Gestão de vulnerabilidade: estamos fazendo tudo errado - Protiviti
Gestão de vulnerabilidade: estamos fazendo tudo errado
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Gestão de vulnerabilidade: estamos fazendo tudo errado

    Publicado em: 9 de setembro de 2022

    Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas.

    A gestão de vulnerabilidade é uma disciplina com a qual muitas organizações lutam devido a um fator simples: complexidade. Hoje, os ambientes tecnológicos mudam a uma velocidade cada vez maior, enquanto confiam em sistemas legados para dar suporte aos principais processos de negócios.

    Em resposta a esse desafio de complexidade, os profissionais de segurança cibernética continuam a criar novos processos de gestão de vulnerabilidade para gerenciar o problema. Isso inclui verificação de vulnerabilidades, bancos de dados de gerenciamento de configuração (CMDB), IDs comuns de vulnerabilidades e exposição (CVE), políticas, patch by dates e uma variedade infinita de relatórios. Em suma, os profissionais de segurança cibernética tornaram um problema complicado ainda mais complicado. Nós – ou seja, os profissionais de cibersegurança – temos feito tudo errado. É importante que CIOs e CISOs reconheçam essa verdade à medida que exploramos métodos que podem ser usados para simplificar a solução de gestão de vulnerabilidades e criar uma chance maior de sucesso em nossas organizações.

    Gestão de vulnerabilidade: o ótimo é inimigo do bom

    Quando se trata de solução de problemas na gestão de vulnerabilidades, existem várias abordagens. Como tecnólogos, muitas vezes não discutimos detalhes insignificantes em nossa abordagem para gerenciar vulnerabilidades, por mais que sejamos obcecados pela perfeição em nossa busca por respostas. Com muita frequência, essa busca pela perfeição leva à perda de tempo. Descobrimos que a abordagem mais eficiente durante a resolução de problemas é uma mentalidade de “evolução acima da perfeição”. Essa perspectiva é mais comumente alcançada começando com o que sabemos ser verdade em qualquer situação. Seja aproveitando armazenamentos de dados corporativos, fazendo suposições fundamentadas com base em vulnerabilidades de segurança cibernética conhecidas e suas características, ou mais simplesmente gerenciando a quantidade de ambiguidade de um determinado processo, a evolução sempre deve ser a prioridade.

    Crie um processo efetivo de correção de vulnerabilidades

    Um desafio comum entre a TI e os negócios que geralmente surge nos programas de gestão de vulnerabilidades é criar um processo de correção bem-sucedido que seja realista para todas as partes interessadas. Por isso, a implementação de um processo de correção de vulnerabilidades bem-sucedido começa com a compreensão de como a TI funciona e trabalha dentro de sua estrutura de recursos atuais. Quando o negócio continua a impor expectativas irreais, nada é realizado. Em vez disso, entender e desenvolver um processo para o estado atual do programa de gestão de vulnerabilidades e, posteriormente, prever as expectativas para um estado futuro geralmente é a melhor prática. Comunicar o risco em termos de entendimento do negócio e alinhar as expectativas do negócio ao modo como a TI funciona é a chave para definir parâmetros bem-sucedidos para cronogramas de correção de vulnerabilidades.

    Identifique o verdadeiro problema

    gestão de vulnerabilidade

    Os programas de gestão de vulnerabilidade geralmente adotam o mantra de “conserte e esqueça” sem examinar e explorar adequadamente a causa raiz do problema. Alguns podem se referir a isso como a abordagem “jogo da marretada”, que geralmente é adotada quando o objetivo de uma solução de gestão de vulnerabilidade é eliminar o acúmulo de patches ausentes. O problema com essa abordagem, se não for detectado no início, é que as vulnerabilidades conhecidas serão consistentemente remediadas (ou “corrigidas”) sem entender o contexto dos problemas sistemáticos, o que permite que a frequência desses problemas persista. 

    Nossa solução para essa abordagem é simples: as organizações devem dedicar recursos para realizar análises de causa raiz para seus problemas mais críticos. Essa análise pode ser conduzida de várias maneiras, mas geralmente começa simplesmente perguntando “por quê.” Até que o tempo adequado seja investido para conduzir a análise da causa raiz no nível do programa, a verdadeira causa dos tipos de vulnerabilidades críticas mais persistentes permanecerá desconhecida.

