O processo de governança de vulnerabilidades é um verdadeiro aliado para os CISOs e equipes de segurança que buscam eficiência contra os riscos cibernéticos e conformidade com importantes regulamentações do mercado. Por outro lado, muitos profissionais possuem dificuldades em como estruturar um modelo de governança adequado às empresas em transformação digital.
Para esclarecer as complexidades de um processo de governança de vulnerabilidades, conversamos com Wladimir Rodrigues, profissional com mais de 20 anos de experiência no mercado de Segurança da Informação. “Vulnerabilidades existem em todas as empresas e precisam ser gerenciadas corretamente. É necessário normalizar a situação e desenvolver um processo de gestão eficiente”, diz Wladimir.
Segundo ele, existe uma diferença significativa entre apenas identificar vulnerabilidades e fazer o processo de gestão de vulnerabilidades acontecer. Wladimir nos conta como foi para ele estruturar a governança de vulnerabilidades e esclarece erros comuns cometidos pelos profissionais ao lidar com riscos cibernéticos.
Além disso, Wladimir compartilha o ferramental escolhido para governança de vulnerabilidades e esclarece como CISOs podem demonstrar o ROI da Segurança da Informação para a companhia.
Continue a leitura desse artigo e saiba como contornar os desafios em governança de vulnerabilidades segundo as orientações da experiência profissional de Wladimir Rodrigues.
Nesse artigo falamos sobre:
Conheça Wladimir Rodrigues, CISO da Trademaster
Wladimir Rodrigues possui mais de 20 anos atuando em gestão de Segurança da Informação e explica um pouco como foi sua trajetória de carreira até hoje.
“Em algumas empresas atuei mais com a parte de gestão, e em outras empresas a atuação foi mais na parte técnica. Já atuei em empresas pequenas, médias e grandes, com modelos de negócios muito diferentes. Trabalhar em empresas de segmentos e portes diferentes me ajudou com a gestão de Segurança da Informação. As mais variadas empresas possuem o mesmo desafio de possuir um modelo de Segurança da Informação que atenda suas necessidades.”
Além disso, Wladimir esclarece que um bom profissional deve observar as particularidades — tamanho, capacidade, recursos, budget e cultura — de cada empresa para orquestrar as demandas de Segurança da Informação e conseguir o mínimo necessário de engajamento das pessoas e áreas para estabelecer uma cultura de segurança.
Em 2017, Wladimir atuava como consultor da Edenred apoiando uma frente de trabalho compartilhada com a Repom, e logo em seguida foi convidado para reestruturar a área de Segurança da Informação dentro da Repom. Atualmente trabalha como CISO na Trademaster.
A Repom é uma empresa do grupo Edenred e possui mais de 27 anos de atuação no mercado, atuando como pioneira no modelo de negócios do segmento. Atua no mercado de logística e transportes com produtos de gestão de pagamento de frete, pedágio, abastecimento e outros produtos do segmento. A Repom é regulamentada pela ANTT (Agência Nacional de Transportes Terrestres), e em 2019 foi homologada como instituição de pagamento pelo Banco Central.
A Trademaster foi fundada por profissionais com larga experiência e conhecimento da relação entre a indústria e o varejo no Brasil, assim como suas particularidades. Por meio de sua plataforma de meios de pagamento, permitem que a indústria aumente o poder de compra dos seus canais de distribuição e vendas, mitigando riscos.
Experiência com Governança de Vulnerabilidades
Ainda que com as responsabilidades e desafios em estruturar e liderar a área de Segurança da Informação em uma grande empresa, Wladimir esclarece que é necessário voltar para os estudos e análises a fim de compreender o momento da empresa, e recomenda não realizar grandes ações nesse primeiro momento.
“Não tente chegar na empresa já trazendo modelos e melhores práticas do mercado e tentar implementar sem antes conhecer o momento da empresa, as pessoas e as dificuldades. Eu prefiro voltar para os estudos.”
Além disso, Wladimir afirma a importância das habilidades pessoais para cooperação com as equipes e entender as dificuldades dos setores antes de implementar modelos de segurança.
“Tenha empatia. Se coloque na cadeira de quem já está na empresa e conheça sua área, assim você vai conseguir construir algo sólido e com aliados.”
Selecionamos abaixo os principais desafios de governança de vulnerabilidades comentados por Wladimir em sua atuação.
Diferença entre gestão de vulnerabilidades e os scans de vulnerabilidades
Mesmo os processos de Segurança da Informação passam por um momento de governança. Os negócios são digitais e qualquer brecha de segurança em algum desses pontos pode comprometer a continuidade do negócio e abrir espaço para fraudes.
