Está é uma pergunta que muitos CIO´s se fazem a todo momento, pois segurança da informação não é uma estratégia barata além de não poder ser feita de forma a se tornar um investimento único mas sim, deve ser pensada e realizada utilizando a metodologia PDCA.(Plan, Do, Check and Action).
Para que o investimento seja adequado, devemos analisar primeiro o foco do negócio da empresa a qual a estratégia deve ser implantada, isso auxilia na determinação da forma do investimento em segurança, se iremos comprar a solução ou pagar pela utilização.
Dentro deste cenário, devemos analisar também quais são os objetivos da empresa com relação a esta decisão – “investimento em segurança”.
Podemos dizer que alguns fatores como redução de custos, melhoria na qualidade dos serviços ou mesmo a disponibilidade dos sistemas e hardwares, são alguns dos principais motivos apontados pelas PME’s como principais demandantes de tais serviços.
Após a definição das vertentes do objetivo da segurança, apontadas no parágrafo acima, devemos iniciar o trabalho com o levantamento das tecnologias utilizadas atualmente e então desenhar toda a estrutura lógica e física do projeto. Assim podemos identificar as possíveis ameaças e também os pontos críticos que devem receber maior atenção.
Definidos os pontos mencionados, o responsável pela Ti deve analisar as exigências do mercado e do governo, como por exemplo, a NF-e (Nota fiscal eletrônica). Com esta exigência a maioria das empresas depende de conexão com a Internet e disponibilidade para que o seu faturamento se torne ininterrupto, e como sabemos, no Brasil a qualidade e a disponibilidade do serviço de Internet é muito baixo, assim nos perguntamos:
Como resolver isso?
Esta questão é muito importante quando analisamos de forma mais ampla, pois além de fornecer alta disponibilidade à Internet, não podemos liberar o acesso total aos usuários, sem que tenhamos uma política de restrição de utilização, pois isso pode acarretar em problemas maiores, como infecção por vírus, utilização desordenada de banda entre outros problemas.
Existem hoje no mercado alguns serviços que provém proteção às ameaças, política de restrições de acesso, alta disponibilidade de link e possibilidade até mesmo de utilização de link redundante em 3G, tudo isso com valores bastante acessíveis.
Estes serviços auxiliam empresas na adequação das diversas normatizações e certificações de segurança, como a PCI-DSS, ISO entre outras.
Sugerimos muita cautela na contratação de serviços de segurança.
Recomendamos que a empresa tenha certificação dos fabricantes dos equipamentos e sistemas, que tenham realizado projetos e instalações anteriores no mesmo patamar.
Não se esqueçam das referências!
Lembre-se a empresa é quem deve gerir TODA a segurança de seus dados e informações. Por isso devemos saber com quem estamos lidando.
Outro fator importante é a verificação de custos “extra implantação”, pois muitas provedoras deste tipo de solução apresentam custos baixos em suas propostas iniciais, mas durante a implantação da solução sempre aparece uma cobrança por customizações.
Projetos elaborados, sem a verificação mínima dos pontos importantes levantados acima, quase sempre tendem a afundar ou não ganhar seqüência, além é claro, do gestor de Ti responsável ter seu emprego ameaçado em caso de confirmação das falhas ou desconformidades do projeto instalado.
Vamos pegar um exemplo prático.
Uma rede de lojas de varejo estava enfrentando um grande problema de controle e organização de suas informações, tanto no seu setor administrativo, quanto do seu setor operacional, desta forma a área de tecnologia foi acionada para encontrar soluções que melhorassem o controle e também minimizar as perdas que a empresa apresentava.
Hoje, com 12 filiais espalhadas pelo estado de São Paulo, o sistema de gestão não era único, cada filial tinha o seu sistema instalado, servidor e o seu próprio controle.
Os acessos a Internet também eram contratados de forma individual, não seguindo um padrão. O grande problema vinha na data de fechamento e balanço das lojas. Além de ser extremamente demorado, falhas eram constantemente apresentadas e todo o trabalho havia de ser refeito.
Imaginem esta situação, os problemas enfrentados pela área de TI com a gestão das 12(doze) localidades, já que não dispunham de doze profissionais, uma para cada local.
Com este cenário o desenho do projeto capacitava a estrutura a integrar o sistema das lojas em um único, além de o fazer de forma segura através de VPN.
Políticas de gestão e controle de acesso a internet, saída de informação da empresa, além da redução de custos com link´s e com o provedor de telefonia, implementando o VOIP, foram algumas das soluções propostas e implantadas neste case.
Neste caso, os resultados da melhora nos processos, da redução dos custos de telefonia e da segurança dos dados proporcionados ao contratante da solução, foram percebidas e muito elogiadas ainda na primeira semana da implantação d o projeto.
Todo o sistema foi migrado para o Data Center com o acesso das doze lojas através de um hardware de Firewall e Proxy, o que possibilitou uma VPN “site to site” com o Data Center. Tudo o que sai da empresa através da internet é hoje controlado e monitorado através de relatórios diários.
Lembre-se!
Um investimento pontual em segurança não garante tranqüilidade absoluta. Devemos sempre lembrar que nada é 100% seguro.
Qualquer investimento em segurança da informação pode parecer muito caro e com pouco ou nenhum retorno, contudo, nos dias atuais, na era digital em que vivemos, não ter qualquer política de segurança de seus dados pode trazer prejuízos devastadores e incalculáveis ao seu negócio.
Formado em Ciências da Computação pela Universidade São Judas Tadeu e pós graduado em Redes de computadores e segurança pela mesma instituição. Professor universitário na instituição UNINOVE, com atuação na área de ensino por mais de 10 anos, lecionando nas seguintes materiais principais: Redes de computadores; Segurança da informação; Projetos entre outros Gerente Operacional da empresa IWISE, trabalhando com implantação de projetos de virtualização VMWARE, interligação de filiais através de VPN, migração de servidores para Cloud e Business Intelligence. contato: lstok@iwise.com.br site: www.iwise.com.br twitter: @Lstok facebook: leandro stok linkedIn: leandro stok
You must be logged in to post a comment.
9:17:43 am
E aí Professor! 😉
ótimo texto, vou divulgá-lo.
abraços!
9:54:47 am
Obrigado, caso tenha alguma dúvida é só avisar.