por Newton Monteiro, country manager da FireMon para a América Latina
Existem falhas básicas na forma com que as empresas fazem a gestão de sua infraestrutura de segurança. Gestores de segurança de redes têm gasto milhões de dólares todos os anos em infraestrutura de segurança e na contratação e gestão de pessoas que operam todos esses equipamentos. E, mesmo assim, a maioria deles não consegue responder a questões fundamentais sobre sua postura de risco, tais como:
- Quais vulnerabilidades oferecem risco real a nossos servidores e dispositivos?
- Quais os controles de acesso não estão mais em uso e quais deveriam ser removidos?
- A mudança de configuração que estou prestes a aprovar vai aumentar meu risco?
Esse problema é agravado pelas limitações de orçamento e Recursos Humanos a que empresas de todos os portes e áreas de mercado estão sujeitas. Pior: esse problema se torna agudo quando segurança de redes, gestão de TI, gestão de riscos e compliance não conseguem se entender, e nem estabelecer um denominador comum quando a questão é a segurança.
A complexidade do ambiente computacional hoje e a sofisticação de ataques e exploração de vulnerabilidades exige que as organizações desenvolvam um programa maduro de gestão de riscos, para que efetivamente consigam gerenciar as reais situações de risco no que tange à segurança da informação.
E isso inclui, obrigatoriamente, o alinhamento de todas as áreas de TI sob o mesmo chapéu que é o de priorizar a segurança e afastar o negócio de qualquer vulnerabilidade, causada pela falta de controles, gestão, ou pelo “bate cabeça” entre equipes diferentes em TI. Os gestores de TI devem observar que uma falha de segurança, além de expor dados- expõe a reputação da sua empresa de forma negativa. Os recentes casos que aconteceram, e amplamente divulgados pela imprensa internacional, não deixam dúvidas disso.
As organizações com redes grandes e complexas, que incorporam segurança e tecnologia avançadas, precisam encarar desafios na gestão todos os dias. Continuamente, ameaças internas e externas, requerimentos de compliance que só aumentam e a pressão operacional constante impactam a efetividade das políticas, configurações, gestão de mudanças, visibilidade do risco, análise e auditoria dos processos criados para garantir acesso do negócio à rede, de forma segura.
De posse de controles bem desenhados e implementados, e com uma gestão clara de proatividade em segurança, é possível equilibrar a tarefa de proteger o ambiente a organização, em relação às necessidades do próprio negócio. As regras e políticas deveriam ser um resultado de uma gestão assertiva de riscos no que tange à segurança da informação, e não o contrário.