Paradoxo da segurança: gerenciar riscos ou regras?
Como equilibrar a tarefa de proteger a organização de acordo com as necessidades do negócio?
Newton Monteiro (*)
Publicada em 15 de julho de 2013 às 08h15
Nos últimos tempos, os departamentos de Tecnologia da Informação tem passado por um dilema considerável no que tange à segurança das redes que gerenciam: seguir o famoso compliance (conjunto de regras e políticas que, neste caso, se aplicam à segurança virtual) ou fazer uma avaliação baseada nos riscos aos quais as organizações estão sujeitas hoje?
E é justamente neste ponto que encontramos uma série de empresas que reconhecem a existência de vulnerabilidades que suas políticas de segurança não cobrem – por falta de gestão ou atualização- mas engessam o usuário ou tornam algumas rotinas difíceis dentro da organização. Muitas vezes, dependendo da complexidade do ambiente e da empresa, um simples desbloqueio de um site pode levar meses para acontecer.
Mas será que os analistas de segurança deveriam estar realmente preocupados em cumprir o compliance para atender aos pedidos dos usuários, ou deveriam estar monitorando as ameaças ao negócio, que estão acontecendo neste exato momento?
A complexidade do ambiente computacional hoje e a sofisticação de ataques e exploração de vulnerabilidades exige que as empresas desenvolvam um programa maduro de gestão de riscos, para que consigam efetivamente gerenciar reais ameaças de segurança da informação.
De posse de controles bem desenhados e implementados, é possível equilibrar a tarefa de proteger a organização de acordo com as necessidades do negócio. As regras e políticas deveriam ser resultado de uma gestão assertiva dos riscos de segurança da informação, e não o contrário. Muito menos os analistas de segurança deveriam se subordinar ao “pessoal do compliance”. Não é difícil vermos essa estrutura em várias empresas.
Caixa de Pandora
O conjunto de regras de segurança da informação se tornou uma “caixa de Pandora” nas organizações. Todos devem seguir, apesar de, às vezes, ninguém saber exatamente o que há lá dentro, nem porque é feito daquela forma. O problema desses ambientes, extremamente atrelados a questões regulatórias, somente, é que facilmente perde-se o foco. O que deveria ser uma análise crítica de riscos torna-se um procedimento de aplicação de regras já estabelecidas. Mas quem está observando quais são os cuidados que a empresa está tomando em relação à vulnerabilidade descoberta na semana passada?
Na verdade, o olhar sobre a segurança da informação tem mudado substancialmente nas últimas décadas. Cada vez mais a preocupação está em torno dos riscos. Infelizmente, as organizações não estão seguindo o mesmo ritmo. O famoso compliance já mudou de uma lista de controles que precisam ser implementados (numa abordagem clássica) para um procedimento que inclui uma avaliação crítica de riscos para a implementação dos controles apropriados, de acordo com o nível do risco.
E é nessa abordagem que têm surgido as plataformas mais recentes de segurança. Sistemas mais robustos de segurança trabalham com a avaliação do risco em tempo real, e a análise das vulnerabilidades versus o ambiente de rede da organização passa por uma varredura constante na busca de brechas na segurança que podem realmente expor o negócio de forma crítica. É claro que o compliance existe, mas o foco, nesses casos, não é somente seguir as regras.
(*) Newton Monteiro é country manager da FireMon