Quando falamos com qualquer pessoa hoje a respeito de segurança, quer seja corporativa ou pessoal a primeira palavra que vem a mente é: Firewall. Coitado do pobrezinho do Firewall, todos depositam nele todas as suas esperanças de sobrevivência e privacidade na grande rede, chamada hoje de internet. Porém ele sozinho apenas dificulta um pouco as coisas, mas não resolve. Para falar a verdade segurança 100% não existe em nada, quer seja física ou lógica.
A nossa maior arma é a conscientização de todos, inclusive dos executivos das empresas. Apesar de ser uma conversa antiga, os métodos de engenharia social tem sido aprimorado cada vez mais e tem alcançado níveis impressionantes tanto no mundo corporativo, quanto no âmbito pessoal.
Segundo a pesquisa mais recente da Módulo (sugiro ler é bem interessante ), a ameaça que foi responsável pelas maiores perdas financeiras ainda é o famigerado vírus e oriundo, provavelmente pelo já conhecida metodologia “fishing”, que significa pescando trouxas. Isso demonstra que as pessoas ainda estão clicando nos links recebidos por email. As conseqüências são piores no mundo corporativo, pois uma infecção por vírus pode significar roubo de informações confidenciais, o que comumente damos o nome de: vazamento de informações. O pobre antivírus não pode resolver todos os problemas uma que surgem milhares de vírus por dia e nem sempre os fabricantes possuem vacinas para os vírus novos e com isso… A infecção acontece e o pior que não sabemos o que irá acontecer: se vai formatar a máquina ou só vai roubar seus dados e arquivos. O que é pior?
Diante de tudo isso, podemos afirmar que a Segurança não é um “Ato” e sim um processo contínuo, em que certamente vai além de Firewalls, IPS, antivírus, antispam, atualização dos sistemas operacionais dos servidores e muitos outros dispositivos e processos. É preciso de pessoas capacitadas para atuarem prontamente em qualquer situação além é claro de uma monitoração precisa durante as 25 horas do dia. Isso mesmo 25 horas, pois o mundo não pára e quando estamos dormindo é que as coisas acontecem. Além de a Globalização ajudar nestes casos, pois agora não existe distância para a Tecnologia, existe não somente os fusos horários entre países, mas as pessoas que possuem insônia forçada (hackers e crackers) e ficam criando problemas para outros todos.
O cuidado é permanente e muitas vezes as empresas não possuem conhecimento, pessoal para o combate e não querem ter, pois não é o objetivo do negócio ter uma equipe de Segurança preparada. Logo surge a opção de terceirizar, mas deve ser feito com muito cuidado, especialmente sobre a idoneidade da empresa escolhida, uma vez que existem informações dentro da empresa, que terá este serviço terceirizado, confidencias e que podem certamente fazer a diferença frente ao concorrente se foram roubadas. É como se uma empresa colocasse sua vida nas mãos de um médico empresarial, que terá acesso aos seus segredos mais íntimos, ou terá meios de consegui-los sem a mínima resistência, pois tem autorização de proteger seus ativos e sua rede. Talvez um exemplo mais forte: a empresa poderá estar colocando um inimigo dentro de sua casa. Para tranqüilizar agora ( Ufa!), existem empresas sérias no mercado que fazem este serviço de “Gerenciamento de serviços de Segurança da Informação” com muita eficiência é só procurar. Não posso citar nomes, mas é só fazer uma pesquisa na Internet que encontrará.
Sou profissional com mais de 30 anos de experiência desenvolvida em empresas do setor "outsourcing" em TI e Segurança da Informação. Com 2 Pós graduações e 1 MBA na área de TI e diversas Certificações em Segurança e Tecnologia da Informação, dentre elas: COBIT 4.1, ITIL v2 e v3, ISO27002, CCSA/CCSE, experiência na área comercial, Coach de líderes e analista comportamental C-VAT. Meu link no "linkedIn": http://br.linkedin.com/in/limprota007
You must be logged in to post a comment.
10:50:33 pm
Muito bom Luiz, principalmente quando você define segurança como um processo continuo e não um “ato”. Agora como capacitamos as pessoas (diretores, gerentes, colaboradores, técnicos de TI e etc)para ter uma melhor segurança se elas recebem isso como um dificultador do seu dia-a-dia ?? Expor apenas as desvantagens da falta de segurança para elas muitas vezes não dão efeito. Como incetivamos elas a pensarem segurança como ela deve ser feita ??
3:39:12 pm
Jorge,
Primeiramente obrigado pelo comentário. Como disse no artigo, a conscientização é o caminho. E digo que não será fácil, quando o “board” da empresa não acredita em segurança. Para esta conscientização exigirá um reeducação comportamental de todos, pois segurança não se faz com uma ou duas pessoas: são todos. Que adianta você seguir as normas quando a baixar arquivo na internet, não dar carona de entrada quando alguém esquece o crachá, se outro faz e pôe tudo a perder. Sugiro iniciar com palestras, e-learnings de segurança, mostrando os cenários atuais e a estimativa dos futuro. Isto para todos os profissionais e não esqueça de convidar os diretores. Fale da importância deles. Com o tempo, organize uma semana da segurança, senão puder trazer alguém importante, faça voce mesmo uma palestra, junte reportagens recentes, pesquisas ( sugiro da Gartner e Módulo ) sobre as ameaças e por aí vai. Foque sempre em:” quanto vale nossa informação? Quanto vale nossa estratégia de negócio para o concorrente?”, dê exemplos. Tenho certeza que dentro de um médio/longo prazo as coisas irão melhorar. Boa sorte.