(Tempo de Leitura: 5 min.)

O volume de vulnerabilidades e ameaças é muito grande e já devemos estar convencidos de que não vamos conseguir corrigir tudo. Por esse motivo, é fundamental que a empresa estabeleça uma abordagem na priorização dos riscos e na correção de vulnerabilidades com foco nos processos críticos de negócio, de forma que seja dado o devido foco ao que pode realmente afetar a operação e as fontes de receita da empresa.
Para que a priorização seja efetiva, é necessário considerar dois aspectos relacionados à classificação dos ativos de informação que sustentam os processos de negócio e das vulnerabilidades associadas a estes ativos. A seguir, descrevemos um pouco mais cada um deles:

Nesse artigo falamos sobre:

• Aspecto técnico

• Aspecto de negócio
  • BIA (Business Impact Analysis)
  • Entrevistas com áreas de negócio
  • PLA (Protection Level Agreement – Acordos de Nível de Proteção)
  • Definindo o PLA
  • Benefícios e ganhos
  • ✅Prós
    • Clareza nas expectativas
    • Responsabilidade definida
    • Monitoramento e conformidade
    • Confiança do cliente
    • Redução de riscos
    • Auditoria e relatórios
  • ❌Contras
    • Complexidade
    • Custo
    • Flexibilidade limitada
    • Manutenção contínua
    • Dependência de fornecedores
    • Burocracia
  • Por onde começar

Aspecto técnico

O primeiro passo nesse aspecto é realizar a priorização da criticidade das vulnerabilidades identificadas e isso pode ser feito por meio do CVSS e EPSS.

O CVSS (Common Vulnerability Scoring System) é um sistema padrão usado para capturar as características principais de uma vulnerabilidade e produzir uma pontuação numérica refletindo sua gravidade. Essa pontuação pode variar de 0,0 (sem gravidade) a 10,0 (gravidade máxima). Esse é o padrão adotado por grande parte das ferramentas e scanners de vulnerabilidade.

Já o EPSS (Exploit Prediction Scoring System) é um sistema de pontuação que prevê a probabilidade de uma vulnerabilidade a ser explorada no mundo real dentro de um período de 30 dias após a sua divulgação. Geralmente complementa o CVSS fornecendo uma previsão da probabilidade de exploração, permitindo uma priorização mais assertiva.

Combinar CVSS e EPSS permite que as organizações priorizem vulnerabilidades não apenas com base em sua gravidade intrínseca, mas também com base na probabilidade de serem exploradas, melhorando a capacidade de resposta das organizações a vulnerabilidades críticas, reduzindo o risco de exploração e proporcionando uma base sólida para decisões informadas sobre gestão de vulnerabilidades e mitigação de riscos.

Além disso, é possível enriquecer as vulnerabilidades com informações provenientes de outras fontes de inteligência de ameaças.

Como parte da priorização técnica, deve-se considerar os controles existentes no ambiente, pois eles podem atuar como controles compensatórios na mitigação do risco, quando a correção de vulnerabilidades é muito trabalhosa ou inviável. Os controles que podem ser considerados nesta etapa são:

• Ferramentas de microssegmentação de rede
• Firewall de rede
• Firewall de aplicação e proteção de API (WAAP/WAF)
• Segurança de endpoint (XDR, XMDR)

Aspecto de negócio

Sob o aspecto de negócio, a priorização deve ser realizada por meio de duas formas:

BIA (Business Impact Analysis)

É uma ferramenta de gestão de riscos que ajuda as empresas a identificar e avaliar os efeitos de interrupções nos negócios. Essa ferramenta provê insumos para a classificação dos ativos tecnológicos, fornecedores, processos e pessoas críticos para o funcionamento de cada processo/unidade de negócio.

O BIA determina o quanto se perde financeiramente se o processo de negócio sofrer algum tipo de interrupção. Essa ferramenta é adotada somente por empresas com maior governança, além de ser um desafio manter essa ferramenta atualizada, visto a dinamicidade dos processos de negócio atualmente.

Entrevistas com áreas de negócio

A outra forma mais efetiva para mapear os processos críticos e os ativos associados é por meio do levantamento diretamente com as áreas de negócio. Esse modelo permite uma maior aproximação da segurança da informação com os responsáveis pelas áreas ou unidades de negócio, facilitando a comunicação ao mesmo tempo que gera a conscientização quanto à segurança cibernética e seus impactos para aquela área em questão.

Além disso, considerando a tendência da descentralização da TI nas empresas, a colaboração entre as áreas de negócio, TI, desenvolvimento com a equipe de segurança da informação será essencial para garantir que os riscos identificados nas tecnologias, no processo e nos fornecedores sejam corrigidos dentro de um período aceitável e conforme o apetite por risco de cada área de negócio e de cada organização. Esse cenário nos leva a um outro conceito muito importante quanto à priorização dos riscos cibernéticos, que são os PLAs.

