Em um ambiente geopolítico tumultuado, as organizações usam iniciativas de transformação digital para acelerar e manter sua produtividade. As empresas querem que a TI aumente a inovação e melhore a eficiência dos processos em seus negócios. Ao mesmo tempo, os líderes de TI estão sob crescente pressão para obter visibilidade total de sua infraestrutura. Essa pressão decorre da necessidade de minimizar ou mitigar o risco de qualquer interrupção que possa afetar diretamente os dados de clientes, acionistas e funcionários.
Sem uma compreensão clara de onde sua pilha de tecnologia está hoje, essas metas futuras serão para sempre estar fora de alcance. Seja você um CIO novo assumindo a responsabilidade de TI pela primeira vez ou um CIO experiente com anos de experiência, ser capaz de ir entre o quadro geral e os detalhes sutis é uma habilidade necessária a ser desenvolvida.
Comece do início
O gerenciamento de ativos é a base da política de segurança da informação de qualquer organização. Parece simples-ter uma lista completa, precisa e oportuna de todos os ativos de TI que a empresa possui em seu ambiente. Mas por que é difícil na prática? E por que um CIO deveria se preocupar com esse nível de detalhe?
A resposta a essa pergunta é que, sem esse detalhe, você–e seu departamento-sempre estará um passo atrás. Um programa de gerenciamento de ativos (AM) abrangente, atualizado e preciso é a chave para o sucesso de sua equipe. Sem isso, seu departamento terá dificuldade em gerar o impacto nos negócios para o qual foi direcionado e você será avaliado. Por mais que tentem, a equipe de TI terá dificuldade para funcionar de forma eficaz sem AM.
Obter uma compreensão precisa de todo o patrimônio de TI de sua organização permite que as equipes de segurança e TI tomem as medidas necessárias para mitigar as ameaças à segurança. Ele permite a identificação mais rápida de configurações incorretas, vulnerabilidades e hardware em fim de vida. Também permite a priorização, o que libera tempo para que a equipe se concentre nos problemas mais urgentes que podem afetar a empresa.
Olhe para dentro…
Estabelecer um inventário de ativos abrangente parece ser uma linha de base óbvia que toda organização teria agora, mas pesquisa mostra que 69 por cento das organizações sofreram um ataque direcionado a um”ativo desconhecido, não gerenciado ou mal gerenciado voltado para a Internet”. Se você não souber quais ativos possui em sua rede corporativa, não poderá protegê-los.
Se sua equipe não puder relatar isso a você, você não poderá saber efetivamente o quão bem esses riscos de segurança estão sendo tratados. A criação de uma visão abrangente dos ativos de sua organização sem dúvida revelará alguns segredos ocultos – como implementações de sombra de TI – que podem ter ocorrido ao longo dos anos.
O principal objetivo é que o inventário não seja tratado como uma reflexão tardia, mas sim como o primeiro bloco de construção. É muito fácil para este trabalho ser rebaixado ou ignorado, com competição por atenção contra o próximo grande projeto ou ameaça de malware. Em vez disso, você deve enfatizar que acertar o básico primeiro permite uma melhor concentração em outros projetos importantes e questões urgentes que possam surgir.
Depois que seu catálogo de ativos for estabelecido, você deve descobrir como manter o programa em dia. Por exemplo, categorizar esses ativos com base em sua importância para os negócios garante que recebam o nível certo de atenção. Isso deve facilitar a decisão de como gerenciá-los e protegê-los no futuro e fornecer dados melhores sobre o desempenho de sua equipe em relação à segurança.
Por exemplo, vulnerabilidades exploradas por agentes mal-intencionados quase sempre começam com endpoints dentro do ambiente de uma organização. Quando esses dispositivos têm software antigo ou desatualizado, eles representam”frutos fáceis”para os invasores atingirem. Sem visibilidade total ao seu alcance, é quase impossível acompanhar as ameaças crescentes–as organizações só podem mitigar quando há uma imagem clara da infraestrutura em constante mudança.
