Segurança da Informação

10 dilemas da segurança da informação

Falta de maturidade emperra melhorias na proteção dos dados e cenário tende a ficar mais complexo com incorporação de novas tecnologias

A segurança da informação (SI) ainda tem muito a evoluir nos mercados emergentes, especialmente no Brasil, onde a economia aponta para registrar forte desempenho e cada vez mais companhias de diversas nacionalidades se instalam por aqui. Com este dinamismo, empresas e profissionais precisam estar mais bem preparados, já que, sendo o País a bola da vez em diversas áreas, certamente cultivará a atenção de hackers, cibercriminosos e outros delatores interessados em faturar com o roubo de informações ou mesmo em prejudicar as corporações por meio de publicação de dados estratégicos ou manchando a imagem da firma, o que poderia custar alguns milhões de reais.

Diversos estudos patrocinados por fornecedores de produtos de segurança da informação apontam para uma preocupação crescente com a área, mas especialistas ouvidos por InformationWeek Brasil para este especial dizem que ainda há um grande espaço para amadurecimento nas companhias instaladas no País, sobretudo as de origem nacional, uma vez que as multinacionais têm em seus DNAs a cultura das matrizes e, quando falamos de empresas norte-americanas e europeias, a preocupação com a proteção dos dados é muito maior. Resumindo, as brasileiras pensam bastante sobre o assunto, mas muitas não possuem estratégias e políticas formalmente desenhadas e implementadas.

O presidente da Isaca, Ricardo Castro, frisa que os desafios são os mesmos há dez anos. "Não mudaram, porque as empresas não chegaram à maturidade ideal. A tecnologia anda mais rapidamente e há um descompasso." Esta maturidade a que ele se refere está estritamente relacionada a processos, planejamento, conscientização e outras preocupações que compõem a lista dos dez dilemas elaborada a partir das opiniões de profissionais como ele, além de consultores e analistas da Deloitte, Daryus Strategic Risck Consulting e PricewaterhouseCoopers (PwC).

Só para ilustrar, o mais recente levantamento da Symantec sobre a preocupação com segurança entre executivos de TI na América Latina mostra que metade dos entrevistados prevê mudanças significativas na abordagem em SI. No Brasil, este porcentual foi de 61%. A pesquisa revela ainda que tecnologias como software como serviço (SaaS, da sigla em inglês) e virtualização de servidores e de endpoints causam dores de cabeça às equipes.
s
 É fato que cuidar da segurança dos dados está cada vez mais complexo e não apenas pela sofisticação dos ataques online, mas pela mudança no perfil dos usuários, pelo crescimento na adoção de smartphones e outros dispositivos móveis e pela diversidade de sistemas operacionais que necessitam de suporte. Soma-se a isto um movimento não muito recente de adesão ao trabalho remoto, levando a segurança para muito além do perímetro da corporação.

Se você acha que isso vai custar muito, Edison Fontes, consultor em segurança e professor da Fiap, dispara: "custa a vontade de querer. É um custo compatível". E, como nada é simples como gostaríamos que fosse, Jeferson D"Addário, sócio da Daryus, coloca outro forte ingrediente na discussão: a necessidade de uma área de segurança trabalhando à parte da TI, sobretudo em empresas de grande porte, como parceira, e não totalmente subordinada e compartilhando orçamento.

Preparado? Confira a lista com dez dilemas que os especialistas mais têm se deparado dentro das companhias brasileiras:

Planejamento do processo de SI é essencial

Trabalho envolve desde um raio X do que a área possui até a árdua tarefa de priorização

Embora pareça algo óbvio, muitas empresas não passam por um processo de planejamento de suas ações em segurança da informação. Para o especialista Edison Fontes, que também leciona na Fiap, é essencial que as companhias se programem pelo menos para os 36 meses à frente. É um trabalho que envolve desde um raio X do que a área possui até a árdua tarefa de priorização. "Precisa haver uma avaliação da situação, respondendo à pergunta de como a empresa está em termos de segurança?"

O especialista lembra que as coisas estão conectadas, ou seja, o planejamento se liga à política, que está atrelada à conscientização do usuário e assim por diante. "A forma estruturada é o pulo do gato. Se não faz avaliação, o planejamento não vai. Isso é obrigatório para todos. Mesmo que ande devagar, é importante saber para aonde está indo. Não saber onde está é a pior situação", alerta o professor e consultor.