Sobre isso, Wladimir esclarece que um de seus desafios foi mapear como o ambiente de TI entrega valor para o negócio e, assim, implementar um novo modelo de gestão de vulnerabilidades.
“Quando eu falo em implementar um novo modelo de gestão de vulnerabilidades é porque, para mim, existe uma grande diferença em fazer gestão de vulnerabilidades e gerar um relatório de vulnerabilidades. Ter isso muito claro é nosso grande desafio. Um relatório de vulnerabilidades em alguns casos tem mais de 1.000 páginas. Qual equipe tem tempo para olhar um relatório com 1.000 páginas?!”
Trabalho da área de Segurança da Informação com outros setores
Para a condução de um processo de gestão de vulnerabilidades com o time, Wladimir detalha situações que devem ser evitadas pelos líderes.
“Gestão de vulnerabilidade é saber orquestrar essas demandas de forma objetiva e muito clara para os times. (…) Como eu entrei na empresa para estruturar uma área, eu imaginei que sair apontando as fragilidades e culpados pelas vulnerabilidades era algo ruim. Ao expor pessoas desnecessariamente, você tem mais dificuldades em construir um relacionamento com as outras áreas. Novamente, é necessário ter empatia.”
Assim, Wladimir explica como ele iniciou a governança de vulnerabilidades.
“Eu comecei a olhar a rede da empresa. Olhei scans, relatórios e comecei a identificar as vulnerabilidades. Eu preferi conversar primeiro sobre essas informações com os times do que levar para a alta administração. Eu entendo que as pessoas têm a consciência para resolver os problemas e que me vejam como um parceiro para isso.”
Processos de segurança em alinhamento com o negócio
Um dos principais desafios identificados pelos profissionais de Segurança da Informação é entender que a segurança faz parte do negócio — seja por regulamentações que exigem processos de segurança ou receio de vazamento de dados — e tratar Segurança da Informação apenas como configuração de antivírus e firewall é uma forma obsoleta de trabalho.
Sobre isso, Wladimir explica que é necessário desenvolver uma linguagem comum de entendimento entre as áreas para alinhar a Segurança da Informação com as necessidades do negócio.
“A alta administração não precisa entender de CVE, eles precisam entender de risco cibernético. Administrar esse cenário é extremamente importante. Hoje, olhamos a vulnerabilidade apenas com o time técnico. Para a diretoria, expomos um score de riscos cibernéticos por produto específico, independentemente da vulnerabilidade ser no código, na infraestrutura ou em um ativo desatualizado. Assim, em contato com os riscos, a diretoria pode decidir e priorizar o que deve ser feito.”
Wladimir informa que não trabalha com relatórios extensos ou altamente técnicos com a alta administração, ele prefere trabalhar com planos de trabalho e engajar as pessoas necessárias para a resolução das vulnerabilidades.
“Levar orientações sobre o que pode ser feito é extremamente importante. Se você enviar um relatório de vulnerabilidades de 1.000 páginas para um gestor de desenvolvimento, a pessoa não vai conseguir absorver as informações. Você precisa levar a vulnerabilidade de forma objetiva, criar um plano de trabalho, e assim você consegue engajar as pessoas e conseguir aliados. (…) Eu busco sempre facilitar o trabalho para aquela pessoa.”
Indicadores e o ROI da Segurança da Informação
Conversamos com Wladimir sobre a importância de uma gestão de vulnerabilidade baseada em risco cibernético e ele nos explicou como está sendo esse trabalho.
“Hoje eu levo para os executivos um score de riscos, mas antes fazemos um trabalho com o time técnico. Para mim, priorizar não é pedir para atuarem nas CVEs mais críticas, eu entendo que há uma necessidade de combinar a criticidade da CVE com a classificação do ativo vulnerável e a relevância do ambiente para o negócio, produto ou serviço. Saber priorizar é extremamente importante.”
Para concluir, Wladimir explica como fazer uso da gestão de riscos cibernéticos e indicadores de segurança como uma forma de trazer visibilidade para a área e comprovar o ROI de Segurança da Informação para a empresa.
“Graças aos scores de riscos, hoje os executivos conhecem os riscos de cada produto e eles mesmos demandam as correções para os times. (…) O mais legal foi que as empresas transformaram isso em meta corporativa cruzada entre os diretores. (…) Por exemplo, hoje há um diretor de tecnologia que possui como meta abaixar o score de risco de cibersegurança nas aplicações. (…) A satisfação é perceber que a governança de vulnerabilidades possibilitou isso.”
