Há algumas semanas, escrevi um posto no blog sobre como a ICANN gerencia seus ativos de TI e serviços digitais tendo em vista as ameaças à segurança cibernética. Também escrevi naquele momento que encarregamos uma empresa terceirizada independente reconhecida mundialmente de fazer uma auditoria anual dos controles de segurança da ICANN, e me comprometi em escrever um post no blog de vez em quando para relatar a nossa jornada.
Em Buenos Aires, muitos de vocês, membros da comunidade, se encontraram comigo e meus colegas da equipe da ICANN. Durantes esses encontros, recebemos várias sugestões, mas o tema subjacente era claro e consistente: vocês querem ver a ICANN fazendo progresso na redução de seus riscos à segurança cibernética e que a ICANN se torne mais resiliente operacional e tecnicamente.
Quando se trata de segurança cibernética, é comum abordar as avaliações de riscos utilizando uma estrutura. Existem diversas estruturas desse tipo, que são geralmente adotadas de maneira voluntária e servem como uma diretriz, e não como uma prescrição genérica, e as organizações atribuem a elas configurações personalizadas que melhor atendam às suas necessidades, situação e riscos. No entanto, depois de concluída a personalização, as estruturas oferecem práticas e prescrições para serem implementadas pelas organizações a fim de obter resultados positivos. Por fim, muitas estruturas permitem que os avaliadores atribuam algum tipo de pontuação para que as organizações tenham uma referência numérica como objetivo final.
Essa é uma característica da estrutura. Por outro lado, uma estrutura pode ser comparada a uma janela com muitos painéis. Ela utiliza os padrões, diretrizes e práticas existentes, o que ajuda as organizações a verem todos os componentes que fazem parte da sua base de riscos/ativos em um só lugar. Considerando os vários painéis, uma organização pode rapidamente ter uma exibição multifacetada da base de ativos e, por meio dessa exibição, ter uma visão abrangente de seus riscos no espaço cibernético. Isso também permite que as organizações obtenham informações detalhadas de um ou mais painéis na janela, usando um conjunto de drivers pertinentes ao contexto e às necessidades da organização. Em consequência disso, é comum as estruturas informarem as organizações sobre quais de suas atividades são mais importantes para garantir as operações e a prestação de serviços essenciais. Isso ajuda as organizações a tomarem decisões conscientes sobre onde e como fazerem os melhores investimentos, maximizando o efeito de cada dólar. Além disso, as estruturas também ajudam as organizações a se comunicarem com partes interessadas internas e externas sobre a situação da segurança cibernética e dos riscos em uma linguagem simples, compreendida por todos.
Abordagem da ICANN
Em 2014, a ICANN adotou a estrutura de Controles de Segurança Fundamentais do SANS Institute como medida de defesa cibernética. Logo após a adoção dessa estrutura, a ICANN usou os serviços da Leidos, uma empresa com reputação em auditorias de segurança cibernética. A Leidos encarregou-se de fornecer uma avaliação básica da situação da ICANN quanto à sua segurança cibernética.
Em suas próprias palavras, conforme a Leidos comunicou à equipe de gerenciamento, a ICANN está "no mesmo pé" que as típicas organizações comerciais quando começamos. Ficamos contentes pela ICANN não estar atrás, mas não estamos nada satisfeitos! Conforme escrevi antes no blog, em um avatar, a ICANN serve como um "depositório de dados" que é essencial para as operações da Internet. Nesse avatar, precisamos jogar no mesmo nível que os melhores — organizações como instituições financeiras bem conceituadas, por exemplo.
Com o apoio oportuno da Diretoria de recursos e uma compensação adequada de prioridades, o departamento de TI começou a examinar rigorosamente algumas áreas que precisavam de atenção. Em decorrência disso, nos últimos 12 meses, muitos aspectos da defesa cibernética da ICANN foram analisados com lupa, e esforços para impulsionar ou remediar foram implementados em áreas específicas que mereciam maior atenção. Fizemos um progresso notável em diversas áreas, como software aplicativos, treinamento, controles de acesso e avaliações de segurança.
Tenho a satisfação de comunicar que, conforme planejado, a Leidos realizou sua auditoria anual de maio a junho deste ano, e recebemos o relatório da auditoria recentemente.
Destaques do relatório de auditoria de 2015 da Leidos
Felizmente, em praticamente metade dos 20 fatores medidos, a ICANN está em uma zona VERDE. Outro fato também importante é que a ICANN não está na zona VERMELHA em nenhuma dimensão. De acordo com a Leidos, "a ICANN melhorou drasticamente sua segurança cibernética no último ano, refletindo o compromisso da liderança de resolver as preocupações referentes à segurança cibernética e estabelecendo-se como líder nesse espaço". Olhando mais adiante, a Leidos prevê que até o ano que vem, após a conclusão do roteiro atual, a ICANN estará no mesmo nível de organizações mundiais.
No cenário inconstante da segurança cibernética, alcançar excelência não é um destino, é uma jornada sem fim. E estamos comprometidos com essa jornada. Demos alguns passos na direção certa, temos um roteiro claro e estamos a caminho.
Como sempre, estou à disposição pelo e-mail Ashwin.Rangan@icann.org aprofundarmos a discussão.
