Diga isso aos Fuzileiros Navais: Princípios de Liderança e Segurança de Redes
É depois do horário de trabalho de uma sexta-feira. Você está falando com um funcionário remoto através da instalação de um firewall de última geração. Nenhum tráfego está passando pela rede e agora você está preso no projeto até que ele seja consertado. As janelas de manutenção fora do horário de trabalho nos finais de semana em nome da melhoria da postura de segurança cibernética podem ser alguns dos projetos de alto stress, alto risco e baixo risco de baixa moral empreendidos por uma organização. No entanto, o risco e o stress podem ser reduzidos aplicando a metodologia de planeamento utilizada pelos Reservists do Corpo de Fuzileiros Navais dos Estados Unidos (USMC). Os conceitos de planejamento do USMC podem ser facilmente adaptados aos projetos de cibersegurança, aumentando as chances de sucesso.
O planejamento tático do USMC concentra-se na aplicação de seis etapas de liderança de tropas. Esta é a abordagem fundamental que os fuzileiros utilizam para todas as operações. Os fuzileiros têm usado estes passos (conhecidos pela sigla BAMCIS) para planejar desde o Baile de Aniversário anual do Corpo de Fuzileiros no dia 10 de novembro até um ataque a um ninho de atiradores inimigos. BAMCIS é um acrônimo para: Iniciar o planeamento, organizar o reconhecimento, fazer o reconhecimento, completar o plano, emitir a ordem e supervisionar, e é um princípio fundamental da liderança do Corpo de Fuzileiros Navais. O objetivo do BAMCIS é reunir informações, fazer um plano, executar e garantir o sucesso da missão.1
Usando a instalação de um firewall de próxima geração como cenário ilustrativo, vamos caminhar através destes passos de liderança de tropas e identificar como eles podem melhorar as chances do equipamento trabalhar fora da caixa e diminuir as chances de passar um fim de semana inteiro de solução de problemas.
Passo 1: Iniciar o Planejamento
Análise de missão (ou planejamento de projeto) começa aqui. O dia em que a luz verde é dada é o dia em que o planejamento deve começar: Determinar quanto tempo a infra-estrutura paralela terá de permanecer no local. Identificar que recursos serão necessários durante as migrações a quente. Quantificar o impacto que a nova infraestrutura de segurança de rede terá sobre os usuários da organização. Prepare muitas perguntas durante esta etapa. Você terá que fazer algumas suposições sobre o projeto para poder começar a planejar. Se o escritório remoto estiver fora dos EUA, barreiras linguísticas, restrições de exportação criptográfica e questões alfandegárias devem ser abordadas o mais cedo possível. É difícil implantar com sucesso a infraestrutura de segurança de rede se a infraestrutura ou o engenheiro estiver preso na alfândega!
Passo 2: Organize o Reconhecimento
Na guerra convencional, este passo é onde você reuniria informações sobre o tamanho, capacidades e fraquezas do inimigo. No entanto, o que este passo realmente responde é a pergunta “Que informação me falta para alcançar o sucesso? “2 Use todos os métodos de colaboração disponíveis para garantir que toda a informação necessária para uma implementação bem sucedida da infra-estrutura de segurança de rede seja descoberta muito antes de entrar em funcionamento. Requisitos físicos como energia e resfriamento, políticas de segurança controlando o acesso à infraestrutura e imagens do site devem ser obtidos. Dependendo da organização, obter os esclarecimentos necessários pode se tornar um projeto em si, mas obter essas informações é essencial para o sucesso.
Tambem considere as informações exigidas do fornecedor do equipamento. Se você está adquirindo o firewall de próxima geração diretamente do fornecedor e instalando-o você mesmo ou confiando em um fornecedor de soluções terceirizado, ter essas informações antes da implantação real da infra-estrutura é fundamental para o sucesso.
Passo 3: Faça o reconhecimento
Aqui é onde a liderança usa todos os recursos disponíveis para preencher qualquer lacuna de informação após o reconhecimento ter sido organizado. No caso da próxima geração de firewall, aqui é onde analisaremos as especificações para garantir espaço, potência e segurança adequados. A infra-estrutura de segurança cibernética localizada em uma sala comum com teto suspenso, e atrás de uma porta sem prevenção de portas e não dentro de um armário trancado é um problema à espera de surgir.3 Se o seu reconhecimento indicar que o local não está de acordo com os padrões de segurança física necessários, isso deve ser resolvido antes de prosseguir. Alcançar as equipes impactadas pela infraestrutura de segurança é a chave para preencher as lacunas de informação necessárias para evitar uma dolorosa experiência de resolução de problemas durante um fim de semana.
