Get best of the week

Aprimorando a cultura de segurança da informação nas empresas de fintech

imagem

As empresas modernas exigem uma abordagem especial à segurança da informação. O departamento de segurança da informação deixa de ser apenas um supervisor e controlador, começa a conversar ativamente com as pessoas e se torna um participante de pleno direito nos processos de negócios.

A empresa Exness fintech tem mais de 70.000 clientes ativos mensais em todo o mundo, e todo o negócio está online. Os dados são nosso principal ativo e condutor, portanto, a proteção das informações é a prioridade número 1.

Exness emprega mais de 500 pessoas. Cerca de 150 estão empregados em P&D e TI, muitos funcionários de suporte técnico, gerentes de vendas, serviços antifraude e conformidade. De uma forma ou de outra, eles trabalham com dados confidenciais ou têm acesso a funcionalidades importantes, informações internas, códigos e consoles de administração. Um erro não intencional ou falta de conhecimento da equipe pode custar milhões aos negócios. Você não precisa ir muito longe para obter exemplos: as notícias estão cheias de mensagens sobre vazamentos de um servidor de armazenamento Elastic, MongoDB ou depósito S3 não seguro, geralmente causado por um fator humano.

O homem é o elo mais fraco da segurança da informação, por isso nos propusemos a melhorar a cultura da segurança da informação entre os funcionários. Compartilhamos nossa experiência do que fizemos e como avaliamos os resultados.

Dividimos a tarefa em duas direções:

  1. Melhore a compreensão dos problemas de segurança entre as equipes técnicas.
  2. Aprimore a compreensão dos problemas de segurança entre todos os funcionários, incluindo profissionais que não são de TI.

Chamaremos condicionalmente essas áreas de "organizacional" e "técnica". O trabalho na primeira direção é transmitir problemas comuns de higiene digital, ameaças modernas, contramedidas e possíveis consequências para os negócios. 

A segunda direção é mais especializada na natureza. Os especialistas técnicos devem cumprir as regras de segurança da informação durante o trabalho, além de saber não apenas por que isso deve ser feito, mas o que exatamente e como.

Objetivo - Consciência de segurança


Consciência de segurança é um conceito-chave de segurança da informação em uma empresa. Os funcionários cumprem as regras de segurança da informação se souberem, entenderem e compartilharem. 

Transmitir as regras aos funcionários é uma tarefa clara. Motivar a seguir as regras já é mais difícil. Sabemos que o uso de cintos de segurança em um carro ou a lavagem das mãos com água e sabão reduz significativamente a probabilidade de más conseqüências e o faz automaticamente, sem sofrimento moral. Como adquirir o hábito de "lavar as mãos" antes de trabalhar com dados?



A conscientização de segurança começa com a percepção de que os riscos podem ser realizados. Você, seu sistema pode realmente ser o alvo do ataque. Através da compreensão dos hábitos, a higiene digital passa a fazer parte do ambiente de trabalho e da cultura interna. Em outras palavras, os funcionários seguem as regras de segurança da informação se entenderem por que isso é necessário e quão altos são os riscos. Não há resistência interna neste caso.

Xerife ou pregador?


As empresas modernas prestam muita atenção ao conforto dos funcionários e ao seu estado psicológico. Isso significa que é bastante difícil aplicar medidas repressivas, mesmo no campo da segurança da informação: um equilíbrio deve ser mantido entre liberdade de ação e regras. Acreditamos que entender ameaças e um senso de responsabilidade por uma empresa funciona melhor do que o medo de punição. E a chave para a implementação eficaz da segurança da informação é a comunicação com os funcionários e a compreensão dos problemas de cada produto e cada equipe.

Da teoria à ação! 


Então, como nossa equipe introduz uma cultura de segurança da informação nos níveis organizacional e técnico?

Treinamento e envolvimento de funcionários


Para novos funcionários, faremos uma apresentação sobre como os processos de segurança em nossa empresa são organizados, como nos proteger dos riscos domésticos mais simples, como phishing, vazamento de senha e infecção por malware.

Para todos os funcionários, realizamos oficinas (OSINT, proteção de marca, injeções cegas de sql, pentest de máquinas de laboratório, técnicas de hackers específicas da nuvem) e fazemos apresentações em eventos internos. Treinamento interno regular e demonstrações ao vivo são muito importantes. Exemplos de exploração de vulnerabilidades típicas funcionam melhor do que longas palestras. Uma explicação sobre o que é a criptografia assimétrica, por que um token é necessário e a maneira mais fácil de usar o Vault é economizar muito tempo para as equipes técnicas.

Mini-blog sobre segurança de redes sociais corporativas


Tentamos manter um fluxo constante de mensagens da equipe do IB. Nossos colegas devem ver que sempre nos mantemos a par, aconselhamos, anunciamos inovações, tentamos interessar e atrair cada funcionário.



Mitaps regulares, troca de experiências


No telhado do nosso escritório em Limassol, além de belas vistas, há todas as possibilidades de reuniões para mais de 100 pessoas, que usamos regularmente. Duas ou três vezes por ano, reunimos especialistas e discutimos segurança de aplicativos, gerenciamento de riscos, práticas de devsecops e outros problemas. Os eventos são assistidos por funcionários da empresa e representantes da comunidade local de TI, e aqui nossa principal tarefa em termos de formação da cultura interna é mostrar que as questões de segurança da informação são interessantes e importantes.



