Mudança de paradigma

Você pode tentar ler esse post isoladamente, mas estou escrevendo mantendo uma certa ordem. Recomendo a leitura do post anterior para que esse conteúdo faça mais sentido.

O desafio começa pela mudança de paradigma da maioria das ações de segurança que acompanhei nos últimos anos. Estou falando em investir pesadamente no planejamento e no amadurecimento do plano de implantação de um modelo de desenvolvimento seguro antes de começar a executá-lo.

Tenho certeza que todos os CSOs (Chief Security Officer) colocam nos seus planos de segurança ao menos uma referência aos trabalhos de desenvolvimento seguro. O que estou salientando é que parar por ai não basta!

O Desenvolvimento seguro, ou a construção de soluções seguras demandam um planejamento estratégico e outro tático bastante apurados e partem de premissas que precisam ser ratificadas.

A estratégia
Minha indicação é começar a validar se sua empresa dispõe de conhecimentos básicos sobre si mesma, pois quase todas as políticas e estratégias partirão de premissas diretamente relacionadas a esse autoconhecimento.

Vejamos um exemplo: É muito comum que se definam estratégias como: os sistemas e ativos mais prioritários passarão por um maior grau de controle enquanto sistemas e ativos menos prioritários terão um menor grau de controle de segurança.

Onde está o pulo do gato? Simples... em definir quais são os ativos e sistemas prioritários, certo? Não! (Lembra... eu disse para investir tempo suficiente planejando, ou seja, estudando o assunto. Não tenha pressa em encontrar as respostas) Retomando, para chegar nisso (definir os ativos prioritários) você vai perceber que antes de tudo, você precisa definir as regras para classificação de ativos, já que para cada indivíduo, sob sua própria ótica, seus sistemas e ativos serão sempre os prioritários.

Feito isso tudo resolvido, certo? Vocês já viram que bonitinho quando o banco de dados percebe que você definiu os critérios de classificação e ele sozinho se rotula como prioritário? É mais fácil ele aprender a andar antes que isso aconteça... Bom, se não vai acontecer sozinho, você vai ter que sujar os dedinhos de graxa.

Graxa 101
Ingredientes:

1. O usuário, preferencialmente o owner (proprietário) dos ativos feliz e bem disposto!

2. Aquela multidão de pessoas que fazem parte da equipe e que estão morrendo de vontade de classificar os 700GB de ativos da empresa!

3. E não se esqueça dos 700GB de ativos e sistemas!










Modo de preparo:

Junte os ingredientes supra mencionados em uma sala. Apliquem e documentem o racional utilizado para a classificação dos ativos frente os critérios que você acabou de desenvolver! Descarregue todo esse material gerado no seu controle de inventário (estou supondo que você dispõe de um) de forma que você consiga ter visão da organização existente para seus ativos.

Bom, o pior que pode acontecer é você descobrir que todos os seus ativos em todos os níveis de prioridade que você havia idealizado estão simplesmente mesclados! Se fossem DNAs, já estariam praticamente fazendo crossing over!

Se você já encontrou o ambiente organizado, ou se teve que suar sangue para conseguir organizá-lo, agora sim você terá chance de aplicar algum tipo de estratégia em níveis aos seus ativos. Do contrário, seria impossível e você jamais seria eficaz na aplicação da estratégia de segurança.





Conclusão
Não tente "resolver rápido". Tome o tempo necessário para planejar quais objetivos você almeja alcançar e invista ainda mais tempo em detalhar como chegar lá. Acima de tudo, valide as premissas e garanta que elas estão lá, ou você jamais vai conseguir implementar a segurança de fato.