A cultura da organização pode impactar as práticas e a execução de segurança. O termo cultura pode ser bastante vago, mas de um modo geral, existem dois tipos de cultura de segurança.
Um é o tipo de processo estrito e o outro de capacitação da equipe.
No processo estrito quase não há espaço para flexibilidade; Uma vez definidas as linhas de base de segurança esperadas, todas elas são obrigatórias; Listas de verificação de segurança detalhadas são definidas para cada projeto a seguir e nenhuma violação é permitida. Já na capacitação da equipe a organização define apenas diretrizes gerais de segurança, enquanto as equipes de projeto podem definir suas próprias listas de verificação de segurança com base nas necessidades do projeto.
Cultura de segurança
Cultura de segurança
Processo estrito
Uma cultura de processo rigoroso ou estrito se encaixa em um ambiente que requer controles de alto nível, como militares ou bancários.
- Existem Procedimentos Operacionais Padrão (POPs) definidos e listas de verificação para cada controle de segurança. O POP ou lista de verificação reduzirá bastante as chances de erro humano.
- Qualquer exceção ou falha no cumprimento da lista de verificação de segurança exigirá que a equipe envie uma revisão formal.
- Pode reduzir a necessidade de verificar com cada equipe do projeto, uma vez que a equipe do projeto precisará iniciar uma revisão formal de todos os requisitos de segurança que ele não atender.
- Há pouco espaço para as equipes de projeto fazerem qualquer julgamento, o que deve ser feito pela equipe de gerenciamento de segurança.
- Uma desvantagem é que os membros da equipe do projeto podem apenas seguir o POP e não conhecer a lógica por trás da lista de verificação.
Empoderamento do time
Em uma cultura de capacitação da equipe:
- O gerenciamento de segurança define apenas diretrizes, guias, orientações,
- Enquanto cada equipe do projeto pode desenvolver uma lista de verificação com base nas necessidades do projeto.
- As listas de verificação a que nos referimos aqui são recursos de requisitos de segurança de software para uma equipe de desenvolvimento.
- Isso também significa que uma política de segurança no nível da organização define apenas alguns requisitos obrigatórios, sem instruções detalhadas, e permite que a equipe descubra como alcançá-los.
- Pode levar tempo para cada projeto no iniciar as práticas e sofrer algumas falhas na tentativa e erro para novas
Qual cultura escolher?
Não há nada de errado ou certo entre essas duas culturas. Tudo depende do status do negócio, das necessidades de conformidade, da cultura organizacional, dos processos existentes e assim por diante.
Algumas organizações podem ter uma lista de verificação de segurança detalhada para todas as unidades de negócios, mas permitem que cada equipe de projeto julgue se a segue estritamente ou não. No final, a adaptação à cultura organizacional e o alinhamento com os objetivos de negócios são essenciais para o sucesso de um programa de garantia de segurança.
Conceitos da cultura de segurança
Cultura de Segurança
Aproxime a segurança da perspectiva de ser uma jornada, não um destino, que começa com um pequeno número de fundamentos sobre os quais você continuará construindo, relacionando iterativamente novos desenvolvimentos de volta a conceitos familiares.
Com isso em mente, e independentemente de nossos antecedentes, é importante que todos compreendamos alguns princípios fundamentais de segurança antes de começar.
Esses conceitos são os alicerces sobre os quais desenvolveremos nosso conhecimento de segurança e são importantes para garantir que tenhamos um bom funcionamento antes de aprofundar em outros tópicos de segurança.
Segurança da Informação
Não há nada de errado ou certo entre essas duas culturas. Tudo depende do status do negócio, das necessidades de conformidade, da cultura organizacional, dos processos existentes e assim por diante.
Algumas organizações podem ter uma lista de verificação de segurança detalhada para todas as unidades de negócios, mas permitem que cada equipe de projeto julgue se a segue estritamente ou não. No final, a adaptação à cultura organizacional e o alinhamento com os objetivos de negócios são essenciais para o sucesso de um programa de garantia de segurança.