Phishing interno


Muitos funcionários não acreditam que abrir um link ou documento possa ser prejudicial ou pouco vigilante. Realizando campanhas internas de phishing, obtemos estatísticas sobre a organização, que as pessoas cometem erros com mais freqüência, e melhoramos constantemente o programa de treinamento interno em termos de proteção contra engenharia social e phishing. Também recebemos a confirmação de que o phishing funciona.

Segurança alimentar


Para promover uma cultura de desenvolvimento seguro e uma melhor compreensão dos problemas de segurança pelos desenvolvedores, implementamos as práticas a seguir.

Nos comunicamos constantemente com equipes de produtos


Nós vamos a revisões de sprint, comitês de arquitetura, discutimos periodicamente os problemas atuais e os problemas com as equipes técnicas. Então, nos envolvemos em cada projeto, entendemos melhor a atmosfera e os relacionamentos nas equipes. Podemos fazer recomendações rapidamente (o que, por que e como proteger) e corrigir as tarefas no backlog. 

Desenvolvemos um programa externo de recompensa de bugs na plataforma HackerOne


Por mais de três anos, contratamos especialistas externos para procurar vulnerabilidades em nossa infraestrutura usando a plataforma HackerOne. Em um ano, gastamos mais de US $ 50 mil em pagamentos de remuneração, o que é um pouco comparado a possíveis perdas. Se você não possui um programa de recompensas, recomendamos que você o inicie. Por relativamente pouco dinheiro, você recebe um pagamento virtualmente infinito.

Também usamos relatórios sobre vulnerabilidades e possíveis consequências que “alguém da Internet” encontrou. Essas informações ajudam a empresa a decidir aumentar a prioridade e fortalecer os requisitos de segurança das informações em novos produtos, introduzindo verificações adicionais no nível do controle de qualidade e controles automatizados.

Estamos procurando (e localize!) Campanhas de Segurança em comandos para controle de segurança do produto local


Nas realidades modernas, ao usar modelos Scrum / Agile, é importante em cada equipe ter pelo menos uma pessoa que possa atuar como um guia para suas recomendações e "animar" a segurança do produto. Idealmente, você precisa de um conhecimento de segurança completo em cada equipe, mas nem sempre há recursos suficientes. Depois de algum tempo, o Devsecops ou o especialista em Segurança de aplicativos pode crescer com o Security Champion, portanto, é uma boa oportunidade de mudar o foco de um engenheiro ou desenvolvedor de produtos. No nosso caso, conseguimos encontrar devops e desenvolvedores que melhoraram significativamente sua compreensão dos problemas de segurança nas equipes.

Como definimos tarefas de segurança da informação para equipes de produtos


Para organizar o trabalho, usamos a metodologia OWASP ASVS em combinação com os riscos comerciais descritos. Para cada equipe, apresentamos uma lista de controles - requisitos de segurança do produto. Parece um conjunto de recomendações, nas quais cada medida de proteção corresponde ao seu próprio risco. O documento mostra claramente o que já foi concluído, o que está planejado e quais riscos, nesta fase do ciclo de vida do produto, são aceitos pelos negócios.

Assim, as equipes técnicas veem o que precisa ser feito e os riscos relevantes mostram aos negócios por que eles precisam ser feitos, quais conseqüências potenciais podem ocorrer se não forem cumpridas.  

Se algo não foi feito, acreditamos que os riscos correspondentes são aceitos e, para cada produto, elaboramos uma dívida de segurança técnica.

Um exemplo de controles e riscos relevantes:



Qual é o resultado? 


Para medir o efeito de todas as atividades, usamos indicadores que, em nossa opinião, refletem a dinâmica da penetração de uma cultura de segurança em todas as etapas da vida do produto. 

Na direção técnica de nossos esforços, usamos dois indicadores principais.

1. Índice de segurança do produto

Este é um indicador integral de duas partes. A primeira parte é uma métrica atrasada, fala sobre o nível atual de vulnerabilidade do produto. O segundo é preditivo, falando sobre possíveis vulnerabilidades no futuro. Realizando medições regulares, podemos oportunamente chamar a atenção das equipes para os problemas de um produto específico e ajudar a resolvê-los.

  • OWASP WRT — . , .
    -, . 
  • OWASP ASVS 3.0. , .
    - , . , , .

2. O resultado de um teste regular realizado por empresas externas qualificadas

Com base nos resultados dos testes de penetração externa, corrigimos as vulnerabilidades encontradas e tiramos conclusões para evitar a repetição de situações semelhantes. 
Mesmo bons resultados não nos permitem relaxar, novas ameaças e vetores de ataque aparecem todos os dias, os invasores se tornam mais inventivos.

Na direção organizacional, os resultados são mais subjetivos:

  • Recebemos mais mensagens dos funcionários sobre possíveis vulnerabilidades e incidentes do que antes. Os funcionários entendem a importância da comunicação oportuna.
  • As equipes de produto entram nos estágios iniciais do projeto e há um entendimento de que prevenir um problema é muito mais fácil do que consertá-lo.
  • , . , API, , .
  • GDPR — , , , .

?


  • ( , , , );
  • ;
  • KPI ;
  • , ;
  • Use um nível alto e comprovado de segurança do produto para obter uma vantagem competitiva.

Garantimos que um bom nível de segurança possa ser alcançado não apenas punindo, forçando e intimidando a equipe por meio de políticos e da NDA, mas também usando uma abordagem diferente - explicando os riscos, envolvendo as pessoas no processo de criação e observação das regras, estudando e levando em consideração os erros do passado.

More articles:


All Articles