Governança

Ξ 1 comentário

Medidas de Segurança – Métricas para Desenvolvimento de Processos

publicado por Hugo Nogueira

Os gerentes de TI são desafiados a usar a TI de forma eficaz para proteger seus sistemas e  de ameaças de riscos e segurança.

Houve tentativas anteriores de desenvolver medidas de segurança que poderiam ajudar as organizações a tomar decisões sobre o projeto de sistemas, a seleção dos controles e da eficiência das operações de segurança. Mas o desenvolvimento de medidas padronizadas para a TI tem se tornado desafiador, e os esforços anteriores foram apenas parcialmente bem-sucedidos.

Métricas de segurança são necessárias para fornecer uma base quantitativa e objetiva para operações de segurança como o apoio à tomada de decisão, garantia de qualidade de software, e a manutenção de operações de segurança confiável.

Para atender a essa necessidade de medições mais precisas de tecnologia de segurança, o Laboratório de Tecnologia da Informação do Instituto Nacional de Padrões e Tecnologia (NIST) publicou recentemente um relatório que analisa os esforços anteriores para desenvolver métricas de segurança e aponta para possíveis áreas de pesquisas futuras que poderiam levar para melhoria das métricas.

O National Institute of Standards and Technology Report Interagencial (NISTIR) 7564, Pesquisas e Métricas de Instruções de Segurança, escrito por Wayne Jansen da NIST, oferece informações sobre os vários significados e interpretações que foram aplicados ao termo “métricas de segurança”. O relatório examina os aspectos críticos de medida de segurança, identificados por esforços passados e destaca os fatores que são relevantes para a investigação de métricas de segurança. Em seguida, ele se concentra nos esforços de pesquisa que são necessárias para avançar no desenvolvimento de métricas de segurança eficazes. Uma lista extensa de referência inclui livros, documentos e publicações sobre métricas de segurança. O NISTIR 7564, que se resume neste artigo, estão disponíveis no NIST http://csrc.nist.gov/publications/PubsNISTIRs.html.

Quais são as métricas de segurança em geral? Uma métrica implica em um sistema de medição que se baseia em medidas quantificáveis. Um método de medição utilizado para determinar a unidade de uma quantidade pode ser um instrumento de medição, um material de referência, ou um sistema de medição.

A medição de um sistema de informação de segurança envolve a aplicação de um método de medição de um ou mais partes do sistema que possuem uma propriedade de segurança tributáveis, a fim de obter um valor medido. O objetivo é permitir que uma organização possa avaliar os seus objetivos de segurança.

O método de medição que é utilizado deve ser reprodutível, e deve atingir o mesmo resultado quando realizado de forma independente por diferentes avaliadores competentes.

Além disso, o resultado deve ser repetível, de modo que uma segunda avaliação pela equipe produz os mesmos resultados. Todos os resultados das medições devem ser relevantes para a organização. Muitos dos conceitos tradicionais no domínio da metrologia, que são usadas nas ciências físicas, tais como o uso de unidades fundamentais, escalas e incerteza, ou não foram aplicados ou foram aplicados de maneira menos rigorosa.

Métricas quantitativas para o sistema de segurança de TI em geral, refletem as estimativas fundamentadas de um avaliador da segurança. Essas medidas de propriedades de informações do sistema de segurança, que são muitas vezes baseadas na experiência do avaliador, não podem ser repetidas.

Problemas no desenvolvimento de esforços de métricas de segurança incluem o Trusted Computer System e o Security Systems Engineering Capability Maturity Model. Estes acordos têm tido um sucesso limitado. A opinião deles sugere alguns fatores essenciais que precisam ser abordados por avaliadores de segurança.

Métricas de segurança podem levar a uma melhor avaliação dos indicadores antecedentes, coincidentes ou retardamento do estado real segurança do sistema. Os indicadores antecedentes e atraso refletem as condições de segurança que existia antes ou depois de uma mudança na segurança.

Os indicadores coincidentes refletem as condições de segurança que estão acontecendo ao mesmo tempo com uma mudança na segurança. Se um indicador de atraso é tratado como um indicador antecedente ou coincidente, as consequências devido a erros de interpretação e reação pode levar a problemas graves.

Um aumento no número de vírus detectados pelo software antivírus pode ser um indicador importante, porque o aumento da atividade indica um elevado nível de ameaça, mas a contagem também poderia ser um indicador de atraso, porque um mecanismo eficaz antivírus tenha sido implementado.

Além disso, a diminuição da atividade pode indicar que o mecanismo antivírus está perdendo a sua eficácia, outros mecanismos de segurança de execução são cada vez mais eficazes, ou o sistema simplesmente não está sendo submetido a muitos ataques.

Algumas medidas de segurança podem ser vistas como indicadores de atraso. Ao longo do tempo, a melhor compreensão de um sistema e seus pontos fracos pode levar a avaliações do sistema de segurança que refletem uma posição de segurança de níveis inferiores e a um maior risco associado.

Isso é muitas vezes baseado em ataques bem-sucedidos no sistema ou outros sistemas similares que revelam pistas inesperadas de ataque.

Manutenções freqüentes nos sistemas, torna-os mais complicado de acompanhar. Não estão disponíveis as métricas para medir o estado de total segurança de um sistema. Objetivos de segurança organizacional variam porque as organizações têm diferentes finalidades, manter ativos diferentes, ter diferentes exposições ao público, enfrentam ameaças diferentes, e têm diferentes tolerâncias ao risco.

Além disso, a maioria das organizações não têm fundos suficientes para proteger todos os recursos computacionais e ativos no maior grau possível e deve priorizar com base na criticidade e sensibilidade.

Autor

Hugo Nogueira é formado em Processamento de Dados pela Uni-Anhanguera, Tecnologia de Internet e Redes pela Universidade Salgado de Oliveira, MBA em Governanças de T.I. pelo Instituto de Pós-Graduação - IPOG, e atualmente cursa MBA em Gerenciamento de Projetos. Com 13 anos de experiência profissional na área de TI, atuando em diversas áreas, como analista, consultor, coordenador e gestor de TIC, atualmente é sócio proprietário e diretor executivo da Masterhouse Consultoria e Treinamentos. Com grande interesse em temas que auxiliam no desenvolvimento humano, escreveu vários artigos relacionados a motivação, liderança, gestão de pessoas, gestão do tempo e outra temas correlacionados, vários destes publicados neste portal. Veja mais em: http://www.tiespecialistas.com.br/author/hugo-nogueira/ E-mail: masterhouse@gmail.com LinkedIn: http://br.linkedin.com/in/masterhouse/ Twitter: http://twitter.com/masterhousebr "Feliz aquele que transfere o que sabe e aprende o que ensina." Cora Coralina

Hugo Nogueira

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes