Seu programa de gerenciamento de vulnerabilidade está pronto para 2009?
Priorização sempre foi fundamental em TI, mas sua importância só é amplificada em momentos desafiadores. Está claro que o gerenciamento de vulnerabilidade deve ser posicionado de forma que permita a priorização. Isto geralmente significa estabelecer grupos de ativos para tornar a coleta de dados mais eficiente, e grupos de proprietários para facilitar relatórios relevantes e acionáveis.
Os grupos costumam ser criados dentro de limites regionais, operacionais (contabilidade, instalações) ou tecnológicos (grupo de desktop, equipe Unix). Ao se determinar a postura de segurança, os grupos de ativos devem ser alinhados com as funções do negócio, devem ter um tamanho controlável e responsabilidades bem definidas.
No caso de redução da superfície de ataque, o grupo de proprietários inclui gerentes de TI, proprietários de data center e outros profissionais responsáveis pela segurança e integridade dos sistemas. Quando o objetivo é a segurança geral da empresa, os grupos de proprietários geralmente são formados por membros da área de segurança, auditores internos e, potencialmente, unidades de negócios. Os grupos de proprietários orientados a compliance devem ser alinhados aos responsáveis em reforçar e reportar compliance.
Esta é a quarta parte da reportagem sobre gerenciamento de vulnerabilidade que o IT Web publica desde quarta-feira (19/11). Acompanhe!
* Matthew Miller, Nathaniel Puffer e Greg Shipley trabalham na Neohapsis, uma empresa de serviços e software de gerenciamento de risco de informação
Leia mais:
Confira as todas as reportagens
Passos para reduzir os riscos – primeira matéria
Passos para reduzir os riscos – O processo em funcionamento
Passos para reduzir os riscos – A integração de coleta de dados
Passos para reduzir os riscos – Continue refinando (a partir de 25/11)
