Apesar de haver várias ferramentas no mercado para melhorar o nível de segurança da informação em uma organização, os gestores nem sempre estão confiantes sobre o nível de segurança de sua organização e se os investimentos realizados estão dando o retorno esperado. Para solucionar este tipo de dúvida, os gestores devem adotar processos de cálculo e análise de métricas de segurança. A partir da coleta de dados em todo o ambiente da organização, os gestores podem gerar métricas que ajudarão a avaliar continuamente a evolução do nível de segurança do seu ambiente de TI.


Em que situação o tema é útil

O número de incidentes de segurança tem crescido de maneira alarmante, preocupando as corporações e governos, já que a interrupção de serviços importantes e o roubo de dados sigilosos causa grande prejuízo às organizações. Para que os gestores de TI possam avaliar e melhorar o nível de segurança da informação em suas organizações, é recomendada a utilização de processos de cálculo e análise de métricas de segurança.

O aumento do número de incidentes de segurança registrados nas redes de comunicações tem trazido preocupação para os profissionais da área e usuários. Os atacantes agem motivados por diferentes razões como buscar notoriedade, obter dados de contas bancárias e cartões de crédito, pressionar grandes corporações ou governos a atenderem suas reivindicações e enfraquecer países inimigos. A rede de jogos online Sony Playstation Network, por exemplo, foi atacada em abril de 2011. Os serviços ficaram indisponíveis por vários dias e dados pessoais dos usuários, incluindo informações sobre cartões de crédito, foram roubados. Em dezembro de 2010, a rede da operadora de cartões de crédito Mastercard foi atacada como retaliação ao bloqueio das doações realizadas ao site WikiLeaks. Os serviços da operadora ficaram indisponíveis devido ao ataque. Em setembro de 2010, o Irã foi atacado pelo vírus Stuxnet, que afetou os sistemas de controle da central nuclear de Bushehr. Suspeita-se que os Estados Unidos e Israel estejam envolvidos no desenvolvimento do vírus, com o objetivo de criar obstáculos ao programa nuclear iraniano. No Brasil, o número de incidentes também tem aumentado, como pode ser observado nas estatísticas apresentadas pelo CERT.br (Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil) na Figura 1.

Total anual de incidentes de segurança
Figura 1. Total anual de incidentes de segurança reportados ao CERT.br

Para proteger os seus ambientes de TI (Tecnologia da Informação), os gestores procuram utilizar ferramentas bastante conhecidas: firewalls, sistemas de detecção de intrusão, servidores de autenticação e autorização, VPN (Virtual Private Networks), algoritmos de criptografia, etc.

Entretanto, a simples implantação destas ferramentas pode não ser suficiente para garantir que a organização alcançou o nível de segurança desejado. Além de empregar técnicas modernas de segurança da informação, os gestores de TI devem estar aptos a responder perguntas como:

  • Os processos de segurança que empregamos são eficientes?
  • As medidas de segurança que temos tomado têm trazido melhora à segurança na minha organização?
  • O meu ambiente de TI está mais seguro hoje do que era no passado?
  • Quais são os pontos nos quais eu devo trabalhar para melhorar a segurança da minha organização?
  • Estamos empregando recursos financeiros de maneira eficaz em segurança da informação?

Para que os gestores de TI possam responder estas perguntas de maneira correta, é preciso desenvolver um programa de cálculo e análise de métricas de segurança na organização. Em outras áreas de conhecimento, é comum desenvolver programas de métricas para acompanhar e avaliar a evolução de um segmento. Na Economia, por exemplo, o desenvolvimento econômico de um país é avaliado de acordo com métricas como o PIB (Produto Interno Bruto) e a taxa de desemprego. Ao criar estas métricas, os economistas desenvolveram maneiras objetivas de avaliar a evolução da economia de um país e de comparar diferentes países quanto ao desenvolvimento econômico. Analisando o PIB, é possível determinar quais países tem maior crescimento econômico. Além disso, podemos comparar a situação atual do país com a situação passada, observando se ele melhorou ou não. Na área de segurança de informação, é fundamental que os gestores de TI também possam realizar este tipo de análise em suas organizações.

