Ir para o conteúdo principal

Por que razão a transparência constitui um alicerce para a confiança na cibersegurança

7 minutos de leitura
etiquetas:
escrito por:
A transparência constitui um alicerce para a confiança na cibersegurança

Um sábio disse uma vez: "quantas mais pessoas convidar para a sua casa, mais arrumada fica". É possível aplicar facilmente o mesmo princípio de abertura ao mundo dos negócios. Quanto mais transparente for uma organização, em termos de processos e cultura, mais disciplinada é provável que seja nas suas operações.  A transparência é a base para criar confiança entre fornecedores, clientes e parceiros, e isto torna-se ainda mais evidente em relação à cibersegurança. Aqui, exploramos os fatores fundamentais que proporcionam essa transparência e, com ela, confiança.

O indispensável para uma abordagem transparente à cibersegurança

Os riscos e as potenciais consequências dos ciberataques e das violações de dados estão, com toda a razão, no topo da agenda de qualquer organização. As empresas e as instituições públicas de todos os setores já não estão dispostas a receber reclamações dos fornecedores relativamente à segurança dos seus produtos e soluções. Na realidade, são vários os países e regiões em que a legislação exige que se tenha um maior conhecimento da segurança dos produtos e serviços utilizados na respetiva organização.

A ideia de que ocultar os detalhes e o funcionamento de um sistema é a melhor forma de melhorar a respetiva segurança, muitas vezes referida como "segurança através da obscuridade", foi largamente desacreditada. O Instituto Nacional de Normas e Tecnologia (NIST) dos EUA indica que "a segurança do sistema não deve depender da confidencialidade da implementação ou dos seus componentes".

As informações sobre as práticas de segurança de um fornecedor de tecnologia são um elemento determinante para a realização de avaliações de risco do fornecedor. Estas analisam o potencial impacto que os produtos de um fornecedor podem ter na rede e nos sistemas ligados do cliente e determinam se o fornecedor tem implementadas as medidas adequadas para mitigar os riscos. 

Por isso, os clientes exigem plena visibilidade de todos os aspetos da abordagem de um fornecedor que visem apoiar a máxima segurança do produto e mantê-la ao longo do ciclo de vida do mesmo. Esta exigência de transparência deve ser acatada, pois é fundamental para determinar se os produtos de um fornecedor conseguem suportar a própria postura de segurança de um cliente e para criar confiança entre fornecedores, parceiros e clientes. 

As múltiplas vantagens da transparência 

Quando um fabricante de tecnologia é transparente sobre as suas práticas de segurança, demonstra fundamentalmente um compromisso em garantir a segurança do produto. Isto inclui divulgar as funcionalidades e definições de segurança que permitem que os clientes utilizem os produtos da forma mais segura possível para proteger os seus próprios sistemas e dados.  

A transparência também permite uma colaboração e uma partilha de informações mais eficazes com clientes e parceiros, permitindo-lhes resolver rapidamente quaisquer vulnerabilidades de software recentemente descobertas. 

Além disso, a transparência ajuda os fabricantes e os clientes a aprenderem com incidentes de segurança passados e a melhorarem as respetivas posturas gerais de segurança. As decisões informadas podem ajudar a evitar futuros incidentes e a garantir a proteção contínua dos dados e das informações dos clientes.

Ultrapassar os requisitos das certificações de cibersegurança

Neste contexto, as normas e certificações da indústria podem fornecer uma garantia útil do compromisso de uma empresa com a cibersegurança básica. Claramente, quando essas certificações são exigidas por lei, os fornecedores têm de demonstrar a sua adesão às mesmas. Também são valiosas ao estabelecer uma linha de base que possa ser contratualmente vinculativa quando as empresas fizerem negócios umas com as outras para prestar serviços aos seus clientes. Os clientes também podem utilizar provas de certificações durante o processo de aquisição para garantir que os fabricantes cobrem os requisitos mínimos. 

No entanto, deve ser evitada a utilização de certificações como "bala de prata" para demonstrar uma abordagem abrangente à cibersegurança. As certificações atestam uma segurança de base mínima num momento específico em que as empresas aderem às mesmas, independentemente de se tratar de segurança da informação corporativa (ISO 27001, vários regulamentos de exportação de cibersegurança, etc.) ou de certificações de segurança focadas no produto (FIPS 140, ETSI EN 303.645 e várias outras normas específicas do país)

Além disso, as normas e certificações por natureza podem ser muitas vezes abrangentes para cobrir indústrias específicas e os respetivos casos práticos de utilização e, por isso, nem sempre são relevantes para casos de utilização especializados. Por exemplo, a IEC 62443 foca-se especificamente em sistemas de automatização e controlo industriais, que são menos relevantes para a segurança física.

Do ponto de vista comercial, as certificações e a adesão às normas podem correr o risco de serem utilizadas como uma funcionalidade de caixa de verificação e uma estratégia para ganhar vantagem competitiva durante os processos de aquisição, com o intuito de recolher o máximo de certificações possível para reforçar a aparência de uma "boa" posição de cibersegurança. Este é especialmente o caso se os requisitos padrão e técnicos estiverem "bloqueados" após a compra e não estiverem disponíveis gratuitamente para o público. 

