Metodologia para o exame da segurança da informação com valor de auditoria (MIAUW)

Metodologia para o exame da segurança da informação com valor de auditoria (MIAUW)

MIAUW: Uma abordagem estruturada para uma investigação fiável sobre segurança da informação

Num mundo em que os riscos de cibersegurança se estão a tornar cada vez mais complexos e em que a legislação, como a Diretiva NIS2 e a Lei da Ciber-resiliência, obriga as organizações a estarem comprovadamente “em controlo”, a realização de um teste de penetração (pen test) já não é suficiente. A questão não é apenas saber se um teste foi realizado, mas também como e com que certeza os resultados são fiáveis e reproduzíveis.

É por isso que foi desenvolvida a Metodologia para Testes de Segurança da Informação com Valor de Auditoria (MIAUW). Liderada por Brenno de Winter, em colaboração com especialistas da área, esta metodologia aberta fornece um quadro estruturado para testes de penetração que permite às empresas e aos governos demonstrarem com certeza que os seus sistemas foram testados de forma auditável, repetível e transparente.

Porque é que o Meow é especial?

Muitos testes de penetração tradicionais não têm uma abordagem normalizada, o que leva a resultados variáveis e à incerteza quanto à exaustividade do estudo. O Meow foi concebido para alterar esta situação. A metodologia garante que:

  • Cada etapa do teste é imitável e irrefutável.
  • Pode ser elaborado um relatório oficial por um auditor para que entidades externas possam confirmar a validade do estudo.
  • O âmbito, o contexto e a profundidade da investigação estão claramente documentados.
  • Os resultados são objetivamente escalonados para que as prioridades se tornem claras.
  • Todos os testes e resultados realizados são repetíveis, facilitando as auditorias e as verificações de conformidade.

O Meow não é apenas mais uma norma para testes de intrusão; oferece um método holístico que cria segurança tecnológica e jurídica.

O código aberto como base para a transparência e a fiabilidade

Meow é uma metodologia de código aberto, o que significa que qualquer pessoa pode aceder, utilizar e melhorar os princípios. Isto não só garante um amplo apoio e transparência, como também evita a dependência de entidades comerciais que escondem os testes e os resultados numa “caixa negra”.

O código aberto é particularmente eficaz num ecossistema. No MIAUW, criámos uma Coligação de Vontade de partes que gostaram da abordagem. Isso levou a grandes parcerias e, acima de tudo, a muita colaboração. Afinal de contas, não se faz uma coisa destas sozinho. O facto de moldar muitas pessoas também faz do MIAUW um esforço comunitário interessante. Por exemplo, já foi feito muito trabalho: Jeroen Diel, Mischa van Geelen, Maaike Hielkema, Hans van de Looy e Victor Pous.

A natureza aberta do Meow permite que empresas e governos:

  • Verificar a qualidade da investigação e dos relatórios.
  • Trabalhar com peritos e auditores independentes para validação.
  • Mais fácil de cumprir os requisitos de conformidade, uma vez que a metodologia está alinhada com as normas internacionais.

O Meow junta-se a iniciativas valiosas já existentes, como o selo de aprovação CCV Pentest, que proporciona uma forma normalizada e fiável de testar e avaliar os inquéritos de segurança da informação.

Princípios técnicos fundamentais do Meow

A metodologia assenta num conjunto de princípios essenciais que asseguram que o pentesting não só é tecnicamente exaustivo, como também é válido do ponto de vista jurídico e de auditoria.

Investigação navegável e comprovável

O Meow garante que todos os testes efectuados são documentados e verificáveis. Isto significa que:

  • Cada etapa do teste é fundamentada com provas (como capturas de ecrã e registos).
  • Um auditor pode rever o estudo sem ter de o refazer completamente.
  • É claro quem testou o quê, como e porquê.

Isto cria uma pista de auditoria que permite às organizações demonstrar aos reguladores que um teste foi realizado de forma correta e completa.

Reprodutibilidade e comparação ao longo do tempo

O Meow permite que as equipas de segurança comparem o estado de um sistema em diferentes pontos no tempo. Isto é crucial, uma vez que as vulnerabilidades nem sempre são descobertas imediatamente, mas apenas activadas ou exploradas mais tarde.

  • A metodologia regista os testes realizados e os resultados obtidos.
  • Isto permite a uma organização avaliar facilmente se a postura de segurança está a melhorar ou a deteriorar-se.
  • Isto apoia o princípio do “controlo contínuo da segurança”, tal como exigido pela NIS2.

Alertas orientados por políticas com regras comerciais

Nem todas as vulnerabilidades são igualmente importantes, e nem todos os problemas técnicos representam um risco para a empresa. O Meow permite a aplicação de regras comerciais aos resultados dos testes de intrusão, para que as notificações e os relatórios sejam filtrados com base no que é relevante para a organização.

  • As organizações podem determinar quando e em que circunstâncias são gerados os alertas.
  • Desta forma, evita-se o “ruído” dos relatórios de baixo risco e concentra-se no que é realmente importante.
  • Os riscos são colocados no contexto empresarial correto, permitindo que as equipas de gestão e segurança tomem decisões mais informadas.

Miau na prática: uma melhor forma de efetuar testes com caneta

O Meow já é utilizado em sectores em que a segurança e a conformidade são essenciais, como a administração pública, os cuidados de saúde e os serviços financeiros. Através de uma combinação de testes técnicos aprofundados e mecanismos de auditoria, o Miauw garante que:

A investigação em matéria de segurança da informação fornece uma garantia demonstrável, em vez de uma imagem subjectiva.
As organizações podem cumprir melhor as suas responsabilidades de conformidade e segurança através de resultados reproduzíveis e de pistas de auditoria claras.
Os resultados do Pentest não dependem da interpretação de um testador, mas são relatados e validados de forma padronizada.

Otis como mascote do MIAUW

Uma vez que o acrónimo MIAUW nos faz pensar em gatos, era lógico ter um gato como mascote. Assim surgiu Otis, o lindo gato de Brenno de Winter. Naturalmente, numa pose em que está a miar. Como um ocikat de carácter, Otis é curioso, amigável e sociável. Por acaso, é um pouco dominante e não tem medo de deixar transparecer que quer ou não quer alguma coisa. OpenKAT

Porque é que o Meow é um fator de mudança na segurança

O desenvolvimento do Meow é uma resposta direta à crescente procura de testes de intrusão transparentes, repetíveis e auditáveis. Seguindo esta metodologia, as organizações podem não só operar de forma mais segura, mas também demonstrar aos reguladores, clientes e partes interessadas internas que as suas políticas de segurança cumprem os mais elevados padrões.

Quer saber como a Miauw pode ajudar a sua organização a levar os testes de segurança para o próximo nível? Contacte-nos para saber como esta metodologia inovadora pode contribuir para um ambiente digital fiável e comprovadamente seguro.

Está pronto para profissionalizar a sua estratégia de pentest? Teremos todo o gosto em ajudá-lo.