Alta administração precisa ser conscientizada sobre SI

CIOs e CFOs enfrentam dificuldades para justificar o investimento

Ensinar as pessoas que estão há muito tempo no comando é difícil. Por diversas vezes durante a entrevista, Jeferson D"Addário, sócio da Daryus, reforçou a necessidade de trabalhar a conscientização da alta direção e classificou o apoio destes executivos como fundamental para todo o projeto de segurança da informação dentro de uma companhia. Ele avisa que alguns profissionais demonstram grande preocupação com segurança, mas não fazem as coisas acontecer. "Tem pouca verba, investe pouco. Há preocupação, mas não tem discurso, não tem ação."

D"Addário explica que CIOs e CFOs enfrentam dificuldades para justificar o investimento. "Mudar a atitude à frente da companhia é algo trabalhoso", enfatiza o especialista. Enquanto ensinar os usuários requer um bom trabalho de conceito, convencer a alta administração mostra-se mais complexo. "Mas, quando eles compram [a ideia], as coisas fluem mais rapidamente e os executivos passam a entender que dependem da segurança."

Para facilitar, o sócio da Daryus fornece três dicas para convencer a alta direção: regulamentação, exemplificação e trabalhar em organizações setoriais. "As leis ajudam muito, mas temos poucas, diferente do setor financeiro que é regulamentado pelo Banco Central." Além disto, ele aponta que, embora não seja a melhor alternativa, mostrar empresas que se prejudicaram em incidentes pode ser um caminho para o convencimento para investir em políticas e mecanismos de SI. Por fim, D"Addário diz que, assim como os bancos utilizam a Febraban, outros setores poderiam fazer o mesmo.

Mas, como ressalta André Gargaro, sócio da área de gestão de riscos empresariais Deloitte, é preciso que alta direção e funcionário tenham "conhecimento do valor do ativo informação, pois ela é a mais importante, principalmente hoje, quando se depende muito de tecnologia."

Usuário precisa ser educado para segurança

Conscientização dos funcionários é um dos dilemas mais antigos, mas ainda é um dos mais complexos

Para o presidente da Isaca, Ricardo Castro, embora este seja um dos dilemas mais antigos dentro das empresas, ainda se trata de um dos mais complexos. Não porque as pessoas se recusam a aprender, mas porque requer muito comprometimento das companhias e de forma contínua e evolutiva. "Investe-se pouco na formação do usuário para ser vigilante da segurança. Gasta-se em ferramentas que geram métricas", reflete Castro, para quem investir na educação dos funcionários gera resultados muito melhores.

O ponto de atenção fica por conta da comunicação, que precisa ser a mais clara possível. Edison Fontes, consultor e professor da Fiap, ressalta que neste ponto é importantíssimo um trabalho conjunto com o departamento de RH, que fará a ponte entre a área de segurança e os funcionários. E, além dos empregados, os treinamentos precisam se estender aos parceiros, que também terão acesso aos dados da companhia e aos diversos departamentos. "O parceiro tem de estar no mesmo nível de proteção." O especialista diz ainda que, dentro da formação, é preciso determinar o comportamento que o funcionário terá em caso de identificar alguma irregularidade: manda e-mail, liga, avisa ao superior.

Diversas companhias têm investido nisso e garantido bons resultados. O Grupo Santander, por exemplo, possui uma semana anual de segurança, onde os funcionários assistem palestras e debates relacionados ao tema. O importante é envolver a todos e transformar a ação em algo constante, por isto a necessidade do comprometimento da alta direção para que sempre haja verba para essas atividades. "Nada funciona sem conscientização, tem que liderar preparando as pessoas para que se previnam", aponta André Gargaro, da Deloitte.

Coloque políticas e normas de segurança em sua estratégia

Segredo é converter calhamaço de regras em algo fácil e palatável para funcionários

O problema não é só de pequenas e médias empresas. Grandes companhias até possuem políticas e normas de segurança, mas, como alerta o presidente da Isaca, Ricardo Castro, ninguém as lê, embora todos assinem termo de comprometimento. Talvez, um grande problema neste tópico é converter o calhamaço de regras em algo palatável, entendível e assimilável por todos.

