Pages

Subscribe:

quarta-feira, 19 de outubro de 2011

Segurança da Informação: Tecnologias

O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, que fosse capaz de deter um determinado vírus. Hoje em dia, os vírus de computador não são mais os únicos vilões do crime digital.

 

Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada.

 

Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos três fases principais:

  1. O primeiro passo consiste em realizar o levantamento e a classificação dos ativos da empresa.
  2. Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança.
  3. A infraestrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Infraestrutura

Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas operações.

 

Algumas dessas aplicações são:

  • Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. – Balanceamento de carga: Ferramentas relacionadas à capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa.
  • Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado. – Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque etc.
  • Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores.
  • Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados criptografados entre divisões de uma mesma companhia, parceiros de negócios.
  • Criptografia: Utilizada para garantir a confidencialidade das informações.
  • Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes, certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). – Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito.
  • Sistemas antispam: eliminam a maioria dos e-mails não solicitados. – Software de backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los.

Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos independentes.

 

A Falsa sensação de segurança

O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas.

 

Por isso, os especialistas não confiam apenas em uma solução baseada em software. Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os três não estejam equilibrados.

 

Ao se analisar a questão da Segurança da Informação, no entanto, além da importância relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância, pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.

 

Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e Pessoas em um trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

 

Recursos de proteção

A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a Internet hoje em dia.

 

Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso, também são destaques. Mas antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes.

 

Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança.

 

Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do maior nível possível de segurança.

 

A visão da companhia como um emaranhado de processos causou grande revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos os processos estão integrados, um impacto causado pela segurança pode não apenas causar prejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor.


Pessoas: desafio constante

A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurança da Informação.

 

Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões informais são situações muito comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto principal da preocupação com as pessoas é que os fraudadores irão à busca delas para perpetrar seus crimes.

 

Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação representa um desafio de inédita magnitude para os profissionais do setor e, também, para a companhia como um todo.

Postado por Carlos Henrique R. Oliveira's Blog às 14:11
Marcadores: , ,

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)