    Permanecer consistente na comunicação dos resultados do programa de gestão de vulnerabilidade

    Como profissionais de segurança da informação, comunicar os resultados do programa de gestão de vulnerabilidades pode ser um processo estressante se feito sem o contexto e a direção apropriados. Por exemplo, comunicar os resultados aos responsáveis errados pode gerar confusão que resulta em processos de reporte menos eficientes. Felizmente, muitos desses problemas podem ser resolvidos com consistência e transparência. Assim, a comunicação dos resultados do programa de gestão de vulnerabilidades deve ser consistente para fornecer tendências e evolução ao longo do tempo. Os resultados do desempenho do programa também devem ser transparentes ao público-alvo para destacar as vitórias e deficiências do programa. Ou seja, a obtenção de feedback é importante para confirmar a compreensão de quando esses processos de reporte de gestão de vulnerabilidades estão sendo iniciados.

    Adapte as métricas à gestão executiva

    O fator mais importante ao determinar as métricas que serão usadas para diagnosticar a integridade de um programa de gestão de vulnerabilidade é a polarização. As métricas devem polarizar o público para fornecer conforto suficiente para permanecer sentado ou atenção suficiente para sair de suas cadeiras. Isso é mais comumente visto na prática, definindo limites para as métricas do programa que melhor respondem à pergunta “quão ruim é?”. Além disso, quando se trata de reportar à gerência executiva, as métricas precisam fazer sentido para o pessoal que não é de TI. A armadilha da complexidade também pode aparecer quando se trata de personalizar métricas.

    Ao operar de forma eficaz, as métricas do programa devem destacar as áreas problemáticas maiores ou mais importantes dentro da organização. Por isso, as métricas devem ser usadas como a telemetria de um programa de gestão de vulnerabilidades. Assim, vincular as métricas do programa às metas organizacionais e também alterar as métricas quando as metas são alcançadas é extremamente importante. Os riscos continuarão a evoluir ao longo do tempo e nossas métricas devem se adaptar para permanecer alinhadas com essas mudanças. Além disso, as métricas de gestão de vulnerabilidades devem ser claras e diretas para ajudar a organização a entender sua postura de segurança atual.

    E agora?

    A pergunta que segue essa orientação simples e eficaz é muitas vezes: “e agora?”. A implementação das conclusões acima em um programa organizacional grande e complexo começa com a comunicação. Por isso, o primeiro passo é comunicar as partes interessadas sobre os desafios do programa e a abordagem para resolver conflitos e reduzir riscos. A mudança deve começar pequena, aproveitando os dados organizacionais e relatórios de gerenciamento de vulnerabilidade enriquecidos. Exemplos de curto prazo incluem o desenvolvimento e atualização de processos de gerenciamento que se alinham com a TI e combinam isso com o desenvolvimento de relatórios que respondem perguntas simples. Como profissionais de segurança, devemos sempre nos responsabilizar para que mudanças reais ocorram.

    Jason Bowen, Diretor e Kylle Shockley, Gerente Sênior, ambos da área de Segurança e Privacidade da Protiviti INC. Traduzido de Protiviti INC Blog | Vulnerability Management: We’ve Been Doing It All Wrong – Technology Insights Blog (protiviti.com)

    Compartilhe:

    Publicações relacionadas

    O que líderes e executivos precisam saber sobre a AI Act da União Europeia

    24 de outubro de 2024

    A nova lei exige que os sistemas de IA sejam transparentes, explicáveis e compreensíveis. A Lei de IA da UE é a primeira regulamentação da União Europeia que estabelece um quadro regulatório e legal comum para a IA (Inteligência Artificial). Ela foi adotada em março de 2024 e será totalmente aplicável em 24 meses, entrando […]

    Leia mais

    Entenda as principais tendências em cibersegurança para os próximos meses 

    Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.  Cibersegurança: panorama atual A […]

    Leia mais

    Global Finance Trends 2024

    10 de outubro de 2024

    Conheça as prioridades e perspectivas apontadas por CFOs e líderes financeiros de todo o mundo para o próximo ano. Os resultados da pesquisa Global Finance Trends 2024 revelam um momento de transformação para os CFOs, cujas responsabilidades continuam a se expandir. As descobertas destacam um cenário de crescente importância da tecnologia e da automação, surgindo […]

    Baixe aqui

    Uso de IA nas organizações: riscos e impactos

    20 de agosto de 2024

    A adoção da Inteligência Artificial (IA) nas organizações está em franco crescimento, impulsionada pelas promessas de aumento de eficiência, melhoria na tomada de decisão e inovação nos serviços oferecidos. No entanto, essa tecnologia também traz consigo uma série de riscos que precisam ser identificados e gerenciados adequadamente para garantir que os benefícios sejam plenamente aproveitados […]

    Leia mais