Quando se trata de gerenciar a segurança da tecnologia da informação (TI), a diferença entre êxito e fracasso geralmente depende das medidas preventivas que sua organização adota para lidar com as ameaças.

Em resumo:

  • Faça da segurança uma prioridade e invista nela.
  • Desenvolva diretivas, procedimentos e planos para resolver incidentes na segurança e gerenciar os eventos cotidianos.
  • Use métodos de teste para garantir que seu ambiente de segurança ofereça proteção máxima.

Muitas empresas abordam a segurança de TI de forma irregular, ou mesmo casual. Como resultado, hackers, ladrões e funcionários descontentes têm acesso livre a sistemas e dados. Estes são os erros mais comuns que as organizações cometem e o que você pode fazer para reduzir o seu risco:

1. Não-priorização da segurança. Apesar da enxurrada de notícias sobre riscos e falhas de segurança, muitas empresas ainda consideram que as questões de segurança são secundárias. “A segurança é cara e não parece ser um aspecto vital dos negócios”, revela Matthew Green, analista da Independent Security Evaluators, em Baltimore, EUA. “Ela consome um dinheiro que os executivos preferem gastar em outra área da organização.”

Quase sempre os executivos não reconhecem um risco até quando já é tarde demais – depois que um ladrão rouba os registros dos clientes, por exemplo, ou invade o site. Andrea Gallazzi, presidente da Krisopea, uma Microsoft Certified Partner sediada no norte da Itália, especializada em infra-estrutura e segurança, afirma que as interrupções mais comuns estão relacionadas a práticas inadequadas de instalação de patches, configurações de sistema desatualizadas e uma falta de preocupação geral com a segurança.

Solução: Leve a sério as ameaças à segurança e dedique tempo e dinheiro suficientes para proteger seu ambiente de TI. Isso implica em ir além dos requisitos básicos da lei Sarbanes-Oxley Act e de outras iniciativas de conformidade do governo dos Estados Unidos. Embora todas as empresas devam definir em que ponto a segurança se classifica entre suas prioridades de investimento, o valor médio investido em segurança em 2006 foi de 8% a 12% do orçamento total de TI, segundo a empresa de consultoria em TI META Group. As organizações com visão de futuro desenvolvem um caso comercial para soluções de segurança – com contribuição de vários departamentos – e o usam para determinar os gastos.

2. Estratégia de resposta inadequada. Quando ocorre uma ameaça à segurança e ninguém assume a responsabilidade de combatê-la, o atraso e a indecisão podem minar uma resposta eficaz. “Hoje em dia, muitas empresas são capazes de identificar incidentes de segurança em seu ambiente de TI, mas elas ainda não têm a agilidade necessária para reagir com eficiência – principalmente às novas ameaças”, revela Ken Dunham, diretor do Rapid Response Team da VeriSign iDefense, em Dulles, Virgínia, EUA.

Solução: O planejamento antecipado deve envolver grupos interoperacionais e utilizar consultores externos e serviços de inteligência de segurança para monitorar as mais recentes ameaças e divulgar essas informações aos clientes. Nomeie um líder – alguém com conhecimento em segurança, dentro ou fora do departamento de TI – para lidar com os incidentes, formar uma equipe de emergência que esteja disponível 24 horas por dia, sete dias por semana, e desenvolver diretivas e procedimentos claros sobre como lidar com ameaças à segurança ou incidentes de segurança. A equipe de emergência deve ser formada por indivíduos de vários departamentos, inclusive recursos humanos, jurídico, financeiro e operacional.

3. Sistemas de segurança mal-integrados. Como as ameaças à segurança mudam constantemente, muitas empresas se vêem tendo que lidar com um emaranhado de aplicativos, configurações de hardware, administradores internos, códigos de programação e consultores – todos uma fonte potencial de incompatibilidades e ineficiências. “A uma certa altura, as coisas fogem completamente ao controle, e a empresa acaba com uma bagunça nas mãos”, lamenta Gallazzi.