PLA (Protection Level Agreement – Acordos de Nível de Proteção)

Documentar e realizar PLAs (Protection Level Agreement – Acordos de Nível de Proteção) eficientes e integrativos, ou seja, que englobem todos os envolvidos, também entra nesse aspecto de negócio, porque pode gerar benefícios que ajudarão sua organização a ter um futuro mais seguro no ambiente digital.

Mas, antes de falarmos sobre as vantagens e as desvantagens do PLA, é interessante definirmos o que são esses acordos e quais são suas finalidades.

Definindo o PLA

Um PLA é um acordo entre partes que define um nível específico de prestação de serviço, neste caso, de segurança. Embora os conceitos sejam parecidos, os PLAs são diferentes dos SLAs (Acordos de Nível de Serviço) convencionais, pois destacam de forma incisiva a importância de aumentar a conscientização sobre segurança cibernética entre todas as partes envolvidas.

Em resumo, o SLA garante que os serviços estejam disponíveis e performando como o esperado, enquanto o PLA assegura que os serviços estão protegidos contra ameaças de segurança!

O Acordo de Nível de Proteção fornece uma estrutura que leva a bons resultados, já que estabelece KPIs (Indicadores-Chave de Desempenho) alinhados aos PLOs (Objetivos de Nível de Proteção), tanto em um contrato legalmente vinculativo entre empresas ou em um acordo mais informal em uma única organização.

Isso significa que é possível estabelecer esse tipo de acordo com um provedor de segurança externo para proteger o ambiente na nuvem contra vulnerabilidades de alto risco, definindo prazos para a resolução de problemas críticos e priorizando-os de acordo com sua relevância.  

Benefícios e ganhos

Implementar uma abordagem PLA, além de simplificar o alinhamento da segurança com os processos empresariais padrão, também garante uma integração efetiva dos objetivos de segurança com as metas empresariais mais amplas.

São mudanças necessárias, que possibilitam aos CISOs (Chiefs Information Security Officer), por exemplo, apresentarem um planejamento conciso de atividades e resultados, baseado em métricas confiáveis e amplamente conhecidas.

Além disso, utilizar esses acordos faz com que as iniciativas de segurança sejam executadas de forma mais clara e unificada, sendo possível medir os resultados positivos. Portanto, os PLAs impulsionam uma resolução mais rápida dos riscos, ao mesmo tempo que aumentam o retorno sobre o investimento em segurança.

Vale também lembrar que investir nessa estratégia é especialmente vantajoso para empresas que enfrentam dificuldades em definir seus níveis de risco ou avaliar a eficácia de seus gastos com segurança, e configura-se como um diferencial para organizações que estão passando por mudanças na liderança, na reorganização de unidades de negócios ou na reestruturação de equipes.

Assista ao nosso vídeo sobre PLA

✅Prós

Clareza nas expectativas

Estabelece expectativas claras sobre a segurança e a proteção dos dados, ajudando ambas as partes a entenderem suas responsabilidades

Responsabilidade definida

Estabelece expectativas claras sobre a segurança e a proteção dos dados, ajudando ambas as partes a entenderem suas responsabilidades

Monitoramento e conformidade

Estabelece padrões para monitoramento e conformidade, ajudando a garantir que as práticas de segurança sejam seguidas.

Confiança do cliente

Demonstrar que há um PLA pode aumentar a confiança dos clientes na segurança
de seus dados.

Redução de riscos

Ajuda a identificar e mitigar riscos potenciais de segurança antes que se tornem problemas significativos.

Auditoria e relatórios

Facilita a realização de auditorias e a geração de relatórios de conformidade,
proporcionando transparência e responsabilidade.

❌Contras

Complexidade

A criação de um PLA pode ser complexa e demorada, exigindo um entendimento detalhado dos requisitos de segurança.

Custo

Implementar as medidas de segurança descritas em um PLA pode ser oneroso se não há uma cultura de investimento em cibersegurança.

Flexibilidade limitada

Há casos em que o PLA pode ser rígido, dificultando a adaptação rápida a novas ameaças ou mudanças no ambiente de negócios.

Manutenção contínua

Requer manutenção e atualização continuas para permanecer eficaz e relevante frente a novas ameaças de segurança.

Dependência de fornecedores

Pode criar uma dependência significativa de fornecedores para cumprir certos
aspectos, o que pode ser um risco se o fornecedor falhar.

Burocracia

Pode aumentar a carga burocrática, com a necessidade de documentação extensa e processos de revisão regulares.

Por onde começar

Você pode iniciar agora a descoberta e a redução dos riscos cibernéticos em sua organização, de forma eficiente. Comece o seu teste gratuito!

Gostou deste conteúdo? Acompanhe as nossas atualizações no blog!

Referências

https://www.youtube.com/watch?v=1laaoze87RU https://www.rapid7.com/info/protection-level-agreement/

https://www.forbes.com/sites/forbestechcouncil/2023/08/02/maximizing-cybersecurity-impact-with-protection-level-agreements/?sh=4de07c655208

https://www.linkedin.com/pulse/protection-level-agreement-jonathan-pereira‍