A má diligência é aquela que não se faz… O que sabem seus fornecedores de produtos ou serviços de segurança?

A dívida de diligência o “due diligence" é um processo financeiro, técnico, administrativo e jurídico que se refere a um processo de investigação e análise exaustiva que se realiza antes de levar a cabo uma transação comercial importante. Seu objetivo principal é avaliar as informações e os dados relevantes para tomar decisões informadas e mitigar os riscos associados à operação.

Quando me ofereci para escrever este blog, não tive uma ideia clara do que poderia abordar nesses párrafos, sem embargo, dada a quantidade de brechas de segurança (quando um ataque resultou no robô de informação) provocadas por produtos e serviços de terceiros , considere que é importante levar a sério o que se conhece como “Segurança da informação no relacionamento com fornecedores” (Seguridade da informação nas relações com fornecedores), tal como se descreve no ponto A.5.19 dos controles ISO 27002. Este controle específico estabelece o processo de “due diligence” da seguinte maneira: “Os processos e procedimentos deverão ser definidos e implementados para gerenciar os riscos de segurança das informações associadas ao uso dos produtos ou serviços do fornecedor.” (por exemplo, mediante análise de mercado, referências de clientes, revisão de documentos, avaliações in situ, certificações, vulnerabilidades, ciclo de desenvolvimento de produtos, etc).

Acho que existe uma busca de informações sobre como levar a cabo essas avaliações, principalmente devido ao fato de que estamos sujeitos à narrativa fornecida pelos fabricantes. Uma forma que podemos ajudar no primeiro momento é compreender o ciclo de desenvolvimento de um produto e toda a operação que está além dele. Na verdade, quando estamos disponíveis para adquirir um produto que vem em hardware, não há maior diferença entre a parte física, se formos honestos, o produto real é o código, sem o software, esse hardware não seria mais do que um pisapapeles. No campo da cibersegurança, há um processo chamado “Segurança do Produto” (Seguridade do produto), que tem como objetivo “garantir que os produtos e serviços desenvolvidos pela empresa para seus clientes externos cumpram os objetivos de confidencialidade, integridade e disponibilidade”.  

A pergunta que eu deveria fazer é a seguinte: Quais informações você deve conhecer da empresa que desenvolve um produto e/ou solução? Nas próximas linhas você faz algumas pautas:

1. Tem um CPSO (Diretor Chefe de Segurança de Produto). O objetivo principal é garantir que a segurança seja uma prioridade em todo o ciclo de vida do produto e que os clientes possam confiar na integridade e segurança dos produtos que utilizam. Esta pessoa tem um objetivo diferente de um CISO, um argumento de que “temos um CISO” não é válido para o objetivo de “due diligence” que estamos executando.
2. Fale com a empresa com um PSIRT (Equipe de Resposta a Incidentes de Segurança de Produto). Esta equipe se encarrega de abordar de forma proativa e reativa os problemas de segurança que podem afetar os produtos ou serviços que estão sob sua responsabilidade.
3. Você tem um programa de “Bug Bounty” implementado? É crítico que terceiros testem a segurança do produto a partir de uma visão de um atacante, o que não sabe como se desenvolve o produto. Como posso saber se meu chaleco antibalas é bom se não o testar?
4. Quais certificações de segurança foram obtidas? Por exemplo: Common Criteria (ISO/IEC 15408), FIPS 140-2, Trusted Platform Module (TPM). No caso de serviços SaaS: SOC2, GDPR, CSA STAR, FedRAMP.

O próximo ponto é validado como o fabricante a nível de vulnerabilidades, aqui temos que ser claros no próximo, há produtos para massas e produtos para empresas, porque não há uma comparação que valga neste caso. A forma mais fácil de fazer esta investigação é através de portais como https://www.cvedetails.com/ , o que é potencializado por “Cartão de pontuação de segurança”que é uma empresa que faz avaliações de risco de terceiros. Qual é a informação de interesse desta página?:

1. Os 50 melhores do ano de 2023. (https://www.cvedetails.com/top-50-vendors.php?year=2023)
2. Os 50 melhores históricos. (https://www.cvedetails.com/top-50-vendors.php)
3. Vulnerabilidades com pontuação >9. (Vulnerabilidades críticas)

É de vital importância considerar que não se trata simplesmente de aplicar “correções” (correções) ou atualizar o Sistema Operativo, nos toca rezar para que isso não se converta em uma amenaza à operação, devido à perda de disponibilidade dos serviços causados devido a um mau funcionamento após a atualização. É essencial ter em mente a continuidade operacional em todo momento.

Caso não haja elementos suficientes para tomar uma decisão, você pode considerar como o mercado considera a solução, o produto ou o serviço. A estratégia de “Melhor da Raça” é uma excelente opção, a misma busca identificar e adquirir as melhores soluções individuais em cada categoria ou departamento, mesmo fornecendo fornecedores diferentes. Cada solução é eleita por sua excelência em seu campo particular e se integra a outras aplicações e sistemas existentes para formar uma suíte completa e coesa

Por último e não menos importante é a avaliação da empresa que fornece ou implementa o produto ou serviço. Existe uma diferença significativa entre uma empresa que se dedica a vender até os elementos mais básicos, como brincos, e uma empresa que se especializa em uma vertical de tecnologia. As empresas que se dedicam a uma vertical são altamente especializadas e, em cibersegurança, têm especialistas que atendem desde os aspectos administrativos até os técnicos. Alguns dos pontos de avaliação para os integradores tenemos:

1. Certificações Agnósticas da Indústria: ISC², ISACA, CSA, etc.
2. Certificações técnicas dos produtos.
3. Quais soluções de proteção de seu portfólio são utilizadas para proteger seus sistemas e informações? Lembre-se da casa de herrero, cuchillo de palo.
4. Anos de experiência entregando serviços de segurança agnósticos e técnicos.

Espero que esses pensamentos e análises sejam úteis no processo de avaliação de tecnologias ou serviços para alojar, processar ou proteger seus dados. No final, o que buscamos é manter-nos afastados do adágio de Robert Muller, ex-diretor do FBI: “Há dois tipos de empresas: as que foram pirateadas e as que serão”. Que não foi devido a um terceiro, que sua organização ou empresa está entre essa categoria.