A segurança não é mais, uma área que você pode terceirizar mentalmente. Você é responsável por considerar a segurança da tecnologia. Você provisiona que as pessoas adotem a segurança em suas vidas cotidianas. Não aceitar essa responsabilidade significa que a tecnologia que você constrói será fundamentalmente falha, além de falhar em uma de suas principais funções.
Segurança é sobre risco. A segurança ou a proteção de software, mais especificamente, é para minimizar riscos. É o campo em que tentamos reduzir a probabilidade de que nossos funcionários, sistemas e dados sejam usados de maneira a causar danos financeiros, à reputação ou físicos.
A maioria das práticas de segurança trata de impedir que acontecimentos ruins aconteçam às suas informações ou sistemas. Mas o cálculo de risco não é para parar as coisas, é para entender o que pode acontecer e como você pode priorizar suas melhorias. Para calcular o risco, você precisa saber o qual a probabilidade de acontecer e o custo. Isso permite que você calcule quanto dinheiro e esforço gaste na proteção contra essas coisas.
Fatores para levar em conta
A probabilidade é uma medida muito subjetiva e deve levar em consideração muitos fatores diferentes. Esses fatores são os seguintes:
Motivação
O resultado da exploração dessa vulnerabilidade seria suficiente para motivar alguém a gastar tempo?
Acesso
Você precisa ter a capacidade de se comunicar diretamente com um sistema específico em uma rede ou ter um conjunto específico de privilégios de usuário? Você já deve ter comprometido uma ou mais partes do sistema para poder usar a vulnerabilidade?
Automação
A exploração da vulnerabilidade se presta bem para ser automatizada? Isso pode ajudar a incluir itens como kits de exploração ou código de propagação automática (worms), o que significa que você tem mais chances de estar sujeito a uma tentativa de exploração indiscriminadamente.
Confiabilidade
Quanto mais confiável a exploração, menor a probabilidade de ataques causarem um efeito colateral perceptível, o que a torna mais segura de usar, pois pode reduzir as chances de detecção.
Habilidade técnica necessária para explorar a vulnerabilidade.
Você precisa ser um especialista técnico profundo ou será suficiente um conhecimento de alto nível?
Empoderamento do time
- O gerenciamento de segurança define apenas diretrizes, guias, orientações,
- Enquanto cada equipe do projeto pode desenvolver uma lista de verificação com base nas necessidades do projeto.
- As listas de verificação a que nos referimos aqui são recursos de requisitos de segurança de software para uma equipe de desenvolvimento.
- Isso também significa que uma política de segurança no nível da organização define apenas alguns requisitos obrigatórios, sem instruções detalhadas, e permite que a equipe descubra como alcançá-los.
- Pode levar tempo para cada projeto no iniciar as práticas e sofrer algumas falhas na tentativa e erro para novas
Impacto
Cultura de Segurança
Impacto é o efeito que explorar uma vulnerabilidade ou ter seus sistemas mal utilizados ou violados de alguma forma afetam seus clientes e sua organização. Para a maioria das empresas, medimos o impacto em termos de dinheiro perdido.
O custo da recuperação geralmente deve incluir não apenas a solução da vulnerabilidade, mas também:
- responder ao próprio incidente
- reparar outros sistemas ou dados que possam ter sido danificados ou destruídos,
- implementar novas abordagens para ajudar a aumentar a segurança do sistema em um esforço para impedir a repetição,
- aumento dos custos de auditoria, seguro e conformidade,
- custos de marketing e relações públicas
- aumento dos custos operacionais ou taxas menos favoráveis dos fornecedores.
Quando tentamos entender contra quais desses perfis nossa organização deve se proteger, qual a probabilidade de cada um deles atacar e que impacto teriam precisamos examinar todos esses atributos no contexto de nossa organização, seus valores, práticas e operações.
Quer aprender mais sobre como a cultura de segurança deve ser implantada? Conheça nosso curso de devsecops e se torne um especialista no assunto!
Newsletter HNZ
Fique por dentro de nossos conteúdos se cadastrando na nossa newsletter semanal! Clique aqui!
