A paella da avaliação em cibersegurança
Poucos pratos espanhóis são tão emblemáticos quanto a paella, que tem suas raízes na região de Valência. Originalmente comida de camponeses, era preparada nos campos com ingredientes locais e com o que a terra oferecia. Assim como a sociedade evoluiu, este prato também se desenvolveu até se tornar um símbolo da gastronomia espanhola e uma iguaria apreciada por todos.
Deixaremos para outra ocasião os debates apaixonantes sobre como preparar a paella: o tipo de arroz adequado, os ingredientes “permitidos”, com ou sem “socarrat” (arroz tostado no fundo da paella), etc. Vamos focar no essencial: a paella combina diversos ingredientes para criar algo delicioso. Qual a relação com a cibersegurança? É simples: o processo de avaliação de segurança também mistura diversos elementos para proteger a infraestrutura de TI.
Usamos esta analogia com base em nove pontos de atrito recorrentes entre equipes técnicas e clientes, detectados por nossa experiência no setor, que se repetem sempre que há serviços como escaneamento de vulnerabilidades e pentests. Esses atritos muitas vezes resultam de falhas de comunicação, levando a mal-entendidos e atrasos no trabalho. São desafios comuns em todo o setor de cibersegurança e compliance. Hoje vamos acabar com essa desconexão entre cliente e fornecedor com algo tão espanhol e universal quanto a paella.
O habitual em uma boa paella é desfrutá-la em reuniões familiares e festividades, pois é um prato que promove a comunidade e o ato de compartilhar. É uma ótima oportunidade para uma conversa fluida e amigável ao redor de uma mesa com um projeto gastronômico coletivo. O mesmo vale para equipes de cliente e fornecedor, onde a conversa é essencial para promover colaboração e eficiência. Tudo isso reflete um espírito de projeto compartilhado: trabalhar juntos para fortalecer a infraestrutura tecnológica de uma organização.
Na BOTECH, elaboramos um manual de pré-requisitos compartilhado com nossos clientes no início de cada avaliação de segurança. Para tornar isso acessível a todos, usamos os 9 pontos de atrito como ingredientes da nossa paella particular. Vamos conferir quais são esses 9 ingredientes que nos permitirão ser verdadeiros chefs da avaliação em cibersegurança.
O primeiro ponto de atrito entre departamentos é a definição clara e detalhada de sistemas, aplicações, redes, dispositivos e demais recursos tecnológicos a serem avaliados. É crucial especificar quais ativos estão incluídos, sua localização e como se interconectam para garantir uma cobertura completa e eficaz.
Na nossa analogia, o arroz é a base da paella, assim como o alcance e inventário de ativos é a base de qualquer avaliação de segurança, sustentando todos os outros componentes.
Não se deve iniciar uma avaliação sem uma representação visual da rede da organização, mostrando como os dispositivos se comunicam, o fluxo de dados e as portas utilizadas. Esse diagrama é essencial para entender a estrutura da rede e planejar testes de segurança.
O equivalente na paella é o caldo, que dá sabor e une os ingredientes, assim como o diagrama conecta e contextualiza os componentes da infraestrutura de TI.
Essas regras constituem as políticas configuradas em firewalls e roteadores que regulam o tráfego permitido ou bloqueado na rede. Compreendê-las é fundamental para avaliar a segurança e identificar vulnerabilidades.
Na paella, o açafrão é essencial para dar cor e sabor, assim como as regras definem o “tom” e a segurança da rede.
Este ponto refere-se à capacidade de se conectar e interagir com os sistemas avaliados, incluindo criação de contas, implementação de MFA, configuração de VPNs etc. Esse acesso é necessário para avaliações eficazes.
Assim como o frango é um ingrediente principal que dá substância ao prato, o acesso adequado é essencial para testes eficientes.
Uma Jump Box é um sistema seguro que atua como ponto intermediário entre o usuário e os ativos da rede, enquanto a VPN garante um canal seguro para acesso remoto. Equipes técnicas devem conhecer esses sistemas para avaliações seguras.
Na paella, o coelho adiciona uma camada extra de complexidade e sabor, assim como segurança e conectividade adicionais.
Este questionário avalia o cumprimento dos requisitos de segurança de dados PCI DSS em ambientes hospedados na AWS. Nem sempre é necessário, mas se for, a equipe técnica precisa conhecê-lo.
Assim como a vagem adiciona frescor e cor à paella, o questionário garante padrões atualizados e relevantes de segurança.
O ambiente de dados de crédito (CDE) inclui sistemas, redes e aplicações que processam, armazenam e transmitem dados de cartões, focando em segurança e proteção.
São elementos críticos que devem chamar atenção, como o camarão em uma paella.
O pimentão decora e distingue visualmente a paella, assim como a distinção de ambientes ajuda a organizar a infraestrutura de TI.
Por “distinção” entendemos diferenciar claramente ambientes PCI e não PCI, assim como produção e pré-produção, garantindo medidas adequadas para cada ambiente.
Processo de definir e documentar os ranges de endereços IP e outros identificadores de rede, incluindo sub-redes de desenvolvimento, produção e administração.
Na paella, o limão é adicionado no final para ajustar o sabor, assim como a identificação de ranges permite ajustes finais e personalização na avaliação de segurança.
Prontos para saborear? Agora que sabemos os ingredientes, basta ligar o fogo e seguir, passo a passo, a receita abaixo.
Seguindo esses passos, que refletem os componentes críticos da avaliação, temos uma "paella da cibersegurança" completa e eficaz, garantindo proteção da infraestrutura de TI.
Agora é só sentar à mesa, servir conforme preferência e brindar por uma experiência mais segura e eficiente.