Métricas de Segurança

As métricas de segurança são estabelecidas a partir de análises quantitativas realizadas sobre dados relacionados à segurança da informação coletados em diversos departamentos da organização. A quantidade de computadores com sistema operacional Windows que possuem um software antivírus instalado e atualizado, por exemplo, é um dado relacionado à segurança da informação da organização. Entretanto, o fato de sabermos que existem, por exemplo, 1200 computadores com softwares antivírus corretamente instalados e atualizados não é útil para estabelecer qual é o nível de segurança de informação da organização. Se dividirmos a quantidade de computadores que possuem softwares antivírus pela quantidade total de computadores, passamos a ter uma métrica que é útil ao gestor de TI da organização. Se a organização possui 1200 computadores com softwares antivírus e um total de 3000 computadores, por exemplo, está métrica mostrará que apenas 40% dos computadores estão protegidos contra vírus. Esta informação é fundamental para que o gestor possa definir ações visando à melhoria da segurança. A partir desta informação, o gestor pode definir que, dentro de um mês, 100% dos computadores da empresa devem estar devidamente protegidos contra vírus. A utilização de uma métrica permite, portanto, a descoberta de um problema de segurança e o estabelecimento de uma meta, cujo cumprimento poderá ser avaliado no futuro por meio do recálculo da métrica.

Um dos principais desafios na definição de métricas de segurança é a identificação de quais métricas são eficientes e quais métricas apenas demandarão esforços e não trarão informações úteis ao gestor de TI. Além disso, métricas mal definidas ou escolhidas sem critérios podem levar a conclusões equivocadas sobre quais são os verdadeiros problemas de segurança da organização. Existem alguns parâmetros que ajudam a avaliar se uma métrica está bem definida ou não:

  • A coleta dos dados utilizados para calcular a métrica não pode demandar grandes esforços da organização. É importante que o levantamento das métricas não proporcione impactos negativos ao cotidiano da organização. Os gestores devem adotar, preferencialmente, métricas cujos dados possam ser coletados automaticamente;
  • As métricas devem trazer resultados quantitativos. Evite métricas cujos resultados são expressos por termos qualitativos como “alto”, “médio”, “baixo”, “bom”, “ruim”, etc;
  • As métricas devem ser expressas por unidades de medida: horas, defeitos, computadores desprotegidos, etc;
  • A adoção de uma métrica deve seguir um objetivo da organização. Se o objetivo da organização é, por exemplo, diminuir a quantidade de computadores infectados por vírus, as métricas devem ajudar a alcançar este objetivo. Logo, as métricas a serem adotadas neste caso devem utilizar dados como: computadores que estão protegidos por software antivírus, computadores que estão com todos os patches de segurança aplicados e a quantidade de treinamentos dados aos colaboradores tratando de segurança da informação.

Para facilitar a definição das métricas de segurança, podemos usar o conjunto de parâmetros listados a seguir. Para exemplificar cada um destes parâmetros, usaremos como base uma métrica que busca avaliar a porcentagem de colaboradores da organização que receberam treinamento sobre práticas seguras ao utilizar recursos de TI:

