Agora que você já viu as três primeiras etapas, Sensibilizar, Acompanhar e Gerenciar, vamos por a mão na massa com a última etapa: Adequar.
Quarta fase: Adeque com o GAT Core e reduza o risco da organização. #
Isso quer dizer estudar o Plano de Ação, entender o que precisa ser feito e executar, coletando evidências durante o processo para que depois outros possam auditar as ações de tratamento. Porém, apesar de ser possível realizar ações de adequação seguindo qualquer critério, é melhor que estas adequações sigam um planejamento geral. E nem precisamos inventar um do zero, pois o mercado já nos trouxe um sistema excelente para isso, chamado de Gestão de Vulnerabilidades Baseada em Risco, ou na sigla em original, RBVM.
Trazendo a RBVM para o jogo #
A existência bem sucedida do GAT Core e até mesmo a antiga gestão em planilhas que ele substituiu comprovam a noção de que existe muita informação, muitas frentes a serem controladas para uma gestão eficaz da segurança da informação. E isso também afeta o momento de agir, por onde decidir começar. E é a esse questionamento que o RBVM vem atender: nele, a priorização das tarefas é feita através de um ranqueamento de riscos sobre ativos. Isso quer dizer elencar quais os ativos que possuem maior Pontuação de Risco, e decidir por ações que irão afetar estes primeiro.
É muito simples conseguir esse ranqueamento no GAT Core. Primeiro, acesse a tabela de Ativos clicando primeiro em Inventário, depois Ativos no menu lateral:
Há bastante coisa a ser vista sobre o que são Ativos e a a tela de gestão deles, e por isso vamos focar somente no necessário para entendermos a metodologia SAGA. Caso queira se aprofundar neste tema, consulte o seguinte artigo.
Para simplesmente ter uma visão dos ativos com maior pontuação de risco, clique no título da coluna PONTUAÇÃO. A primeira vez que clicar, ela vai ordenar os ativos de maneira ascendente. Clique mais uma vez, para finalmente termos uma ordem decrescente:
Temos então a visibilidade que precisávamos. Caso queira entender como a pontuação de risco é calculada, consulte o seguinte artigo.
Finalmente, para termos controle sobre a atuação nos ativos de maior risco, vamos criar um Projeto para gerenciar as execuções de adequação. Como nosso foco neste momento será sobre os 5 ativos com maior pontuação de risco, vamos criar uma maneira de segmentar estes ativos para que eles sejam em seguida o escopo do projeto que criaremos. Vamos fazer uso da funcionalidade Grupo de Ativos para este fim.
Primeiro, vamos criar o grupo de ativos que usaremos. No menu lateral, clique em Inventário, depois em Grupo de Ativos. No topo da tela, clique em Novo Grupo de Ativos:
No formulário aberto, preencha o nome do grupo de ativos, sua severidade, descrição, ativos e tags relacionadas. Vamos deixar ativos e tags vazias, pois não precisamos disso agora. Os ativos serão inseridos após a criação do grupo. Por fim, clique em Salvar:
Com o grupo de ativos criado, retorne à tela de ativos, ordene novamente por ordem decrescente de Pontuação de Risco, selecione os 5 primeiros ativos, e na barra de ferramentas que surgiu no topo, clique em Adicionar a Grupo de Ativos. Na janela que abrir, digite o começo do nome do grupo e clique sobre ele no seletor flutuante quando ele for encontrado:
Aguarde essa mensagem aparecer no canto superior direito:
A próxima tarefa é criar o Projeto para nos auxiliar a focar somente no que precisamos, pois vamos depois adicionar os apontamentos relevantes nele. Para saber como criar novos Projetos ou outras ações relacionadas a eles, consulte o seguinte artigo. Para este artigo, vamos usar um chamado “Projeto RBVM”.
Agora podemos ir à tela de Apontamentos e encontrar somente os que afetam tal grupo de ativos. Acima da tabela de Apontamentos, clique no botão Filtros e na aba aberta, encontre o campo Grupo de Ativos e selecione ali o que acabamos de criar e usar. Feito isso, clique em Aplicar Filtros no topo da aba.
A tabela vai recarregar e exibir somente os apontamentos que afetam somente ativos do grupo de ativos que escolhemos. Tendo filtrado os apontamentos que precisamos focar, vamos adicioná-los a um novo projeto para termos uma gestão mais facilitada deles. Para isso, clique primeiro no seletor de todos os apontamentos exibidos, depois clique em Selecionar todos os itens filtrados.
Depois, passe com o mouse sobre o botão Mais, e depois clique em Adicionar Projeto. Na janela que surgir, escolha o projeto que criamos anteriormente, “Projeto RBVM” ou o nome que você tiver escolhido durante a criação dele e também dê um nome significativo para a execução do projeto que vamos iniciar. Finalmente, clique em Adicionar:
Aguarde uns instantes até que a mensagem avisando do processamento desapareça. Depois disso, acesse a tela de Projetos, escolha o criado por você, e depois clique no nome da execução:
Pronto, agora temos num só lugar todos os apontamentos que precisam ser tratados seguindo o planejamento RBVM. Para refinar mais ainda a gestão, é possível filtrar para que sejam exibidos somente apontamentos com severidade Crítica ou Alta, ou então filtrar somente os que estão Pendentes. Tudo vai depender do seu estilo e fase da gestão.
Tendo decidido agora com qual começar e como, comece a adequação dos apontamentos, ou faça a delegação das responsabilidades. Então, à medida que ações resolutivas ou mitigadoras vão acontecendo, anexe evidências aos apontamentos e altere seu Estado.
Para anexar evidências a um apontamento, clique sobre qualquer um deles (só é possível fazer isso um por um), e no modal que aparecer, clique na terceira aba, Evidências. Por fim, clique em Adicionar novo arquivo:
Na próxima tela que aparecer, clique em Selecionar e escolha um arquivo de seu computador que servirá como comprovação do trabalho executado. O GAT Core aceita para este fim arquivos de imagem, vídeo e documentos em PDF. Não se esqueça de clicar em Upload depois de selecionar o arquivo desejado para que ele seja salvo no banco de dados. Feito o upload, as evidências irão constar na listagem principal desta aba:
Enquanto as ações concretas para mitigação vão sendo executadas, e depois que o resultado é coletado e evidências são enviadas, é importante configurar adequadamente o Estado que aquele apontamento se encontra. Caso queira entender melhor os Estados em onde realizar o ajuste, consulte o artigo sobre apontamentos.
O final feliz da SAGA #
Tendo seguido estes passos, você terá então conseguido realizar todo o processo necessário para uma gestão da segurança da informação de maneira centralizada, eficaz e tranquila. E como ela foi feita no GAT Core, você terá sempre em mãos os insumos necessários para apresentar seu trabalho a quem precisar e oferecer um processo de auditoria transparente e rastreável.
Para saber mais:
Para atendimento de suporte envie e-mail para [email protected] e [email protected];