Paradoxo da segurança: gerenciar riscos ou regras?

<p>Como equilibrar a tarefa de proteger a organização de acordo com as necessidades do negócio?</p>

Author Photo
7:05 am - 15 de julho de 2013

Nos últimos tempos, os departamentos de Tecnologia da Informação
tem passado por um dilema considerável no que tange à segurança das
redes que gerenciam:  seguir o famoso compliance (conjunto de regras e
políticas que, neste caso, se aplicam à segurança virtual) ou fazer uma
avaliação baseada nos riscos aos quais as organizações estão sujeitas hoje?

E é justamente neste ponto que encontramos uma série de empresas que
reconhecem a existência de vulnerabilidades que suas políticas de
segurança não cobrem – por falta de gestão ou atualização- mas engessam o usuário ou tornam algumas rotinas difíceis dentro da
organização. Muitas vezes, dependendo da complexidade do ambiente e da
empresa, um simples desbloqueio de um site pode levar meses para
acontecer.

Mas será que os analistas de segurança deveriam estar realmente
preocupados em cumprir o compliance para atender aos pedidos dos
usuários, ou deveriam estar monitorando as ameaças ao negócio, que estão
acontecendo neste exato momento?

A complexidade do ambiente computacional hoje e a sofisticação de
ataques e exploração de vulnerabilidades exige que as empresas
desenvolvam um programa maduro de gestão de riscos, para que consigam
efetivamente gerenciar reais ameaças de segurança da informação.

De posse de controles bem desenhados e implementados, é possível
equilibrar a tarefa de proteger a organização de acordo com as
necessidades do negócio.  As regras e políticas deveriam ser resultado
de uma gestão assertiva dos riscos de segurança da informação, e não o
contrário. Muito menos os analistas de segurança deveriam se subordinar
ao “pessoal do compliance”. Não é difícil vermos essa estrutura em
várias empresas.

Caixa de Pandora
O conjunto de regras de segurança da informação se tornou uma “caixa de Pandora” nas
organizações. Todos devem seguir, apesar de, às
vezes, ninguém saber exatamente o que há lá dentro, nem porque é feito
daquela forma. O problema desses ambientes, extremamente atrelados a
questões regulatórias, somente, é que facilmente perde-se o foco. O que
deveria ser uma análise crítica de riscos torna-se um procedimento de
aplicação de regras já estabelecidas. Mas quem está observando quais são
os cuidados que a empresa está tomando em relação à vulnerabilidade
descoberta na semana passada?

Na verdade, o olhar sobre a segurança da informação tem mudado
substancialmente nas últimas décadas. Cada vez mais a preocupação está
em torno dos riscos. Infelizmente, as organizações não estão seguindo o
mesmo ritmo. O famoso compliance já mudou de uma lista de controles que
precisam ser implementados (numa abordagem clássica) para um
procedimento que inclui uma avaliação crítica de riscos para a
implementação dos controles apropriados, de acordo com o nível do risco.

E é nessa abordagem que têm surgido as plataformas mais recentes de
segurança. Sistemas mais robustos de segurança trabalham com a avaliação
do risco em tempo real, e a análise das vulnerabilidades versus o
ambiente de rede da organização passa por uma varredura constante na
busca de brechas na segurança que podem realmente expor o negócio de
forma crítica. É claro que o compliance existe, mas o foco, nesses
casos, não é somente seguir as regras.


(*) Newton Monteiro é country manager da FireMon

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.