  • Identificador: é um nome exclusivo dado para cada métrica a fim de organizar toda a base de métricas. Exemplo: treinamento_seguranca_1;
  • Objetivo: estabelece qual é o objetivo da implantação da métrica. Exemplo: assegurar que os colaboradores da organização estão treinados para lidar com as questões de segurança da informação;
  • Métrica: neste atributo, deve ser inserida a definição da métrica. Exemplo: Porcentagem dos colaboradores que receberam treinamento relacionado a práticas seguras na operação de recursos de TI;
  • Fórmula: apresenta a fórmula para o cálculo da métrica. Exemplo: número de colaboradores que receberam treinamento no último ano dividido pelo total de colaboradores da organização;
  • Alvo: determina qual é o valor esperado para a métrica. Exemplo: Dentro de dois anos, todos os colaboradores da organização devem ter recebido treinamento sobre práticas seguras no uso de recursos de TI;
  • Frequência: estabelece a frequência na qual a métrica deve ser calculada: diariamente, mensalmente, anualmente, etc. No nosso exemplo, se considerarmos que os treinamento são dados uma vez por ano, podemos determinar a frequência de cálculo da métrica como anual;
  • Responsabilidades: quem são as pessoas envolvidas na definição, cálculo e utilização da métrica. Em nosso exemplo, podemos colocar como responsáveis tanto o gestor de TI quanto o gestor de recursos humanos;
  • Fonte de dados: locais onde podem ser obtidos os dados utilizados para calcular as métricas. Estas fontes podem incluir arquivos de diversos departamentos da organização, entrevistas a profissionais, inspeção de equipamentos e ambientes, utilização de ferramentas automáticas como scanners de vulnerabilidades, utilização de protocolos de gerenciamento de redes como o SNMP (Simple Network Management Protocol), etc. Em nosso exemplo, poderíamos utilizar arquivos do departamento de recursos humanos que registram os treinamentos oferecidos aos colaboradores;
  • Formato dos resultados: determina como os resultados serão apresentados: gráfico de barra, gráfico de linhas, tabela, etc. Exemplo: a métrica sobre o treinamento dos colaboradores pode ser apresentada no formato de um gráfico “pizza”;

Processo de cálculo e análise de métricas de segurança

Para que a implementação de um processo de coleta e análise de métricas de segurança funcione de maneira adequada, é importante também que a empresa possua em sua organização papéis responsáveis por responder pelas políticas e procedimentos de segurança no ambiente de TI. Um departamento ou colaborador responsável por trabalhar com a segurança da informação é essencial. A segurança da informação deve ser tratada como uma ferramenta que visa ajudar a empresa a atingir seus objetivos e não como um obstáculo para a eficiência e bom andamento da empresa. Se os procedimentos de gestão e segurança não são devidamente estabelecidos, os dados necessários para calcular as métricas não estarão disponíveis ou podem não ser confiáveis.

O processo de cálculo e análise de métricas de segurança deve ser executado de maneira contínua. Toda nova execução do processo deve ser alimentada com os resultados da execução anterior, de maneira que seja acompanhada a evolução da organização com relação à segurança da informação. A Figura 2 apresenta as etapas do processo, que são detalhadas a seguir.

Processo de
cálculo e análise de métricas de segurança
Figura 2. Processo de cálculo e análise de métricas de segurança

O processo se inicia com a preparação para a coleta de dados. Devem ser definidos, primeiramente, quais são os objetivos da organização com relação à aplicação das métricas de segurança. Se a organização está, por exemplo, enfrentando problemas relacionados a computadores infectados por vírus, pode estabelecer como objetivo a diminuição do número de infecções. Definido o objetivo, o próximo passo é identificar e selecionar as métricas apropriadas. A seleção das métricas deve levar em conta o custo necessário para coletar os dados e o impacto no cotidiano da organização. Métricas que podem ser coletadas automaticamente devem ter preferência. Instituições como o CIS (Center for Internet Security) e o NIST (National Institute of Standards and Technology) publicam catálogos que são bastante úteis no momento de identificar e selecionar métricas que estejam relacionadas aos objetivos da organização. Por fim, devem ser definidos os responsáveis por providenciar as ferramentas necessárias para a coleta de dados e por calcular e analisar as métricas. Toda esta etapa de preparação deve ser documentada para facilitar a execução dos próximos passos do processo.

O próximo passo do processo é a coleta de dados necessários para calcular as métricas. Após a coleta de dados, as métricas devem ser calculadas de acordo com o previsto no atributo “fórmula” de cada métrica. De posse dos resultados calculados para cada métrica, o responsável por analisá-las deve construir gráficos e relatórios que serão estudados para que os principais problemas da organização sejam identificados.

