Cinco maiores erros a evitar na segurança de TI
A segurança pode ser uma tarefa ingrata, porque só se percebe quando não é feita. E para fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing, é preciso evitar erros técnicos e políticos. Em particular, cinco muito comuns:
1. Pensar que o seu papel na organização não mudou nos últimos cinco anos.
O seu poder e influência estão sendo desbastados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.
Cada vez mais é preciso ser pró-ativo na introdução de práticas de segurança razoáveis para escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de segurança para explicitar claramente os fatores de risco e para que não haja espaço para falsas premissas.
2. Não construir relações de trabalho entre as equipes de TI e os gestores de nível superior.
Grupos de segurança de TI são geralmente pequenos em relação ao resto do departamento de TI. Normalmente os profissionais de segurança precisam do apoio do restante do pessoal de TI para realizar funções básicas.
O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente as que mais dizem “não” aos projetos de outras pessoas.
Além disso, não pense que a estrutura de poder está sempre apontando para o diretor de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está ocorrendo em que o papel tradicional do CIO como comandante dos projetos de TI está em declínio a favor do aumento do poder do diretor financeiro (CFO) como dono da palavra final sobre os projetos de TI. Algumas evidências mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurança podem ir apenas até à ideia legal de “compliance”. O trabalho do profissional de segurança deve ser comunicar, comunicar, comunicar.
3. Não entender que a virtualização tem puxado o tapete do mundo da segurança.
As organizações estão no caminho para alcançar 80% de virtualização da sua infraestrutura de servidores, e os projetos de virtualização de desktops estão aumentando. Mas a segurança está atrasada, com muitos profissionais assumindo erradamente que ela começa e termina com as VLANs. A realidade é que arquiteturas de virtualização mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.
Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados estão chegando finalmente ao mercado – e os profissionais de segurança precisam descobrir se algum deles deve ser usado e, ao mesmo tempo, se devem se manter a par da evolução dos planos de segurança de fornecedores como a VMware, Microsoft e Citrix. A virtualização é uma promessa tremenda, eventualmente, para melhorar a segurança, especialmente na recuperação de desastres.
4. Não se preparar para uma violação de dados.
É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correção técnica, a lei precisa ser aplicada às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto em algumas indústrias mais que em outras, como é o caso da área de saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma ação coordenada pelo gestor de segurança de TI, envolvendo o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planejar os piores cenários, realizando internamente exercícios de violação de dados e formas de combatê-las e mitigá-las.
5. Complacência com os fornecedores de segurança de TI.
É necessário ter sólidas “parcerias” com os fornecedores de TI e de segurança. Mas o perigo em qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olhar crítico, especialmente para confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e proteção contra malware. Muitos fabricantes estão tentando adaptar controles de segurança tradicionais para estruturas geradas a partir da virtualização e da computação em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a área de segurança vai ter que se esforçar para conseguir o que acredita que a organização precisa agora ou no futuro.
Fonte: REDAÇÃO COMPUTERWORLD