Introdução

O inventário de Ativos bem gerenciado ajuda a ter uma visão holística da segurança do seu ambiente.

Ativo é o termo básico utilizado para expressar tudo aquilo que pode trazer um risco cibernético à empresa.

Inventário é uma relação de ativos pertencentes à organização.

Cuidar do inventário de ativos é um trabalho complexo, devido ao número e tipos diferentes de ativos existentes, que profissionais encarregados de levantar este inventário sofrem devido a disponibilidade de tempo para realização do mesmo, com cadastramento errado, perda de informação, gerando problemas comuns que acarretam prejuízos financeiros.

Assim se faz necessário realizarmos este inventário de ativos de uma forma segregada e coerente de acordo com cada tipo do ativo, para que tenhamos uma melhor visibilidade e informações relevantes para o manuseio dos mesmos, assim podendo realizar uma gestão de melhor qualidade.

No GAT Core realizamos este inventário de uma forma segregada, para que o entendimento destes ativos sejam separados por tipo.

Classificação de Ativos

Realizamos esta segregação conforme a necessidade de visualização das organizações, classificando a criticidade e agrupamento de forma inteligente, para nos proporcionar agilidade na tomada de decisão em áreas específicas da organização, diminuindo assim a janela de exposição destes ativos.

Criamos a classificação conforme a necessidade de tratativa, segregando os ativos tecnológicos em três tipos, que seriam os equipamentos de nossa infraestrutura computacional, aplicações web e instâncias que estejam em um serviço de nuvem.

Também criamos a segregação voltada aos recursos humanos que integram nosso sistema de produção, as pessoas e empresas fornecedoras de serviços, que nos ajuda à alcançar o que desejamos entregar como resultado, a segregação voltada ao processo, que seria adotado para realização da produção de determinando serviço ou produto.

Infra

Todo e qualquer dispositivo tecnológico que possua um IP (Internet Protocol) e esteja conectado diretamente à organização, é visualizado pelo GAT Core como um Ativo do tipo "Infra".

Sendo assim, quando o GAT Core obtém as informações referente à estações de trabalho, servidores, mobiles, ou qualquer dispositivo de rede, o mesmo segrega estes ativos, os classificam pela sua severidade e score de risco existente dentre nosso ambiente organizacional, podendo agrupa-los e obtendo visão micro ou macro da situação, e onde podemos agir de melhor maneira e com maior precisão.

Estas informações de ativos tecnológicos referente a infra, podem popular o GAT Core através da importação de planilhas que já possuímos, onde já realizamos os controles destes ativos, realizando um upload de resultado de Scanner, com os ativos escaneados pelo software de scan, criar ativos manualmente um a um, ou criarmos uma integração com ferramentas que nos disponibilize estes inventário de ativos para que possamos gerencia-los.

Aplicação Web

Possuímos a segregação voltado a "Aplicação Web", para que possamos mensurar vulnerabilidades existentes nas mesmas, assim podendo visualizar possíveis vulnerabilidades em nossa aplicação, possibilitando uma ação pró-ativa em suas vulnerabilidades, para que não se transforme em uma possível ameaça, e tenhamos que trabalhar sobre ações corretivas.

Executando passo coerentes voltados aos ativos de aplicações web, diminuímos a janelas de exposição, e consequentemente possíveis ameaças, assegurando a confiabilidade, disponibilidade e integridade desta aplicação.
Para incluirmos esse tipo de ativo no GAT Core, podemos realizar Scanners de vulnerabilidades web, onde teremos como dado principal a URL analisada, e suas vulnerabilidades, também possibilitamos a criação do ativo manualmente, importar uma lista com os mesmos, ou integrar com ferramentas de scan web.

Pessoa


Os ativos do tipo "Pessoa", são relacionado aos recursos humanos que compõe e produzem à organização.
Realizando análise de vazamento de e-mails através do Have I Been Pwned, conseguindo verificar quais pessoas ou áreas necessitam de conscientização para uso da internet, ou realização de campanhas anti-phishing, para podermos ter uma maior conscientização de vazamento de e-mails de nossos colaboradores.

Podemos exportar nossa lista de usuários do Active Directory e importarmos ao GAT Core para realizar o gerenciamento de vulnerabilidades existentes nos e-mails dos usuários ou criarmos os ativos manualmente para essa análise ser realizada.

Empresa

Podemos gerenciar os ativos do tipo "Empresa" para conseguimos mensurar o quanto as empresas ou nossa própria empresa, possui de maturidade em seu programa de segurança da informação, para que não tenhamos nenhum imprevisto na entrega do produto final, onde dependa destes fornecedores de serviços que compõe nosso produto final.
Podemos conhecer melhor estas empresas através de nossos checklist, enviando avaliações para que estes fornecedores respondam, e assim gerenciar informações em tempo real, referentes a controles implementados, em implementação ou não implementados destes terceiros.

As empresas que prestam os serviços possuem um score de risco, que nos faz avalizar se deveríamos aceitar ou não sua composição ao nosso produto final e demonstrar através de métricas o quão necessário é, para aquela empresa tornar-se parte prestadora de serviço de nossa organização e assim ter maior credibilidade em segurança da informação na prestação de serviços.

Processos

A gestão do ativo do tipo "Processo", visa encontrarmos possíveis apontamentos de segurança da informação que poderiam ser uma falha em determinando processo, e assim o mesmo não alcançar o resultado esperado de acordo com o planejado.
Visando isto, o GAT Core realizar esta gestão para que tenhamos um processo bem definido e conseguimos agir pró-ativamente diante de possíveis apontamentos, para que o processo não seja interrompido devido uma ameaça existente em determinado momento.

Este ativo do tipo processo pode ser inserido manualmente ou através de importação de ações relacionadas ao processo em si, criando uma maior visibilidade de risco sobre ele.

Nuvem

Temos através do GAT Core a disponibilidade de gerenciar nossas instancias em "Nuvem", para podermos ter visualização de possíveis janelas de exposição em nossos ativos, que seriam nossas aplicações alocadas em servidores remotos.

Podemos gerenciar as instancias EC2 da AWS integrando ela ao GAT Core.
Assim diminuindo as chances de uma possível ameaça em uma instancia de proveniência de serviços, mantendo a disponibilidade destas informações com maior maturidade ao negócio, visando sempre a continuidade e ação pró-ativa caso encontrado uma possível vulnerabilidade em sua Cloud.

Encontrou sua resposta?