Identificados os principais problemas, os responsáveis pela segurança da organização devem propor ações corretivas, levando em conta o custo destas ações e o impacto que elas gerarão no cotidiano da organização. Depois de definir as ações corretivas, os responsáveis pela segurança devem encaminhá-las para os departamentos responsáveis por aprovar as solicitações e, posteriormente, adquirir os recursos necessários à aplicação das ações.

O último passo do processo é a aplicação das ações corretivas para as quais houve a aprovação por parte dos responsáveis pelos recursos necessários. Após aplicar as ações corretivas, o processo volta ao seu início. Ele deve ser repetido frequentemente de forma a acompanhar a evolução do nível de segurança da organização. Em cada rodada de execução do processo, novos objetivos podem ser incluídos ou, conforme necessidade da organização, podem ser removidos objetivos antigos.

A fim de ilustrar o processo e facilitar a sua compreensão, será apresentado um exemplo. Consideremos que a organização está buscando diminuir a quantidade de infecções por vírus. Os responsáveis pela segurança selecionaram, com base neste objetivo, quatro métricas: quantidade de infecções dividida pelo total de computadores, porcentagem de máquinas com softwares antivírus instalados e atualizados, porcentagem de máquinas com todos os patches de segurança aplicados e porcentagem de colaboradores que foram treinados quanto aos cuidados ao usar o computador. Depois de inspecionar os computadores da organização e consultar os arquivos do departamento pessoal, as métricas foram calculadas e os resultados mostraram que a grande maioria dos computadores possuem softwares antivírus instalados e atualizados e com todos os patches de segurança aplicados. Entretanto, metade dos colaboradores não participou, nos últimos três anos, de treinamentos sobre práticas de segurança. De posse destas informações, os gestores definem então que devem ser dados treinamentos aos colaboradores e devem ser reforçados os comunicados internos sobre os riscos de segurança inerentes à utilização dos computadores e da Internet. Após aprovação do departamento pessoal e do departamento financeiro, os treinamentos são realizados e o processo volta para o seu início. Os gestores devem, no futuro, coletar e avaliar estas métricas para observar se houve evolução no tratamento deste problema. É importante observar também que novas métricas podem ser avaliadas no futuro para este mesmo objetivo, de forma a garantir a solução do problema.

Exemplos de métricas de segurança

Há diversos exemplos de métricas que se aplicam a diferentes áreas de uma organização como gestão de incidentes, gestão de vulnerabilidades, gestão de mudanças, gestão financeira, infraestrutura de rede e serviços. Como exemplo, apresentaremos duas métricas para cada uma destas áreas. Na área de gestão de incidentes, temos os seguintes exemplos de métricas:

  1. Tempo médio para descoberta de um incidente: essa métrica é bastante importante, pois o tempo que a organização leva para descobrir a ocorrência de um incidente está diretamente relacionado com as consequências que o incidente terá. Para calcular esta métrica, a organização precisa ter um processo de registro de incidentes, a partir do qual é alimentada uma base de dados que, entre outras coisas, armazena a data de ocorrência e a data de descoberta de cada incidente;
  2. Tempo médio entre dois incidentes: essa métrica é importante, pois reflete, de maneira objetiva, o volume de incidentes que está ocorrendo na rede. É importante observar que nem sempre uma diminuição do tempo médio entre dois incidentes indica que a segurança da organização diminuiu. Mudanças que melhoram o processo de registro de incidentes podem fazer com que a organização consiga registrar um volume maior de incidentes, sem que a segurança tenha diminuído.

