Por Sergio Pedroche, Country Manager da Qualys para a Península Ibérica

Nos dias de hoje, as organizações estão a utilizar a transformação digital como uma aliada para acelerar e manter a sua produtividade, e esperam que a cloud as ajude a impulsionar a inovação e a melhorar a eficiência dos seus processos. Por sua vez, os gestores de TI sentem, cada vez mais, que precisam de uma visibilidade completa das infraestruturas para minimizar ou mitigar o risco de falhas de segurança.

Sem uma compreensão clara do estado do conjunto de tecnologia e a sua localização, os objetivos futuros não serão alcançáveis. A gestão e proteção dos ativos na cloud tornou-se uma dor de cabeça para os CIO, mas, ao mesmo tempo, representa uma oportunidade para modernizar as defesas.

Gestão de ativos: construção a partir do zero

A gestão de ativos é a base da política de segurança de informação de qualquer organização. Ter uma listagem completa, precisa e atempada de todos os ativos de TI não é fácil, mas a verdade é que, sem este nível de detalhe, a equipa de segurança estará sempre um passo atrás das ameaças. Ter um programa de gestão de ativos (AM) implementado será a chave do sucesso. Sem isto, será difícil impulsionar o impacto que se espera que a tecnologia tenha no negócio, e o CIO será responsabilizado.

A obtenção de uma compreensão abrangente do estado das TI da organização permite a tomada de medidas para mitigar as ameaças, identificando rapidamente configurações erradas, vulnerabilidades e hardware obsoleto. Permite também dar prioridade e libertar pessoal para se concentrar em tarefas mais urgentes ou estratégicas de negócio.

Inventário e monitorização: olhando para dentro

A necessidade de um inventário completo dos ativos de uma organização pode parecer óbvia, mas são vários os estudos que demonstram que 69% das empresas sofreram ataques contra ativos desconhecidos ou mal geridos. 

Se não souber o que está na sua rede empresarial, não pode protegê-la. E, se a sua equipa não puder reportar, não poderá saber eficazmente como os riscos de segurança estão a ser geridos. Através de uma visão completa dos ativos, a organização será capaz de desvendar “segredos ocultos”, como, por exemplo, implementações Shadow IT ou explorações de malware latentes, que possam estar em curso há anos.

Uma vez estabelecido o catálogo de ativos, o passo seguinte é determinar como manter tudo atualizado. Por exemplo, a categorização dos ativos de acordo com a sua criticidade permitirá que cada um receba o nível adequado de atenção e as vulnerabilidades começam quase sempre nos endpoints. Quando estes dispositivos são utilizados com software antigo ou desatualizado, são uma espécie de “doce” para hackers. Sem uma visibilidade completa, será quase impossível acompanhar as ameaças e só será possível mitigá-las quando se tiver uma imagem clara das infraestruturas, que estão em constante mudança.

Controlo dos ativos em fim de vida 

À medida que o software e o hardware envelhecem, muitas versões antigas podem permanecer operacionais. Porém, estes componentes podem representar riscos de segurança significativos, pelo que será necessário procurar uma gestão pró-ativa para os atualizar ou substituir, para reduzir a superfície de ataque.

Infelizmente, não existe uma norma para os ciclos de vida dos produtos, ou como o fabricante deve reportar sobre eles. Mas existem ferramentas que podem mapear a informação conhecida sobre o ciclo de vida e centralizar a informação.

Uma vez gerado o inventário e o sistema de monitorização, com uma imagem precisa do estado das TI, essa imagem pode ser mapeada juntamente com o ciclo de vida de cada ativo para assegurar que tanto o hardware, como o software, continuam a ser suportados pelo fabricante e são geridos proactivamente no que respeita as vulnerabilidades e patches.

Normalizar, classificar e priorizar

Dentro de qualquer organização empresarial, é provável que haja dezenas, centenas ou mesmo milhares de ativos para identificar e gerir. É aqui que as ferramentas de segurança podem ajudar a sua equipa a gerir e automatizar processos em grande escala para reduzir a intervenção manual em tarefas repetitivas. A combinação do seu inventário com a informação do fim de vida útil de uma solução e de fim de serviço permitir-lhe-á visualizar toda a informação relevante dentro de um único painel de controlo, em vez de ter de procurar manualmente a informação.

A categorização prévia é útil ao criar conjuntos de regras em torno de ativos de baixo risco para aliviar a carga de trabalho da sua equipa através da automatização, permitindo-lhe concentrar-se em tarefas de maior valor.

Uma visão holística

Como mencionado no início, a gestão de ativos pode ser complexa, uma vez que tem de se focar nos detalhes. À medida que a infraestrutura se expande com novas plataformas para satisfazer as necessidades de negócio, torna-se mais difícil acompanhar os riscos.

Uma solução AM eficaz procurará dispositivos ligados à Internet que ajudem a compreender o que um atacante veria e, mais importante ainda, como poderiam explorar qualquer falha de segurança. A gestão de superfícies de ataque deverá ter uma abordagem robusta e levar esta prática mais além, avaliando os níveis de segurança de todos os ativos identificados. Tal como a própria gestão de ativos, este deve ser um processo contínuo de descoberta, classificação e avaliação.

Em última análise, a gestão da superfície de ataque de uma organização é uma aliada fundamental para o CIO, uma vez que pode ajudar a construir uma imagem clara dos riscos para o negócio em termos que a equipa de gestão possa compreender, para que possa ser utilizada para justificar o trabalho que está a ser feito pela equipa de TI.

Ter uma solução avançada de gestão de ativos deve ser uma prioridade máxima para os CIO porque, sem ela, vão sempre trabalhar sobre uma base irregular. O investimento em soluções que permitam à organização compreender melhor, seguir e proteger os seus ativos será fundamental.