Recupere o controle sobre componentes de serviço
À medida que o software e o hardware envelhecem, as versões antigas caem no esquecimento. Depois de ter uma imagem precisa de sua propriedade de TI, você pode mapeá-la junto com o ciclo de vida de cada item para garantir que o hardware e o software continuem sendo suportados pelo fabricante original e sejam gerenciados proativamente em termos de vulnerabilidades e correções. Componentes de fim de serviço podem apresentar riscos de segurança significativos, e o gerenciamento proativo deve ser buscado para atualizá-los ou substituí-los para reduzir a superfície de ataque.
Infelizmente, no entanto, não há padrão do setor para produtos ou vida útil ciclos, ou como os fabricantes podem relatá-los. Mas existem ferramentas que podem mapear informações conhecidas do ciclo de vida sobre ativos populares de dentro do seu inventário para centralizar as informações.
Como CIO, a substituição de software desatualizado é necessária ao longo do tempo, mas também deve ser equilibrada contra custos e quais novos serviços podem ser entregues. Para alguns projetos, pode ser possível mitigar esses riscos e usar o software por mais tempo. Para outros, chegará um momento em que uma substituição precisará ser realizada. A alternativa é deixar esse software em execução, o que pode levar à exploração futura.
Normalizar, categorizar e priorizar
Em qualquer organização empresarial, é provável ser dezenas de milhares de ativos para identificar e gerenciar. É aqui que as ferramentas de segurança podem ajudar sua equipe a gerenciar em escala e automatizar processos para evitar a intervenção manual em tarefas repetitivas. Combinar seu inventário de ativos com informações de fim de vida útil e fim de serviço permite que você visualize todas as informações relevantes em um único painel de gerenciamento, em vez de a equipe procurar manualmente as informações.
A categorização anterior de Os ativos são úteis à medida que você cria conjuntos de regras acordados em torno de determinados ativos de baixo risco para facilitar a carga de trabalho de sua equipe usando a automação. Isso permite que eles se concentrem em tarefas de maior valor.
Obtenha uma visão holística
O gerenciamento de ativos pode ser complexo e focado em detalhes. À medida que você expande a infraestrutura e usa mais plataformas para atender às suas necessidades de negócios, fica difícil acompanhar os riscos potenciais.
Fazer a pergunta:”Como é minha organização do ponto de vista de um hacker?”oferece uma visão holística de todo o seu patrimônio de TI. Essa prática de verificação de quaisquer dispositivos voltados para a Internet ajuda a entender o que um invasor veria e, o mais importante, como eles poderiam explorar quaisquer lacunas. O Gerenciamento de superfície de ataque depende de uma forte abordagem de gerenciamento de ativos e leva essa prática um passo adiante, avaliando os níveis de segurança de todos os ativos identificados. Assim como o gerenciamento de ativos, esse deve ser um processo contínuo para descobrir, classificar e avaliar.
Para o CIO, abordagens como o gerenciamento de superfície de ataque podem ajudar a criar uma imagem de risco para os negócios. Isso pode então ser traduzido em termos que a equipe de liderança possa entender. Falar sobre risco é muito mais útil–e mais provável de ser ouvido–e, portanto, pode ser usado para justificar o trabalho que sua equipe está realizando.
Obter um entendimento sólido de cada ativo de TI sob seu controle pode parecer um nível de detalhe muito alto. No entanto, isso deve ser uma prioridade para todos os CIOs porque, sem isso, há um terreno irregular para construir para o futuro. Investir em soluções que permitem que sua organização entenda, rastreie e proteja melhor os ativos é fundamental para seu sucesso.
Crédito da imagem: deepadesigns/Shutterstock
Isphreet Singh é a principal informação Diretor da Qualys, onde tem responsabilidade global por infraestrutura e operações corporativas de TI, arquitetura e aplicativos corporativos, integração de dados e segurança de TI.