Na área de gestão de vulnerabilidades, temos os seguintes exemplos de métricas:

  1. Porcentagem de sistemas sem vulnerabilidades graves: essa métrica pode ser calculada a partir de dados coletados por scanners de vulnerabilidade. O ideal é que a organização chegue a 100% dos sistemas sem apresentar vulnerabilidades graves. Como os crackers descobrem vulnerabilidades constantemente, é importante que essa métrica seja calculada frequentemente, de forma que os gestores possam acompanhar as condições de segurança neste quesito;
  2. Tempo médio para solucionar uma vulnerabilidade: essa métrica reflete a eficiência da equipe de segurança em remover as vulnerabilidades descobertas após uma verificação com o scanner de vulnerabilidade. Normalmente, as soluções de vulnerabilidades são baseadas na aplicação de patches de correção disponibilizados pelos fabricantes do sistema.

Na área de gestão de mudanças, temos as seguintes métricas como exemplos:

  1. Tempo médio para realizar uma mudança de configuração: essa métrica reflete a agilidade da equipe em realizar mudanças de configuração no ambiente de TI. Para que essa métrica seja calculada, é necessário que o setor de TI da organização tenha um processo de gestão de mudanças que registre a solicitação e o atendimento de cada uma delas;
  2. Porcentagem de mudanças de configuração que receberam uma revisão de segurança: essa métrica é importante, pois indica qual é o controle de segurança sobre as mudanças realizadas no ambiente de TI. A ativação da auto configuração IPv6 em um setor da rede, por exemplo, pode criar vulnerabilidades se não forem observadas as precauções de segurança relacionadas a esta funcionalidade. O ideal é que essa métrica mostre que 100% das mudanças de configuração são inspecionadas com relação à segurança;

Na área de gestão financeira, temos os seguintes exemplos de métricas:

  1. Porcentagem do orçamento da área de TI gasto com segurança da informação: essa métrica mostrará o quanto do investimento realizado em Tecnologia da Informação é empregado em segurança da informação. Não há uma porcentagem ideal para ser atingida. Os gestores devem procurar pesquisar o quanto as outras organizações no mesmo ramo de atuação têm gasto com segurança da informação para balizar os seus investimentos. Essa métrica não precisa ser calculada com grande frequência. Dependendo de como é trabalhado o orçamento da organização, essa métrica pode ser calculada uma ou duas vezes por ano. Informações importantes podem ser obtidas pelos gestores na comparação entre os resultados desta métrica ao longo dos anos;
  2. Porcentagem do orçamento de segurança da informação empregado em cada área: com esta métrica, o gestor acompanha como o orçamento dedicado a segurança da informação está dividido entre áreas como gestão de incidentes, gestão de vulnerabilidades, gestão de mudanças, etc. Os gestores podem passar a fazer uma correlação entre o perfil do investimento realizado e a melhora ou piora das métricas inerentes a cada uma destas áreas.

Na área de infraestrutura, temos os seguintes exemplos de métricas:

  1. Porcentagem de pontos de acesso IEEE 802.11 que utilizam o protocolo WPA2: as redes sem fio normalmente despertam uma grande preocupação com relação à segurança, já que a propagação do sinal pelo ar torna as redes sem fio propensas à interceptação de dados. Para garantir segurança nas redes sem fio IEEE 802.11, é recomendada a utilização do protocolo de segurança WPA2 (Wi-Fi Protected Access). Portanto, o resultado ideal para esta métrica é de 100% dos pontos de acesso IEEE 802.11 cobertos pelo protocolo WPA2. Caso o resultado não seja igual a 100%, os gestores da rede devem providenciar imediatamente a configuração dos pontos de acesso para que o WPA2 seja utilizado;
  2. Porcentagem de prédios espalhados geograficamente que estão interconectados utilizando tecnologias com suporte à segurança: é comum que as organizações interliguem suas redes locais que estão espalhadas geograficamente por meio da Internet. Neste caso, para garantir que seu tráfego não seja interceptado por agentes maliciosos na Internet, a organização deve proteger estas conexões construindo Virtual Private Networks (VPNs). Esta métrica mostra qual é a proporção de conexões entre prédios da organização que está devidamente protegida. O valor ideal para esta métrica é 100%. Neste caso, a frequência de cálculo da métrica pode ser semestral, já que novas conexões entre prédios distantes não são estabelecidas com frequência.

