Por Oleksandr Chyzhykov (*)

Se está a pensar em fortalecer a segurança da informação da sua empresa, já ouviu falar que dificilmente isso pode ser feito sem um investimento avultado. De facto, para software, infraestrutura e uma equipa de especialistas é preciso dinheiro. Às vezes, muito dinheiro. Mas o que deve fazer se tiver low budget e uma equipa reduzida?

Inventário, estimativa e foco no valor

Tendo um orçamento limitado, não tente fazer tudo de uma vez. Revela-se muito mais eficaz o foco nos ativos mais importantes, como dados pessoais, senhas, chaves, bancos de dados, servidores, contas, etc. Faça o inventário dos seus ativos e avance para a estimativa de risco.

Certifique-se que define com precisão todas as vulnerabilidades, ameaças e possíveis vectores de ataque durante a fase de estimativa. Por exemplo:

  • Perda de dados pessoais – um risco.
  • Roubo de um computador de um colaborador da empresa – uma ameaça.
  • O furto aconteceu nas dependências da empresa – vector.
  • Um computador tem acesso ilimitado e não possui criptografia de disco – vulnerabilidade.

Depois disto, passe para o plano de processamento de riscos.

Plano de processamento de risco

Ao desenhar o plano, deve priorizar os riscos que tenham maior impacto e probabilidade. Não se esqueça do valor do ativo. Pode usar a seguinte fórmula para calcular os riscos:

Risco total = probabilidade + impacto * valor do ativo.

Um plano de processamento de risco deve conter pelo menos três pilares:

  • Atividades administrativas. Proibição ou restrição ao nível organizacional, incluindo a proibição de trabalhar com dados pessoais num dispositivo privado.
  • Atividades técnicas. Restrições técnicas, incluindo criptografia de discos com dados pessoais, ativação de autenticação de dois fatores, etc.
  • Atividades de segurança. Controlo de segurança da informação, monitorização de eventos de segurança, incidentes, gestão de vulnerabilidades e mudanças, compliance, etc.

Para fortalecer a segurança da informação com um orçamento limitado, leve em consideração as dicas apresentadas a seguir.

Práticas comuns. Construir todos os tipos de segurança da informação não requer inventar a roda. Use práticas conhecidas e testadas, como ISO 27001, ISO 27002 e NIST 800-53. Não complique as políticas, padrões e requisitos.

Contas e direitos. Use um sistema centralizado para gerir contas e direitos (gestão de identidade e acesso). Se o seu sistema puder implementar SSO com os seus sistemas e third-party applications, autenticação de dois fatores e modelo de acesso baseado em função ou atributo, conseguirá cobrir a maioria dos riscos "padrão" com um orçamento mínimo. Se trabalha com o Office 365, use o Azure AD para gestão de contas e outros serviços que serão úteis ao processar riscos. O G Suite do Google também oferece serviços semelhantes.

Vendedores e fornecedores. Pergunte aos seus fornecedores se eles têm opções ou serviços adicionais de segurança da informação. Muitas vezes, pode simplesmente não saber que já tem ferramentas de aprimoramento de segurança ao seu alcance e que não precisa pagar por elas.

Matriz de acesso. Desenvolva uma matriz de acesso para entender as funções e responsabilidades da sua equipa. Pode usar uma tabela comum, na qual anota as funções dos seus colaboradores e exatamente qual o acesso que devem ter. Em seguida, usando o Identity and Access Management, crie as funções necessárias e atribua-as à sua equipa.

Centralização. Use soluções centralizadas para gerir atividades técnicas em vez de fazê-lo manualmente. Vai poupar tempo e reduzirá o chamado "tempo de inatividade". Além disso, a centralização permite uma resposta rápida a incidentes e uma redução do impacto das alterações adicionadas à pressa.

Cópias de segurança. Organize um processo de backup regular e teste a recuperação de dados críticos. Não faça backup de tudo. Identifique ativos críticos e copie-os. Isto irá ajudá-lo a cortar o orçamento.

Procure vulnerabilidades técnicas. Usando ferramentas de baixo custo como OpenVAS, Wazuh, Burp Suite, Software da Kali Linux, organize um processo regular de localização de vulnerabilidades técnicas na rede, sistemas operacionais e aplicativos.

Registo e monitorização. Usando ferramentas de baixo custo, como ELK e Wazuh, organize um processo de registo e monitorização para atividades de segurança relacionadas a sistemas, aplicativos e servidores críticos.

Antivírus. Se não tem orçamento para comprar um sistema de proteção antivírus centralizado, use o antivírus integrado no sistema operacional Windows (Defender).

Criptografia do disco. Para economizar dinheiro, pode abandonar o sistema centralizado de criptografia de disco. Em alternativa, use as ferramentas de criptografia nativas, como Bitlocker no sistema operacional Windows, FileVault no MacOS e o freeware Fscrypt ou Luksip no Unix.

Níveis de resposta. Divida o processo de resposta a incidentes em camadas. Coloque o processamento dos incidentes de segurança na linha de frente – como a análise de relatórios de incidentes – pode ser atribuído a um especialista de suporte de IT comum. Noutros níveis, pode ser necessário envolver uma equipa de segurança da informação.

Automação. Automatize ao máximo os processos de segurança da informação. Ao fazê-lo, evitará o fator humano e economizará o tempo da equipa de segurança da informação.

Ao usar uma avaliação focada e um plano de gestão de risco, poderá configurar um sistema de segurança que tenha apenas os processos, sistemas e pessoas certos. Depois de processar os riscos críticos, passe para os de menor prioridade. Assim, processará consistentemente todos os riscos, distribuindo igualmente o orçamento e os seus esforços.

Não se esqueça de iniciar processos para rever regularmente os ativos, identificar novas vulnerabilidades e ameaças e reavaliar os riscos. Também deve avaliar o plano regularmente para se certificar de que o mesmo foi escolhido corretamente. Para avaliação de risco, recomenda-se a utilização das seguintes metodologias e estruturas: ISO 27005, ISO 27001, IRAM2, NIST SP800-30 e OCTAVE.

(*) Head of Corporate Security na Intellias