03.08.10

Segurança: seis coisas que você precisa saber!

Fonte: British Telecom, BT

Se os mecanismos de segurança tornam-se cada vez melhores e mais sofisticados, também é certo que as ameaças se multiplicam. A crescente importância da informação em uma economia globalizada acarreta a multiplicação das ameaças à segurança e os riscos de perda de dados, fazendo da segurança um tema que ultrapassa a esfera da TI.

Os especialistas da BT definem os temas mais quentes em termos de segurança, com possíveis perguntas do CEO, respostas do CIO e recomendações em cada caso.

1. Globalização e cybercrime

CEO - O cybercrime é realmente uma ameaça à organização?
CIO - Trata-se de uma ameaça que cresce a cada dia, e temos que enfrentá-la.

Os negócios cada vez mais dependem de redes digitais que cruzam o planeta. O roubo de dados - de empresas ou governos - pode significar uma vantagem competitiva para grupos políticos ou empresas concorrentes. Assim, o roubo de dados constitui uma versão moderna da espionagem industrial - ou da guerra fria.

Mais de 50% dos executivos das regiões em desenvolvimento acreditam que ameaças ligadas ao cybercrime, como hacking ou fraudes via web, provavelmente partem de países emergentes, conforme constatou, em 2008, pesquisa da Datamonitor encomendada pela BT com o título “Threatening Skies: Risk in the Global Economy”.

Você acredita que a ameaça da cyber-espionagem internacional se origine mais provavelmente em uma economia emergente?

Recomendações

  • Verifique a segurança física de suas instalações para a política de acesso.
  • Certifique-se de que você tem a tecnologia de segurança certa para as exigências de sua empresa.
  • Adote padrões internacionais de segurança, como as normas ISO.
  • Não basta detectar: é preciso ser capaz de rastrear possíveis ataques e chegar ao culpado.

2. A ameaça está dentro de casa

CEO - Nossas informações estão a salvo nas mãos de nossos funcionários?
CIO - Com as políticas e práticas adequadas, podemos estar certos da segurança.

De acordo com pesquisa da McAfee, 75% das alterações mal-intencionadas de websites têm origem dentro da empresa, assim como 68% dos casos de roubo de dados. Empregados descontentes, por exemplo, podem se vingar da empresa deletando dados importantes ou roubando-os para vender à concorrência.

Mas nem sempre a intenção é criminosa. Existem razões como o simples desconhecimento das políticas de segurança, ou erros que vão da proteção inadequada de dados e sistemas até distrações, como enviar um e-mail com dados críticos para alguém que não deveria recebê-lo.

Recomendações

  • Uma sólida política de segurança;
  • Educação do usuário, para que todos conheçam as regras da empresa;
  • Controle do acesso à rede e sistemas;
  • Controle do gerenciamento de sistemas, especialmente no caso de mudanças: um programador não deve, por exemplo, alterar uma aplicação ou mudar um código sem a validação de mais uma ou duas pessoas;
  • Criptografia dos dados críticos.

3. Empregados que deixam a empresa

CEO - Estamos protegidos em relação aos empregados que saem da empresa?
CIO - É crucial para a empresa ter uma política para gerenciar os desligamentos.

Sejam quais forem as razões do empregado para deixar a empresa, há potencialmente o risco de que passe adiante suas informações. Partindo do princípio de que tenham sido tomadas as precauções listadas no item anterior quanto à segurança interna, há ainda o perigo de que o empregado possa ter acesso aos dados da empresa mesmo depois de desligar-se.

O risco é potencialmente maior em tempos de recessão. Uma pesquisa publicada pela Reuters (http://www.reuters.com/article/idUSTRE57Q0OA20090827) em dezembro de 2009 informa que havia nos Estados Unidos um grande número de pessoas esperando sinais de recuperação da economia para mudar de emprego. Entre os entrevistados, 18% procuravam apenas mudar de emprego; 14% planejavam seguir outra carreira profissional; 13% gostariam de trabalhar em outro setor e 18% planejavam trabalhar um menor número de horas. Na Inglaterra a situação era similar, estimando-se que entre metade e um terço das pessoas empregadas planejavam deixar as empresas em que trabalhavam.

Recomendações

  • Assegure-se de que todos os empregados que deixam a empresa estejam conscientes de suas responsabilidades.
  • Envolva o departamento de Recursos Humanos, para que, juntamente com os responsáveis pela TI, certifique-se da devolução de tokens e chaves, para que sejam desativados.
  • A TI deve também garantir que sejam desativados todos os meios de acesso a sistemas da empresa, como senhas e logins.