Passo 4: Complete o Plano
No primeiro passo, muitas perguntas e suposições foram formuladas para que o plano saísse do chão. Agora é o momento de responder a essas perguntas e examinar todas essas suposições. Não se apaixone pelo seu plano. A revisão pelos pares é crítica. Por exemplo, ao escrever procedimentos de instalação, pode levar cinco minutos para encontrar um erro de digitação relacionado à conexão do firewall de próxima geração. Se esse erro de digitação não for encontrado, pode levar muitas horas para resolver o porquê de não haver tráfego fluindo. Comece a pensar em todos os modos de falha potenciais relacionados à implantação.4 A última coisa desejada é ser menos seguro ou que a janela de manutenção vá além das expectativas, tendo um impacto negativo imensurável na organização. O plano completado precisa ser responsável por alterar as credenciais da conta administrativa padrão, desativando quaisquer portas e serviços não utilizados, e as melhores práticas recomendadas pelo fornecedor. Muitas vezes estas são omitidas quando se tenta implementar a solução antes dos prazos, portanto certifique-se de incluí-las no plano.
Passo 5: Emita a Ordem
Operações militares envolvem a emissão de uma “Ordem de Operações de Cinco Parágrafos”. Este é um resumo claro e conciso das informações essenciais necessárias para a realização da operação. Nosso objetivo é ter o mesmo tipo de instruções claras e concisas.5 Todas as informações para uma implementação bem sucedida da infraestrutura de segurança de rede precisam ser transmitidas para aqueles que fazem o trabalho. Isto inclui instruções escritas; o uso de chamadas em conferência, quadros brancos virtuais e capturas de tela. Um amplo plano de comunicações pode resolver muitos problemas antes que eles tenham a chance de se tornarem problemas. Embora ninguém queira ficar preso em reuniões o dia todo, após o envio das instruções finais, dedique tempo para garantir o entendimento comum muito antes do início da mudança da infraestrutura de segurança de rede. Suponha que ninguém esteja lendo seus e-mails ou ouvindo suas idéias na sala de conferência, faça perguntas aos membros da equipe sobre o plano e certifique-se de que eles respondam com as respostas corretas!
Passo 6: Supervisão
Sem supervisão, aumenta a probabilidade de que os fuzileiros navais tomem más decisões, como não beber água suficiente antes de uma corrida quente de três milhas no deserto para disparar bêbado um alarme de incêndio que cobre várias aeronaves em espuma.6 A supervisão adequada, por outro lado, pode resultar em que os fuzileiros navais tomem decisões sábias que mudam o curso da história. Os projetos de infraestrutura de segurança de rede não são diferentes. A supervisão é fundamental para garantir que o trabalho seja feito de acordo com o planejado, de acordo com os padrões estabelecidos. O USMC considera que a supervisão é o elemento mais importante na liderança das tropas. A supervisão não é apenas da responsabilidade da liderança. Todos os participantes do projeto são responsáveis por falar sempre que observam algo insatisfatório, como a falta de documentação ou a má implementação das regras de filtragem de tráfego de um firewall – como eles vêem isso acontecer. É fácil corrigir a documentação imediatamente após a implementação, quando um supervisor exige uma visão de como o firewall está filtrando o tráfego. É difícil corrigi-la anos depois, quando se resolve o porquê de uma nova aplicação ser mal filtrada.
Quantos mais membros da equipe forem capazes de ensaiar mudanças na segurança da rede, menor é a probabilidade de terem interrupções de produção devido às mudanças.
Dado o aumento das tecnologias de virtualização e de Cloud, está se tornando mais fácil ensaiar projetos de infraestrutura de segurança de rede em um ambiente controlado antes de serem lançados para produção. Assim como um Comandante de Batalhão de Infantaria instilaria valores de “treinar como se luta, lutar como se treina” em tropas ao se preparar para a batalha, a liderança da organização deve instilar valores relacionados a testes e treinamentos adequados antes que as soluções estejam em produção. Quanto mais os membros da equipe forem capazes de ensaiar mudanças na segurança da rede, menos provável é que tenham interrupções na produção devido às mudanças. A maioria concorda que um novo Marine precisa aprender as bases da navegação terrestre em um ambiente de treinamento controlado antes de ser esperado que navegue em uma patrulha implantada em uma zona de guerra. Da mesma forma, o pessoal de segurança cibernética precisa ter a oportunidade de aprender como a configuração de sua infra-estrutura de segurança de rede terá impacto nos dados em movimento da organização em um ambiente de laboratório antes de ser implantado no ciberespaço de produção.
Embora cada organização seja única, estes seis passos de liderança de tropas, originados com o Corpo de Fuzileiros Navais, são aplicáveis a outras organizações. Mesmo a mais civil das organizações pode aplicar algumas lições aprendidas com os militares que apenas podem levar a menos dolorosas experiências de resolução de problemas fora de horas.
Disclaimer: As opiniões expressas neste artigo são as dos autores e não representam necessariamente as opiniões de quaisquer organizações a que estão associados.
Fontes
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., e William L. Simon. Ghost in the Wires: As minhas aventuras como o Hacker mais procurado do mundo. Little, Brown & Co., 2012.
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940