Ao passo em que as Organizações ganham produtividade e competitividade por meio de novos processos baseados em tecnologia digital, essas também se expõem mais e mais a ameaças oriundas do ciberespaço. Naturalmente, instituições públicas e privadas modernas intensificam a governança também dos inerentes riscos tecnológicos e cibernéticos aos quais estão submetidas.
Neste caminho de maturidade organizacional, os Líderes precisam se familiarizar com os princípios da cibersegurança, e podem contam com valiosas orientações que os permitem agir com eficácia na implementação de maior resiliência para suas empresas na era digital.
Visto que a transformação digital é talvez o mais crucial componente de uma estratégica de gestão de vanguarda, mitigar os riscos decorrentes de uma maior exposição cibernética, que atacam a operação e a reputação das instituições e seus ecossistemas de negócio, os gestores precisam contar com o aparato e as referências corretas para atender às exigências do ambiente contemporâneo. O suporte adequado assegura, aos vários níveis de gestão da organização, fluxos com informação precisa, relevante e tempestiva a respeito de ameaças, permitindo aos líderes analisar e gerir adequadamente esta nova fronteira de riscos.
As novas Siglas para a Governança na era digital
Aqueles que estejam envolvidos de alguma forma em programas de gestão de vulnerabilidades de uma organização, provavelmente já se depararam com os termos CVE, CVSS, e NVD. Cada um destes é diferente dos demais, e tem seu papel na análise diagnóstica e na gestão de vulnerabilidades. Vamos conhecê-los a seguir:
Definindo CVSS, CVE e NVD
- CVSS – do inglês “Common Vulnerability Scoring System” – CVSS (Sistema Comum de Ranqueamento de Vulnerabilidades) é um sistema amplamente utilizado em programas de gestão de vulnerabilidades cibernéticas. O CVSS indica o grau de severidade (“score”) de uma vulnerabilidade de segurança da informação, e é um componente integral de várias ferramentas de varredura e escaneamento de vulnerabilidades (vulnerability scanning).
- CVE – do inglês “Common Vulnerabilities and Exposures” – CVE (Vulnerabilidades e Exposições Comuns) é uma lista mantida pelo MITRE contendo vulnerabilidades e exposições publicamente divulgadas.
- NVD – do inglês “National Vulnerability Database” – NVD (Base de dados Nacional de Vulnerabilidades) é uma base de dados mantida pelo NIST, de forma sincronizada com a lista CVE do MITRE.
Diferenças entre CVSS e CVE
CVSS é o grau de severidade atribuído a uma determinada vulnerabilidade. CVE é simplesmente uma lista com todas as vulnerabilidades publicamente divulgadas que inclui os campos CVE ID (identificação), descrição, datas, e comentários. A severidade CVSS (score) não é apresentada na lista CVE – e o interessado deve utilizar o registro NVD correspondente para encontrar os graus de severidade atribuídos a cada CVE pela CVSS.
Diferenças entre CVE e NVD
A lista CVE alimenta a base NVD, estando ambas, portanto, sincronizadas a todo momento. A NVD provê informações aprimoradas às encontradas na lista CVE, incluindo disponibilidade de correções (“patches”) e graus de severidade. A NVD também oferece um mecanismo mais fácil para buscas com ampla gama de variáveis. Ambas CVE e NVD são patrocinadas pelo governo dos Estados Unidos e estão disponíveis gratuitamente aos interessados.
O grau de severidade CVSS consiste de três grupos de componentes – Métricas Básicas, Métricas Temporais, and Métricas Ambientais. A base NVD inclui todas as vulnerabilidades publicadas, e traz um grau de severidade CVSS correspondente. Este grau de severidade é, tipicamente, resultante apenas de métricas básicas. Apresentado apenas como grau CVSS (score), o fato de ser reportado apenas compreendendo 1 dos 3 grupos de métricas pode gerar enganos.
Governança com Monitoramento da Superfície de Ataque
Dado o aparato de métricas transparentes acima, bem como outros complementares existentes para segmentos específicos, os instrumentos de governança ganham maturidade e linguagem harmonizada para as questões cibernéticas.
Os gestores podem agora utilizar serviços preemptivos que fazem o monitoramento eventual (check-up) ou contínuo de todos os seus ativos digitais, obtendo indicadores de risco, aferições de conformidade, apontamento de vulnerabilidades, e até mesmo avaliações de exposição financeira decorrente da superfície digital exposta ao ataque na sua empresa.
Com essa evolução, denominada Prontidão Cibernética, as organizações saem de uma condição passiva de resposta a incidentes, para uma nova postura de defesa ativa, escaneando ameaças e mitigando vulnerabilidades antes que essas gerem danos à instituição.