4. Mídia social e geração Y

CEO - Devemos impedir as pessoas de usar mídias sociais, como o Facebook e o Twitter?
CIO - Gerenciadas da maneira correta, as novas formas de comunicação representam uma oportunidade.

O fenômeno das redes sociais tem sido um fator de preocupação quanto à segurança, uma vez que as pessoas usam a estrutura do trabalho para se conectar às mídias sociais. Além da questão da produtividade, considera-se o risco de vazamento de informações confidenciais da empresa por parte de empregados que habitualmente acessam esses sites, especialmente os da chamada geração Y (os nascidos entre 1981 e 2000, de acordo com classificação da Harvard Business School), que não estabelecem fronteiras claras para a utilização da web em sua vida pessoal e profissional.

Entretanto, essa situação veio para ficar, e as organizações terão que lidar com ela, principalmente diante de uma realidade em que as próprias organizações tendem a utilizar a mídia social para uma série de finalidades, que vão do marketing ao recrutamento de empregados.

Como se proteger

  • Não é produtivo proibir o uso da mídia social no trabalho.
  • Motivar pessoas e otimizar a produtividade é uma questão de gerência, não de segurança. “Perder tempo” no Facebook pode ser apenas a versão atual de “perder tempo” no cafezinho com os colegas.
  • Com a tecnologia certa, o treinamento adequado e a conscientização dos empregados é possível manter a segurança na utilização de ferramentas baseadas na web.

5. Segurança na nuvem

CEO - É seguro adotar a cloud computing?
CIO - A nuvem pode ser segura e financeiramente interessante.

Em uma pesquisa recente patrocinada pela BT, 44% dos CIOs consideravam os dados da empresa críticos demais para a nuvem. No entanto, pouco mais de 30% dos CEOs compartilhavam dessa opinião.

As maiores preocupações com segurança relacionam-se a confidencialidade, privacidade e integridade de serviços e dados - itens que devem ser examinados caso a caso, sem perder de vista o fato de ser “cloud computing” um termo suficientemente amplo para comportar uma grande variedade de serviços. Na maioria dos casos, as soluções que melhor atendem aos requisitos de segurança são aquelas que utilizam um modelo híbrido, combinando nuvem pública e nuvem privada.

Como se proteger

  • Avalie as diversas soluções no mercado. Os provedores de serviços em nuvem - sejam soluções de software, plataforma ou infraestrutura - oferecem diferentes SLAs.
  • Soluções integradas pelo provedor de serviços em nuvem podem ser mais customizáveis e robustas.
  • Prepare-se para uma nova cultura. As interfaces automatizadas oferecidas por muitos dos serviços em nuvem ainda podem parecer estranhas aos profissionais de TI, habituados a lidar com os times de seus fornecedores. Os departamentos financeiro e de compras também precisarão se adaptar a um modelo de pagamento por serviços conforme a sua atualização.

6. Serviços para os clientes via nuvem

CEO - Podemos oferecer um serviço de primeira classe a nossos clientes com a cloud computing?
CIO - Se os serviços forem corretamente implementados, trarão benefícios tanto para os funcionários da empresa como para os clientes.

O serviço ao cliente precisa contar com dois atributos fundamentais: segurança e disponibilidade. Assegurados esses dois fatores, deve-se considerar também a questão de como a cloud computing afeta a estratégia de continuidade de negócios da empresa, especialmente quando se trata da recuperação em caso de contingência. Isso pode representar um desafio, mas não impossibilita a prestação de serviços via nuvem.

Recomendações

  •  Procure entender como o seu provedor de serviços compartilha os recursos que oferece, certificando-se, por exemplo, de que ele é capaz de atender ao mesmo tempo à demanda por maior volume de diferentes clientes.
  • No caso da utilização da infraestrutura como serviço, particularmente, é necesário conhecer as políticas de aprimoramento de aplicações e recuperação de erros do provedor e seus impactos sobre a segurança.
  • A arquitetura do provedor de serviços em nuvem pode utilizar métodos ainda não consagrados para impedir a queda de sistemas. Verifique especialmente os recursos para recuperação em caso de contingência.
  • É necessária total transparência quanto aos dados antigos. É importante saber como são deletados, especialmente no caso de término do contrato.
<- Para tras a: Artigo
Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2012