Processo de Governança de Vulnerabilidades e Ferramentas
Após adotar dois modelos de processos para a governança de vulnerabilidades dentro dos times técnicos. Wladimir explica um pouco a diferença entre esses modelos.
“Temos um primeiro processo para quando são implementadas novas mudanças impactantes aos produtos. Nessa primeira abordagem, seguimos com um pentest e, em seguida, disponibilizamos o produto em produção. Para um segundo caso, como atualizações, correções, melhorias dentro das plataformas, possuímos uma esteira automatizada. Nesse segundo momento, alinhamos com o time de negócio o que precisa ser corrigido antes da publicação da melhoria e o que pode entrar no backlog para futura correção.”
Ferramentas
Atualmente, Wladimir faz uso de ferramentas técnicas para o processo de governança de vulnerabilidades tais como Acunetix, Arachni, Nessus, Burp Suite e entre outras ferramentas pagas e open-source.
A plataforma GAT Core é utilizada para organizar e centralizar todas as informações disponibilizadas pelas ferramentas.
Gerenciando o processo de governança de vulnerabilidades com GAT
No início, foi feito o uso de planilhas para gerenciar o processo de governança de vulnerabilidades. Wladimir compartilha as limitações e dificuldades encontradas nesse modelo.
“No começo, fazíamos muito o uso do Excel para gerenciar o processo, criar indicadores e gráficos de acompanhamento. Porém, essa atividade consumia bastante o nosso tempo. Ficou ruim para gerenciar os falsos-positivos, encaminhar as correções das vulnerabilidades, atualizar indicadores e principalmente, o trabalho manual era muito custoso e não conseguimos ter assertividade.”
Além desses problemas causados pelo processo manual de gestão de vulnerabilidades, Wladimir diz que não era possível conseguir rastreabilidade pelas planilhas e isso dificultava bastante o trabalho de priorização e correção das vulnerabilidades.
Atualmente, faz uso da plataforma GAT Core para realizar a gestão centralizada das vulnerabilidades e acompanhamento de outros processos. Wladimir explica um pouco como ele usa a plataforma.
“Hoje eu tenho uma semana de scans, e no máximo 20 minutos de importação dos resultados para a ferramenta. A partir desse momento, eu faço uma análise e encaminho a correção das vulnerabilidades para os times correspondentes. Os times têm acesso à plataforma para acompanhamento. (…) Além disso, eu acompanho a conformidade com a LGPD, Bacen, ISO 27.001 e faço a avaliação de fornecedores pela plataforma.”
Para a empresa, a classificação de score por ativo e priorização da vulnerabilidade de acordo com o score foi fundamental para o funcionamento do processo de governança de vulnerabilidades. Wladimir compartilha como faz uso desse recurso com a plataforma GAT para gerenciar os riscos cibernéticos.
“O GAT Core é meu grande aliado, hoje tenho todos os ativos de TI classificados (host e aplicações) e agrupados aos produtos. Com essa organização, quando importo as vulnerabilidades tenho um score de risco e consigo priorizar com as equipes. Além de mostrar toda a evolução de atuação e posso valorizar o trabalho de cada equipe… o maior ganho é em tempo e priorização, sem dúvida.”
Pentests
A estrutura é testada pelo menos uma vez por ano, assim como os seus fornecedores. Para esse procedimento, Wladimir explica que todos os pentests são realizados com suporte da plataforma GAT Core.
Com ela é possível ganhar tempo no processo de elaboração de relatório, demonstrar as vulnerabilidades encontradas e ter rastreabilidade em retestes, anexar evidências, ter controle de aceite de risco assim como visibilidade para priorização da correção e mitigação de acordo com a severidade e importância dos ativos impactados.
“Sempre que grandes mudanças são realizadas, fazemos novos testes. Nosso objetivo é realizar esses testes a cada 6 meses e estamos trabalhando para isso acontecer.”
Considerações Finais
Como mensagem final, Wladimir enfatiza a importância da área de segurança atuar como uma facilitadora para as demais áreas da empresa, especialmente para o negócio.
“As pessoas da área de Segurança da Informação são vistas como as que negam tudo. Mas, precisamos mostrar que quando um produto tem risco, a empresa como um todo é afetada. Todos possuímos um objetivo em comum em uma empresa. (…) A segurança faz parte das novas iniciativas, novos projetos e trabalha em conjunto com a tecnologia e o negócio como uma parceira. (…) No final do dia, é a empresa que colhe os benefícios da governança de vulnerabilidades.”
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
[email protected]
Siga-Nos
Conteúdo
Links