos todos humanos. Isso significa que por vezes cometemos erros. Nimrod Reichenberg, chefe da estratégia global da AlgoSec, explica num artigo publicado sobre Dark Reading um cenário deste tipo que encontrou no trabalho:
"Um administrador de uma empresa com a qual trabalhámos com a porta 433, em vez da porta 443, ao fazer uma alteração das regras de firewall. Digamos apenas que não foi um bom dia para ele".
Os erros de entrada fazem mais do que apenas perder tempo. Criam confusão que pode potencialmente enfraquecer a segurança de uma empresa. As organizações precisam, portanto, de prestar contas dos erros humanos no seu programa de gestão da política de segurança. Uma das formas de o fazerem é utilizando uma ferramenta ou script adicional que seja capaz de apanhar erros de digitação e outros erros.
- Falha em considerar o risco incorporado
As políticas de segurança mal concebidas não funcionam no melhor interesse de uma empresa. Por vezes acrescentam riscos, violam requisitos de conformidade, ou entram em conflito com outras partes da estratégia de TI de uma organização. Dados os riscos potenciais criados pelas políticas de segurança, as empresas devem reflectir mais sobre a forma como concebem os seus programas de gestão de políticas de segurança. Especificamente, devem descobrir que riscos podem ocorrer se criarem uma nova política de segurança.
Para mitigar ainda mais o risco incorporado, as organizações devem considerar a automatização. A IT Business Edge é uma firme defensora desta decisão:
"A automatização simplificará os seus processos, permitir-lhe-á alterar rapidamente os desenhos, identificar regras que podem ser reutilizadas, impulsionar sem problemas as políticas, realizar análises de risco e auditorias rapidamente, criar instantaneamente documentação e validar e reconciliar, tudo em tempo real. Haverá sempre algumas tarefas que requerem intervenção humana, mas terá um sistema mais seguro se mantiver as pessoas da sua equipa concentradas nos trabalhos que necessitam de análise e investigação, em vez de tarefas mundanas que podem ser automatizadas".
Conclusão
A gestão da política de segurança é uma faceta importante da gestão dos riscos. Mas não chega naturalmente a todas as empresas. É por isso que a Metacompliance criou uma linha de produtos de gestão de políticas que ajudam as empresas a conceber políticas de segurança e a assegurar a sensibilização do pessoal.
Para saber mais sobre como as soluções da Metacompliance podem ajudar a sua empresa, clique aqui.