Para Edison Fontes, da Fiap, trata-se de um item prioritário no plano de segurança mesmo se a empresa não tiver algo elaborado. "Quando não possui, recomendo isto logo no início, mas, quando há muitos incêndios, apagamos para depois elaborar a política", comenta Fontes. Um conselho que o especialista dá é após ter toda a diretriz aprovada, criar algo macro, como dez mandamentos de segurança. Isto facilita muito o processo de conscientização. Ao assimilar as regras principais, o usuário consultará o documento completo caso necessite de uma orientação complementar. Jeferson D"Addário, da Daryus, olha um pouco mais à frente e já fala nas adaptações necessárias para a nova realidade. "As crianças aprendem marketing de divulgação desde pequenas e as empresas precisam se preparar para isso. Ter uma política adequada é mandatório."

Nuvem e virtualização, segurança ainda preocupa

Apesar de ressalvas, são tecnologias indispensáveis pela proposta de redução de custo

Há algum tempo, a preocupação com segurança em torno da virtualização parecia ser menor, seja em servidores ou desktops. Isto tem mudado e um termômetro é a crescente oferta de antivírus para máquinas virtuais. Na computação em nuvem, a cena é diferente, a segurança sempre imperou como um obstáculo. Mas o que pensam os especialistas? "Mexe com paradigmas da profissão. Não é só o papel da TI. Temos novos profissionais que trabalham em casa, sem barreiras e livres, são avaliados pelo resultado final", pontua Ricardo Castro, da Isaca.

Essas tendências, se é que ainda podem ser taxadas desta forma, são inevitáveis no ambiente corporativo, sobretudo, pela redução de custo que propiciam. "Não há como escapar. Ainda brigam, mas é seguro e está provado que é um conceito que deu certo e que está acontecendo e tende a se fortalecer com a compra cada vez maior de SaaS", provoca Jeferson D"Addário, da Daryus.

Redes sociais: como agir em relação à SI

Bloquear ou proivir acesso pode ser uma das piores decisões quando o assunto é mídia social

Se a opção que passa pela sua cabeça neste momento é bloquear o acesso, pare, avalie e desista desta possibilidade. Embora pesquisas apontem que muitas empresas tomem esta medida, especialistas alertam que ela não é a mais acertada. O último levantamento sobre o assunto do Comitê Gestor da Internet no Brasil (CGI.br) apontou que 48% das companhias proíbem uso de sites de relacionamento, quando o ideal seria um trabalho de conscientização sobre o uso adequado destas mídias.

"Assim como orientamos as crianças para que não postem qualquer tipo de foto no Orkut, temos de orientar os funcionários para não inserir informação na rede. Ao bloquear, você pode eliminar possível ganho de conhecimento", alerta Gargaro, da Deloitte.

Um estudo da Symantec com profissionais da Europa e América do Norte, produzido no início deste ano, revelou que, entre os funcionários que utilizam rede social no trabalho, 53% do tempo destinado a estas mídias tem propósito profissional. Isto reforça a tese de não bloquear, até para não entrar em choque com as novas gerações.

Como ensina D"Addário, da Daryus, se a empresa não está conectada e atenta às tendências, a segurança poderá ser surpreendida. "Não adianta achar que bloquear resolve. Terá de permitir algumas. Brinco que é preciso um pouco de psicologia. É preciso descobrir as redes mais usadas e as empresas têm de participar criando comunidades. Se conhece o público, é mais fácil adaptar a política de segurança", aconselha.

Outro ponto importante - além da inclusão do item na política de segurança - é elaborar um manual sobre o uso adequado das redes sociais, com informações sobre o que se pode divulgar e como se posicionar em relação à companhia nestes sites. Diversas multinacionais possuem trabalhos neste sentido. A maioria com sucesso.

