A segurança em seu ponto mais frágil

Fonte: ABYZ Informática

A segurança da informação já foi, em outro momento, abordada neste espaço, mas na ocasião nossa intenção era apresentar o aspecto cultural envolvendo os níveis gerenciais e executivos das organizações, ponto de onde devem surgir os movimentos de criação e desenvolvimento dos projetos de segurança da informação, além de, é claro, a manutenção de todo o processo que se desencadeará a partir da concepção deste projeto.

A nossa intenção agora é tratar de outra dificuldade. Sim, mais uma dificuldade, a que está relacionada diretamente com os usuários finais de todos estes sistemas que estão sendo distribuídos em nossas empresas.

Quando tratamos de segurança da informação, logo imaginamos um arsenal de equipamentos e sistemas, todos concebidos para proibir a invasão daquele estereotipo de hacker mal-intencionado, que deseja roubar informações da sua empresa. No entanto, a imagem mais temida pelos analistas de segurança não é essa.

Na realidade a maior parte dos incidentes relacionados ao roubo de informações não é causada por agentes externos, mas sim os próprios usuários internos de sua empresa. Sim, eles mesmos, tenha certeza! As estatísticas apontam que mais de 80% das incidências de roubo são causadas por agentes internos.

E há uma explicação simples para este fato: a corrente sempre se rompe em seu elo mais fraco. E qual o elo mais fraco no processo de segurança da informação? Os usuários da rede. E isso inclui todos os envolvidos direta e indiretamente com os processos da sua empresa, sejam usuários de computadores, ou não.

Identificamos alguns pontos sobre os quais queremos dedicar um pouco mais do nosso tempo. O primeiro diz respeito ao treinamento e aprendizado dos seus colaboradores. Você já se perguntou quanto tempo por ano seus colaboradores se envolvem com aprendizado relacionado à segurança? Já se perguntou se cada um deles conhece os reais perigos a que estão expostos neste mundo virtual e, na Internet sim, realmente globalizado?

Não temos dúvida de que este é o elo mais fraco da corrente. Novos sistemas de segurança são disponibilizados diariamente, mas como num piscar de olhos, seu colaborador pode estar colocando na lata de lixo, literalmente, um papel com anotações importantes, quem sabe aquele rascunho de ata da última reunião de planejamento estratégico. Vejam que não falamos apenas no treinamento dos aplicativos que serão utilizados, e sim um treinamento focado em processos e rotinas que contribuem para uma segurança amplamente discutida e aparente na empresa.

O segundo alerta que desejamos registrar está relacionado com a contratação de terceiros para a prestação de serviços em sua empresa, para a qual normalmente as organizações não têm um processo de análise crítica sobre quem está entrando e circulando pelos corredores, muitas vezes com acesso, mesmo que apenas temporário, à diversas informações essenciais para o negócio.

Estas informações podem estar saindo da empresa pelo caminho mais simples: o técnico da empresa contratada para a manutenção do ar condicionado, serviço de limpeza, transportadoras, ou qualquer que seja a atividade que foi por você terceirizada. Agora responda: de que adianta aquele sistema de segurança instalado no servidor? E aquele firewall de rede que lhe custou caro, e cuja segurança era quase inviolável?

Uma outra análise pode ser feita avaliando-se os diferentes sistemas que são instalados em sua empresa, seja nos servidores ou nas estações. Todos eles, sem exceção, vêm com uma configuração default, ou seja, uma configuração padrão de fábrica, com o mínimo necessário para uma instalação simplificada.

Nestes casos cabe uma análise detalhada para verificar quais recursos adicionais podem ser configurados ou associados para aumentar o nível de segurança do produto. Instalar um software ou um novo sistema pode ser considerado de relativa facilidade, mas configurá-lo de acordo a lhe proporcionar a maior segurança para o ambiente computacional é algo que exige equipe qualificada, com amplo conhecimento sobre o assunto, tanto no campo técnico quanto no campo conceitual.

Existe uma tríplice que se encaixa perfeitamente no modelo que acreditamos ser o ideal para a análise estratégica da segurança computacional em sua organização, a tríplice chamada PPT: Pessoas, Processos e Tecnologias. O resultado é um ponto de equilíbrio que varia de uma empresa para outra, mas que caracteriza a importância dada a cada um dos pilares, conforme mostra a figura abaixo.

Não existe um modelo único, um padrão de ponto de equilíbrio para todas as empresas, mas é importante a percepção de que nenhum dos pilares pode ser esquecido, e que a melhor decisão é criar processos otimizados, investir em tecnologia adequada, sem exageros nem tão pouco negligenciando riscos aparentes, e contratando pessoas competentes e comprometidas.

Desta forma acreditamos realmente ser possível alcançar o equilíbrio na sua organização, importante para a tranqüilidade e segurança das informações que hoje formam, sem dúvida, o ativo mais valioso que você tem.