Por fim, os avanços em tecnologia, processos e produtos costumam ser muito mais rápidos que o processo de normalização, o que significa que os fabricantes que confiam apenas na certificação irão deixar de conseguir acompanhar as inovações em tecnologia. Por exemplo, possuir a encriptação de rede IEEE 802.1AE MACsec em produtos reforça significativamente a comunicação de rede, mas a tecnologia ou as melhores práticas de utilização de MACsec para proteger redes não estão especificadas nas normas atuais.

Resumindo, apesar de as certificações e normas terem algum valor, devem ser consideradas como uma linha de base e não um alvo, e como complementares às atividades mais amplas de um fornecedor relacionadas com a cibersegurança. 

Procurar provas de transparência

Ao analisar fornecedores, existem algumas provas óbvias que demonstram um compromisso com a transparência no desenvolvimento de produtos e software e em todo o ciclo de vida do produto em relação à cibersegurança. Estas incluem:

  • Fornecer aos clientes informações sobre as atividades e medidas de segurança empreendidas ao longo do ciclo de vida de um produto, desde as fases de desenvolvimento, produção e distribuição, até à implementação, colocação em funcionamento e desmantelamento. Estas informações também devem incluir a forma como a  própria cadeia de distribuição do fornecedor está protegida.   
  • Publicação de políticas e práticas de segurança para o desenvolvimento de produtos e a abordagem do fornecedor à segurança interna da empresa. A implementação de um conjunto de políticas e procedimentos claros e públicos para proteger os dados e as informações dos utilizadores demonstra o compromisso da empresa com a segurança e a responsabilidade.  
  • Realização regular de avaliações e auditorias de segurança independentes para ajudar a identificar e a dar resposta a potenciais vulnerabilidades de segurança, bem como a fornecer aos clientes a garantia de que a empresa está a levar a segurança a sério. Estas podem estar relacionadas com avaliações ao nível da organização, como avaliações da norma ISO/IEC 27001, ou ao nível de um produto específico, como testes de penetração de terceiros.
  • Fornecimento de produtos que tornem tecnicamente simples para terceiros, organizações e autoridades avaliarem a postura de segurança dos produtos. Isto inclui não encriptar o software do dispositivo ou outras atividades para suportar a "segurança através da obscuridade". Também é essencial o fornecimento de uma lista de materiais de software (SBOM), que descreve os "ingredientes" que compõem cada parte do software. A SBOM detalha todos os componentes de código aberto e de terceiros presentes num software, as licenças que regem esses componentes, as versões dos componentes utilizados no software e o estado de quaisquer correções necessárias para manter a segurança.
  • Transparência na comunicação de incidentes de segurança quando estes ocorrem, tanto em relação à organização do fornecedor, como aos seus produtos. Os fornecedores devem ter implementada uma política de gestão de vulnerabilidades clara. Isto garantirá comunicações sobre a natureza do incidente, como foi inicialmente descoberto, os passos realizados para responder às vulnerabilidade (incluindo as ações requeridas pelos clientes) e as ações realizadas para evitar futuros incidentes.
  • Fornecer aos clientes e parceiros atualizações regulares sobre a postura de segurança da empresa. A informação sobre quaisquer alterações nas políticas ou práticas de segurança não só os ajuda a manterem-se informados, como, mais importante, permite que atuem rapidamente para proteger os seus próprios produtos, serviços e processos. Além disso, permitir que os clientes e parceiros subscrevam um serviço de notificação de segurança dá-lhes a oportunidade de responder oportunamente a problemas relacionados com a segurança.
  • O facto de incentivar ativamente a que clientes e investigadores comuniquem potenciais vulnerabilidades de segurança que descubram ajudará a empresa a identificar e a dar resposta a potenciais problemas antes que os mesmos possam ser explorados. Fazer parte do programa CVE para divulgar ID CVE e também estabelecer um programa de recompensa por erros demonstra a maturidade da cibersegurança e a transparência do fornecedor, bem como a confiança nos seus processos de desenvolvimento seguros. 
  • Apoiar os clientes num processo pró-ativo de gestão do ciclo de vida do produto, permitindo-lhes planear o desmantelamento e a substituição do produto. Fundamental para isto é especificar o mais cedo possível a data de fim de suporte para o software do dispositivo, idealmente logo após o lançamento do produto.  

Todos os fornecedores devem comprometer-se a fazer tudo o possível para fornecerem produtos que suportem os requisitos de cibersegurança de um cliente. As certificações e normas só servem até certo ponto. A transparência é essencial. As práticas e políticas publicadas, as avaliações e auditorias de segurança independentes regulares e as divulgações abertas sobre incidentes de segurança são formas mais fiáveis de criar confiança no compromisso de um fornecedor com a proteção de dados e o fornecimento de produtos com uma forte cibersegurança.

Pode obter aqui mais informações sobre a nossa abordagem à cibersegurança.

Andre Bastert

Andre Bastert é Global Product Manager na Axis Communications. É responsável pela plataforma de software AXIS OS que é utilizada nos dispositivos de rede da Axis. Andre foca-se em tudo o que diz respeito à cibersegurança, à integração da infraestrutura de TI/segurança e à vertente de gestão do ciclo de vida do software dos nossos produtos. Andre iniciou a sua carreira na Axis em 2014, nos serviços técnicos. Antes de assumir o seu cargo atual, trabalhou como especialista de produto para as câmaras PTZ e o AXIS OS. Quando não está a trabalhar, Andre passa tempo com a sua família e gosta de fazer renovações, num verdadeiro espírito de bricolagem.

Andre Bastert
To top