Mobilidade e os desafios à segurança

Popularização dos smartphones e das lojas de aplicativos precisam ser debatidas nas empresas

A popularização dos smartphones e aplicativos móveis disponíveis para downloads nas lojas de aplicações configuram outro desafio à segurança das empresas. Enquanto algumas companhias possuem projetos de mobilidade que consistem na distribuição de aparelhos para gerência e direção, boa parte dos empregados exibe seu device e, por meio dele, acessa sistemas da companhia, desde e-mail até o CRM. O que fazer quando estes aparelhos se convertem em mais um ponto de dispersão dos dados da corporação?

A indústria fornecedora está atenta e algumas, como a Kaspersky, trabalham no desenvolvimento de antivírus para plataformas móveis, mesmo porque, tais dispositivos já são alvo de hackers. Recentemente, algumas versões do sistema operacional Symbian estiveram no alvo dos cibercriminosos e estimou-se um número de 100 mil smartphones vulneráveis aos botnets.

Diante disso, o CIO precisa aprender a lidar com o universo de sistemas operacionais que necessitam de suporte e entender de uma vez por todas que a segurança já não se limita à redoma de concreto da companhia. "As pessoas usam seus aparelhos como miniescritórios e não pensam em backup, que o dado tem vida longa, que a política de descarte é inexistente", exemplifica Ricardo Castro, da Isaca.

Como lembra Jeferson D"Addário, da Daryus, já não existe uma padronização como havia no passado e, dentro do plano de segurança, é preciso prever como garantir o controle das máquinas na casa do funcionário. "Segurança na ponta é essencial já que o acesso pode ser via celular, cibercafé, tablet. É fácil com mobilidade se logar e acessar, sobretudo, com modelo SaaS, mas o mundo da segurança tem de trabalhar mais."

Recuperação de desastres e redundância

Embora importante, muitas empresas não incluem tópico em seus projetos de SI

A cultura de um plano de recuperação de desastres e continuidade dos negócios ainda não está totalmente arraigada no Brasil. É possível encontrar companhias que não se preocupam com este tópico e é por isso que ele integra esta lista. Parte desta situação está relacionada ao fato de as pessoas acreditarem que o País está livre de terrorismo, terremotos e outras situações adversas observadas em outros países. Mas elas esquecem-se, por exemplo, que temos enchentes, apagão (de energia e telefonia), só para citar alguns dos obstáculos enfrentados por aqui.

Aos poucos a tendência é que isto mude. Um levantamento da Frost & Sullivan mostra que o mercado de recuperação de desastres no Brasil movimentou em torno de US$ 260 milhões em 2009 e a perspectiva é que este serviço cresça a uma taxa média anual de 12% até 2015. "O mercado lá fora ainda é mais maduro. O gerenciamento de crise no País nasceu no governo do Fernando Henrique Cardoso", comenta Jeferson D"Addário, da Daryus. Ele cita como exemplo o banco ABN Amro que, com sua cultura européia, tinha 30 pessoas na equipe de recuperação de desastres aqui no Brasil. Para ele, um passo fundamental é as empresas entenderem isto como investimento e não custo.

O especialista lembra da necessidade de um plano minucioso e com equipes condicionadas. Mais que colocar tudo no papel, treinar é essencial para que todos saibam como agir. "Precisa pensar profissionalmente. As grandes e médias empresas têm de se preocupar. Quando acontece, o problema pega a equipe de calça curta. A pergunta, neste caso, é: qual é a probabilidade?", comenta Edison Fontes, da Fiap.

O professor e consultor ensina que é preciso priorização. Outras dicas incluem escolher o melhor local para construção ou locação de imóvel e mesmo a instalação de um CPD. Você faria isso nas proximidades de um aeroporto ou rotas de helicópteros? "Se ficar indisponível, qual o plano B? Precisa estar preparado se quiser concorrer com o mundo. Um artesão que vende pela web e fica com site fora do ar tem prejuízo. Tem que avaliar as sensibilidades e muitas vezes os problemas não são levados aos acionistas", argumenta.

Os profissionais ouvidos por InformationWeek Brasil dizem ainda que, no caso do processo de contingência, é preciso envolvimento total das áreas de negócios. Elas definirão o tempo de recuperação e não a TI. É o departamento financeiro, por exemplo, que sabe se pode ficar 15 minutos, duas horas ou um dia sem o sistema. "Apesar de ser recurso de TI, as informações são das áreas e elas sabem o impacto financeiro ou de imagem que a indisponibilidade trará", sacramenta Fontes.