Na área de serviços, temos os seguintes exemplos de métricas:

  1. Porcentagem do tempo em que o servidor está disponível: um dos atributos mais importantes para servidores é a disponibilidade. Utilizando dados coletados por protocolos de gerência como o SNMP (Simple Network Management Protocol), é possível monitorar por quanto tempo os servidores operam sem interrupções. O objetivo dos gestores deve ser trabalhar para que essa métrica retorne resultados próximos de 100%. Essa métrica deve ser acompanhada em uma frequência um pouco maior. Caso os resultados estejam ruins, após a execução das ações corretivas, o acompanhamento pode ser semanal. Assim que os resultados apresentarem melhoras significativas, a frequência do acompanhamento pode diminuir passando para quinzenal ou mensal;
  2. Porcentagem de chamadas VoIP completadas: nem sempre as métricas de segurança precisam trazer informações diretamente relacionadas a ataques. Informações sobre a qualidade e a confiabilidade dos serviços também são importantes para os gestores de segurança da organização. No caso desta métrica, os gestores terão informações importantes sobre o comportamento da rede VoIP da organização. O número total de tentativas de chamada e o número de chamadas completadas com sucesso pode ser verificado em IPDRs (IP Detail Records), que são bilhetes gerados a cada tentativa de chamada e que ficam armazenados no PABX VoIP. A frequência de cálculo desta métrica deve ser maior (semanal, por exemplo) em períodos de maiores problemas com a rede VoIP. Após tomar as medidas corretivas e obter melhoras na rede VoIP, o acompanhamento pode passar a ser menos frequente, sendo realizado mensalmente.

Conclusão

O aumento do número de incidentes de segurança tem trazido preocupação às corporações e governos em todo o mundo. A interrupção de serviços importantes e o roubo de dados sigilosos causam grandes prejuízos à imagem e às finanças das organizações. Para solucionar estes problemas, os pesquisadores e a indústria disponibilizam uma série de produtos como firewalls, sistemas de detecção de intrusão, algoritmos de criptografia, protocolos de segurança, etc. Mesmo utilizando todo este ferramental, os gestores de TI precisam saber se estão realmente seguros e se os investimentos realizados estão tendo o retorno esperado. As respostas para estas dúvidas podem ser dadas por métricas de segurança.

O cálculo e a análise das métricas de segurança formam um processo contínuo que deve ser realizado periodicamente. A realização constante deste processo permite que as lições aprendidas sejam aplicadas na melhoria do nível de segurança da organização e que o planejamento para atender futuros requisitos de segurança seja feito de forma mais fácil. Uma empresa que já conhece bem seu nível de segurança e tem realizado a coleta de métricas com frequência, provavelmente terá mais facilidade a se adaptar às novas exigências de segurança trazidas por novidades na área de TI, como, por exemplo, a migração para IPv6 ou a adoção de Computação em Nuvem.


Saiu na DevMedia!

  • SQL nível Jedi: Subqueries:
    A utilização de JOINS para consultar em mais de uma tabela é uma prática comum entre os desenvolvedores, porém em certas ocasiões não é o suficiente para trazer os resultados desejados. Aqui você saberá quando e como utilizar subqueries. Confira!
  • Documentação SQL:
    Aqui você encontra informações sobre dois dos subconjuntos da linguagem SQL cujos comandos são mais utilizados. Aprenda sobre a DQL (Data query Language) e a DML (Data Manipulation Language).

Saiba mais sobre Segurança da Informação ;)

  • Panorama da Segurança da Informação:
    Neste devcast será abordado um panorama geral da segurança da informação, envolvendo sua visão, conceitos, aspectos básicos ferramentas e normas que são pertinentes a garantir a segurança de ativos de informação.
  • Introdução a segurança da informação em Java:
    Veja neste artigo uma introdução ao tema Segurança da Informação, conheça os métodos mais utilizados para garantir a segurança dos dados, bem como formas de aplicá-los utilizando a linguagem Java.
Links: