CINCO MAIORES ERROS A EVITAR NA SEGURANA DE TI

Atualizado em 29/07/2011 Fazer este trabalho bem feito na era da virtualizao, smartphones e cloud computing um grande desafio. A segurana pode ser uma tarefa ingrata, porque s se percebe quando no feita. E para fazer este trabalho bem feito na era da virtualizao, smartphones e cloud computing, preciso evitar erros tcnicos e polticos. Em particular, cinco muito comuns: 1. Pensar que o seu papel na organizao no mudou nos ltimos cinco anos. O seu poder e influncia esto sendo atacados enquanto a organizao para a qual trabalha escancara as portas para permitir que os funcionrios usem dispositivos mveis pessoais no trabalho, e empurra os recursos de computao tradicional e aplicaes para a nuvem s vezes sem o seu conhecimento. Cada vez mais preciso ser pr-ativo na introduo de prticas de segurana razoveis para escolhas fast-moving de tecnologia que s vezes so feitas por quem est totalmente fora do departamento de TI. uma misso impossvel de atribuio, mas a sua. Pode envolver o desenvolvimento de uma nova poltica de segurana para explicitar claramente os fatores de risco e para que no haja espao para falsas premissas. 2. No construir relaes de trabalho entre as equipes de TI e os gestores de nvel superior. Grupos de segurana de TI so geralmente pequenos em relao ao resto do

departamento. Normalmente os profissionais de segurana precisam do apoio do restante do pessoal de TI para realizar funes bsicas. O profissional de segurana pode ter conhecimento especializado e um bolso cheio de certificaes como CISSP, mas isso no significa que seja necessariamente admirado por causa disso especialmente porque as pessoas da segurana so normalmente as que mais dizem no aos projetos de outras pessoas. Alm disso, no pense que a estrutura de poder est sempre apontando para o diretor de informtica (CIO) como um decisor de nvel superior. Uma mudana fundamental est ocorrendo: o papel tradicional do CIO como comandante dos projetos de TI est em declnio a favor do aumento do poder do diretor financeiro (CFO) como dono da palavra final sobre os projetos de TI. Algumas evidncias mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurana podem ir apenas at ideia legal de compliance. O trabalho do profissional de segurana deve ser comunicar, comunicar, comunicar. 3. No entender que a virtualizao tem puxado o tapete do mundo da segurana. As organizaes esto no caminho para alcanar 80% de virtualizao da sua infraestrutura de servidores, e os projetos de virtualizao de desktops esto aumentando. Mas a segurana est atrasada, com muitos profissionais assumindo erradamente que ela comea e termina com as VLANs. A realidade que arquiteturas de virtualizao mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como j aconteceu tantas vezes na indstria de TI,

tecnologias revolucionrias passaram a ser usadas sem ateno adequada ao impacto da segurana. Alguns produtos de segurana tradicionais, como software de antivrus, por exemplo, no funcionam muitas vezes bem em mquinas virtuais. Dispositivos fsicos podem ter novos pontos cegos. Hoje, produtos de segurana especializados para ambientes virtualizados esto chegando finalmente ao mercado e os profissionais de segurana precisam descobrir se algum deles deve ser usado e, ao mesmo tempo, se devem se manter a par da evoluo dos planos de segurana de fornecedores como a VMware, Microsoft e Citrix. A virtualizao uma promessa tremenda, eventualmente, para melhorar a segurana, especialmente na recuperao de desastres. 4. No se preparar para uma violao de dados o cenrio de pesadelo em que dados sensveis so roubados ou acidentalmente divulgados. Alm da deteco e correo tcnica, a lei precisa ser aplicada s violaes de dados. Mas que leis? Quase todos os pases tm agora as suas prprias legislaes sobre a violao de dados e algumas regras com impacto em algumas indstrias mais que em outras, como o caso da rea de sade. Quando isso acontece, uma violao de dados vai ser um evento e caro que exige uma ao coordenada pelo gestor de segurana de TI, envolvendo o departamento de TI, o departamento jurdico, os recursos humanos e o departamento de comunicao, se no mais. As organizaes devem-se reunir para planejar os piores cenrios, realizando internamente exerccios de violao de dados e formas de combat-las e mitig-las.

5. Complacncia com os fornecedores de segurana de TI. necessrio ter slidas parcerias com os fornecedores de TI e de segurana. Mas o perigo em qualquer relao com fornecedores esquecer como olhar para produtos e servios com um olhar crtico, especialmente para confrontar o que eles tm em relao concorrncia ou encontrar novas abordagens para problemas bsicos de autenticao e de autorizao, avaliao de vulnerabilidades e proteo contra malware. Muitos fabricantes esto tentando adaptar controles de segurana tradicionais para estruturas geradas a partir da virtualizao e da computao em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a rea de segurana vai ter de se esforar para conseguir o que acredita que a organizao precisa agora ou no futuro. Por Computerworld Fonte / Acesso: 4 de agosto de 2011. http://www.pacificnetwork.com.br/materi as.asp?codigo=238