Segurança acompanha os últimos 10 anos de TI

Nestes últimos dez anos a Tecnologia da Informação não mudou: continuou tendo mudanças. Esta é a certeza que temos: teremos sempre mudanças! A segurança da informação acompanhou essas mudanças.O início desta última década começou proveitoso para o assunto segurança da informação. Afinal em todos os jornais e tele-jornais falavam no bug do milênio. O ano 2000 se aproximava e o mundo poderia parar. Exagero à parte tinha muito de verdade. Quem trabalhava com tecnologia da Informação sabia de verdadeiras situações de caos de certos sistemas, alguns deles críticos. São situações além do problema dos dois dígitos para controle do ano: falta de documentação, às vezes falta de programa fonte, dependência de pessoas específicas para a manutenção ou operação do sistema, impossibilidade ou grande dificuldade para mudança de plataforma tecnológica pois o sistema utilizava recursos que não evoluíram. Com o projeto para o ano 2000 estes sistemas foram substituídos por outros. Também, para o Brasil, o início desta última década começou a abertura do mercado de Telecom. O que isto tem haver com a segurança? Bem pelo menos dois aspectos. Em relação à disponibilidade começamos a poder escolher ter duas ou mais opções de fornecedores. Outra questão foi a necessidade de maior sigilo da informação das operadoras. Muitas informações não eram tratadas com o devido cuidado de sigilo, pois tudo pertencia a um monopólio de uma grande empresa. De repente o simples cadastro de clientes precisou ser classificado com o nível confidencial de sigilo. O e-business cresceu e sua bolha cresceu mais do que a realidade. Um dia a bolha estourou e sobreviveram apenas as empresas menos ?bolha? e mais pé no chão. Este fato fez as organizações aprenderem outra lição: gestão de fornecedores, que no meu livro Praticando a segurança da informação eu coloco no bloco da Flexibilidade Operacional. Precisamos saber e analisar o risco da dependência que temos com fornecedores e produtos. Se a organização depende de um produto cujo fornecedor explode com a bolha, a organização fica a ver navios e isto não pode acontecer em uma organização que quer ser sustentável. Isto não quer dizer que a organização deva fazer tudo. O ano de 2001 nos apresenta o desastre das Torres Gêmeas. De uma forma triste nos lembramos que desastres podem acontecer. Precisamos estar atentos para não cair no lugar comum de perguntar ?Qual a probabilidade disto acontecer??. A pergunta correta é ?E se isto acontecer??. A pergunta da probabilidade serve para indicar a prioridade das ações.Alguns anos de tranqüilidade e as organizações correndo para implantar o seu ERP, possibilitando mais controles, mais geração de informações sobre clientes e o negócio. Em relação à segurança da informação o uso de ERPs facilita o controle de acesso, a garantia de segregação de função, a existência de cópias de segurança. Porém um risco cresce: todos os ovos estão em uma mesma cesta. É uma característica da solução. É um risco que precisa ser bem tratado e administrado. A grande diferença nesse período é que não apenas as empresas de grande porte implantam ERP. Soluções para médias e pequenas organizações já são viáveis e possíveis.O uso de Software Livre bateu na porta da segurança da informação. ?Podemos usar ou não?? pergunta a direção e a área de TI. Pressionada pelo aparente baixo custo do Software Livre, a organização não entende que Software Livre e Software Proprietário são duas maneiras diferentes de negócio de software. Uma certeza: não se deve decidir apenas pelo custo financeiro inicial. As duas soluções são boas e atendem no que se propõem. Do ponto de vista de segurança da informação, precisamos analisar como ficam os requisitos de segurança (confidencialidade, integridade, disponibilidade, legalidade, auditabilidade e autenticidade) quando do uso de cada uma das soluçõesDurante esta década passada as eleições eletrônicas são vitrine. O sistema funciona muito bem e o Brasil é referencia mundial. Soluções deste tipo são frutos do aprendizado do Brasil quando da reserva de mercado e o segmento financeiro investiu em soluções próprias, permitindo que um país continental como o nosso tivesse pagamento de cheque instantâneo e compensação em tempo mínimo. Mas a segurança da informação deve que garantir que o sistema de eleições continue seguro e tenha uma gestão de riscos contínua. Com os escândalos do Mensalão, muitos micro-computadores foram apreendidos. Mensagens de correio eletrônico denunciaram (ou registraram) fraudes. A sociedade foi lembrada de que tudo que fazemos está registrado. Com estes fatos vêem a questão da legalidade e sua prova: se um email com o nome de fulano é realmente deste fulano. Precisamos de uma lei de crimes para o ambiente cibernético, inclusive para permitir realizar parcerias com outros países.Nestes últimos anos aprendemos que a dependência de empresas em algumas pessoas específicas, não acontece apenas com aquele programador ou operador. A trajetória de Steve Jobs na Apple nos mostra o quanto aquela organização depende desse gênio. A divulgação da sua doença fez o valor da ação da Apple diminuir. Mais recentemente as redes sociais e a exposição das pessoas no mundo virtual é o acontecimento que às vezes preocupa na questão da privacidade e na questão da veracidade. As vantagens das redes sociais são muitas. Os perigos também. A solução é o conhecimento por todos, inclusive os nossos filhos, do que é bom e do que é perigoso e eventualmente ilegal. Precisamos saber tirar o proveito da comunicação das redes sociais de forma segura.Mais recentemente a computação nas nuvens é o tema. O Nicholas Carr nos apresentou o tema de que os serviços de tecnologia da informação são produtos de prateleira, alguns profissionais se chocaram. A computação fora da organização possibilitará que as organizações não precisarão ter toda uma estrutura nas suas dependências. Elas precisam usar serviços de tecnologia da informação que estará em algum ponto do universo. Semelhante a energia elétrica: você não precisa saber onde foi gerada a energia usada em casa..Questões de segurança para a próxima década? Estas citadas da década passada e outras que ainda não sabemos. Mas todas elas estarão baseadas na necessidade de termos informações confiáveis para as nossas vidas e para o negócio de casa organização.Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética! Um princípio sem fim