Solução: Uma prática recomendada sólida consiste em reavaliar o ambiente de TI pelo menos uma vez ao ano e, então, integrar, consolidar e testar os sistemas regularmente. Muitos dos produtos mais recentes, como a linha Microsoft Forefrontde aplicativos de segurança integrados, podem unificar e simplificar a administração e, ao mesmo tempo, melhorar a proteção em geral. Embora o custo e a complexidade de administrar e testar atualizações de segurança possam ser imensos, as organizações que tentam economizar dinheiro podem enfrentar custos mais elevados no caso de uma falha grave na segurança. Um incidente deste tipo poderia macular a reputação da empresa, enfurecer os acionistas, trazer possíveis multas por violação de conformidade e afetar a receita.

4. Falta de treinamento da equipe de funcionários. Há uma avalanche cada vez maior de ameaças desenvolvidas para explorar o elo mais fraco da cadeia de segurança: seus funcionários. Em especial, as técnicas de engenharia social, como “phishing” e “spear phishing” (este último refere-se a golpes direcionados a uma determinada pessoa ou pequeno grupo), podem causar grandes estragos. “Muitas empresas consideram o treinamento como algo supérfluo ou acham improdutivo retirar as pessoas do seu trabalho por algum tempo”, aponta Joseph Feiman, vice-presidente de pesquisa da Gartner, uma empresa de pesquisa e consultoria de TI, em Stamford, Connecticut, EUA.

Solução: O treinamento básico sobre administração de senhas, navegação segura na Web, mensagens instantâneas e práticas de email pode alcançar resultados excelentes na proteção de sistemas. Não se importe com detalhes de firewalls e sistemas de detecção de invasão; concentre-se nas práticas de computação segura e em outros tópicos relevantes às funções exercidas na empresa. Investir de 10 a 20 minutos em apresentações de nível empresarial ou instaurar treinamentos online mensais obrigatórios (ou sessões mais longas trimestralmente) costuma ser suficiente. Dê continuidade com dicas regulares por email ou um pequeno boletim eletrônico mensal.

5. Regras e procedimentos ineficientes. É fácil reagir a uma ameaça bloqueando as mensagens instantâneas ou proibindo o uso de unidades flash USB (Universal Serial Bus), que podem transportar dados para fora das paredes físicas da empresa. Você também deve criar a ilusão de segurança mais forte ao exigir que os funcionários mudem a senha todos os meses. Infelizmente, regras trabalhosas podem reduzir a produtividade – ou simplesmente encorajar os funcionários a encontrarem formas de burlá-las. “Diretivas fracas podem se tornar um obstáculo para a realização do trabalho e até aumentar os riscos de segurança”, alerta Dunham.

Solução: Tente equilibrar a segurança e a produtividade. Embora seja fundamental contar com proteções de alta segurança em vigor – por exemplo, obrigar a criptografia de dados confidenciais em laptops – é preciso que seja simples e fácil para os usuários legítimos acessar os sistemas da empresa. Por exemplo, alguns computadores hoje em dia vêm com um dispositivo biométrico integrado de digitalização de impressões digitais que “reconhece” automaticamente um usuário ou descriptografa um arquivo. Por fim, não ignore as diretivas e procedimentos na pressa, para cumprir um prazo. Exija continuidade e instaure penalidades para quem não cumprir os regulamentos.

6. Ameaças internas. Apesar de tudo o que se fala sobre os hackers e invasores, muitas vezes a quebra da segurança é feita pelos próprios funcionários. Funcionários descontentes e inescrupulosos são uma constante ameaça, e pode haver descuido excessivo, principalmente entre os viajantes freqüentes que levam computadores portáteis e assistentes digitais pessoais. É praticamente impossível controlar os executivos de alto nível e os administradores, com privilégios de acesso quase totais. Para aumentar ainda mais as preocupações: Pessoal de entrega, trabalhadores temporários e até faxineiros com freqüência podem percorrer as instalações livremente.

Solução: Embora não haja uma maneira de se obter proteção completa, há algumas medidas que você pode tomar para minimizar os riscos. Em primeiro lugar, distribua sistemas e privilégios de modo que ninguém tenha controle excessivo. Em segundo lugar, saiba onde os backups, os arquivos e as cópias de bancos de dados usados para testes e correções de software residem. Em terceiro lugar, mantenha registros precisos de quem está usando computadores móveis e verifique se os funcionários sabem como proteger dispositivos e dados quando estiverem em trânsito. Por fim, não permita que pessoas de fora fiquem desacompanhadas em seus escritórios.

Por Samuel Greengard