A Nova Visão da Área de Segurança da Informação
Como já é do conhecimento da maioria, a tecnologia de segurança da informação (SI) disponível no mercado é o que não falta, mas o enfoque da mudança de visão da área de SI não está só na tecnologia, mas também no factor humano.
Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar de se actualizar e de se adaptar às novas tendências de mercado.
É nessa altura que os gestores de SI têm mais um custo, que consiste em formar o administrador do FW antigo na nova tecnologia, ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou a dizer que um FW ou um administrador de FW não são importantes. Muito pelo contrário, eles são peças essenciais dentro de uma empresa. Só que, além desses profissionais não possuírem um enfoque na segurança (mas antes na operação e administração), eles devem estar alocados dentro da infra-estrutura de TI e não no sector de SI.
Os profissionais de SI não devem ser administradores de um produto. Na verdade, precisam de ser o que chamamos de especialistas-generalistas. Ou seja, terem sólidos conhecimentos de SI e possuirem conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais a tornar-se uma área de conformidades e monitorização, exigindo serviços e projectos para os sectores de infra-estrutura, sistemas e outros. O enfoque da área de SI deve residir na análise, risco, monitorização, fomentação da cultura de SI, padrões e políticas. Ou seja, deve exigir que a empresa tenha um FW implementado e que este responda a requisitos mínimos de segurança, mas não administrá-lo.
Esta nova missão da área de SI é muito pouco compreendida. De uma forma geral, os gestores apegam-se aos activos que administram (FW, IDS, proxy, AD), enquanto que na realidade deveriam procurar uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos, vamos dar um exemplo que está presente em 99 por cento das empresas - os utilizadores e seus sistemas.
Imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os utilizadores internos fraudem a própria empresa. Este é só um exemplo de segurança que não é feita com produtos, mas antes com análises, processos e fomentação da cultura de SI.
A área de SI deve também contar com um apoio e suporte externo, onde geralmente é uma empresa que possui um enfoque de análise técnica em segurança, que realize verificações externas e internas e que esteja sempre a colocar em cheque a segurança através de testes e outros, gerando resultados que na verdade serão pedidos para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão num sector onde o quotidiano está muito operacional não é tarefa simples. Os gestores devem fazê-lo de forma particionada e manter sempre as suas equipas informadas. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e colocar o enfoque na nova estratégia de actuação.
Baseado num artigo de Fábio Silva de Albuquerque publicado no site da Módulo (www.modulo.com).
Produzido em 2007