DLP: coloque em seus planos

Sócio da PwC diz que é preciso estratégia para colocar vazamento da informação no core da empresa

Trata-se de algo extremamente importante e não falamos aqui de quaisquer ferramentas, mas do conceito de prevenção à perda de dados ou data loss prevention (DLP). Para Edgar D"Andrea, sócio da área de segurança e tecnologia da PricewaterhouseCoopers (PwC), é preciso uma abordagem para colocar o vazamento da informação com o core. "Aqui, você revisita questões ligadas à política de segurança, à classificação da informação, ao treinamento e à sensibilidade do que não funciona. E tem a visão de que você começa a quebrar sua organização por processos", explica.

Segundo informou o especialista, faz-se necessário entender quais pontos apresentam maior risco de vazamento. Ao estabelecer uma política de classificação, normalmente, a empresa pensa sobre o que o usuário faz, mas deveria ir além. "Por exemplo, uma tabela de preço ou desconto é uma informação crítica e, se não houver blindagem daquilo, ela pode vazar para o mercado e o concorrente saber das margens. Com visão DPL você consegue isolar a informação. Não pode enviar por e-mail, gravar em pen drive, dar printscreen", enumera.

Tratamento similar precisa ser dado aos notebooks que proveem acesso aos sistemas e dados da casa do funcionário e também para smartphones. Não adianta pensar em bloquear, já que trabalho remoto e mobilidade estão na ordem do dia. O desafio está lançado e você precisa encontrar a melhor solução para garantir a segurança fim a fim. "Muita empresa está aderindo a esta visão, olhando pela perspectiva do risco de vazamento da informação. Não é barato e para modular o projeto demora às vezes um ano", comenta D"Andrea. O primeiro passo é avaliar as áreas de risco e, depois, trabalhar a blindagem.

Gestão de incidentes : já pensou nisso hoje?

Atitude em casos corriqueiros é essencial e, normalmente, eles pegam as empresas de surpresa

Falamos de conscientização de usuários e alta administração, recuperação de desastres e continuidade de negócios e dos desafios que novas tecnologias propõem à área de segurança, mas algo essencial é a atitude em casos corriqueiros e que pegam as organizações de surpresa. Por isto, inserimos o tópico gestão de incidentes. Ele é um dilema muito mais relacionado à ação que à existência de um plano em si.

Como explica Edgar D"Andrea, da PwC, grande parte das companhias brasileiras possui diretrizes para gestão de incidentes, mas o problema está no fim da linha. "Planeja-se e checa-se, mas, quando há um incidente, deve-se ter um problema de resposta", avisa. "Ou os processos não estão bem definidos ou não se sabe agir em crises e incidentes", provoca.

Nesse caso, não se trata de um desastre, mas da abertura de um anexo de e-mail contaminado, uma crise banal de malware e as consequências que tais incidentes podem causar. "Você pode ficar com faturamento parado, sem logística, pagamento ou mesmo sem e-mail. Sinto nas organizações dificuldades para enfrentar o problema quando ele acontece."

D"Andrea diz que já viu situações em que a companhia ficou parada alguns dias por conta de um problema como esse. Quando tem microdestruição, é preciso acionar a gestão de crise e dar uma resposta rápida, observa o especialista. "Em incidente, a ideia é ter sensores, IPS, detectores de intrusão, de atividade de tentativa de intrusão. Se não tiver uma detecção e atividade de derrubar aquele link para parar ataque, pode ser que eu sofra ataque efetivamente. Se o índice de artigos em quarentena aumentou, pode ser que o usuário tem relação externa que traga vírus para dentro de casa. Estes microincidentes ainda não são tratados de maneira estruturada dentro das organizações."

O sócio da PwC lembra ainda que muitas companhias possuem as ferramentas, mas não contam com pessoas capacitadas. A equipe precisa saber interpretar o caso rapidamente e isso só ocorre quando se tem profissionais bem treinados. Rastrear e identificar a causa raiz estão nas premissas de um bom trabalho de gestão de incidentes assim como, se necessário, envolver áreas interdependentes e investigar os fatos com amparo legal.

 

fonte:http://www.itweb.com.br