CW BLOG

Conheça as últimas novidades do sector das TIC's

5 maiores erros de segurança de TI

A segurança nas TI pode ser uma tarefa ingrata, porque só se percebe quando não é feita. Mas, para fazer este trabalho na era da virtualização, smartphones e cloud computing, tem de se evitar erros técnicos e políticos. Em particular, eis cinco erros a evitar:

1. Pensar que a mentalidade do negócio da organização é a mesma que há cinco anos.

Não é. O seu poder e influência estão a ser desbastados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.
Tem de se ser pró-activo na introdução de práticas de segurança razoáveis para o que são escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de orientação para explicitar claramente os factores de risco e para que não hajam falsas premissas.

2. Não construir relações de trabalho entre as TI e gestores de nível superior.

Os grupos de segurança de TI são geralmente pequenos relativamente ao resto do departamento de TI. A segurança das TI apoia-se no pessoal de TI para realizar funções básicas de segurança. O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente quem mais diz “não” aos projectos de outras pessoas.
Além disso, não pense que a estrutura de poder está sempre a apontar para o director de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está a ocorrer em que o papel tradicional do CIO como comandante dos projectos de TI está em declínio a favor do aumento do poder do director financeiro (CFO) para ter a palavra final sobre os projectos de TI. Algumas evidências mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurança podem ir apenas até à ideia legal de “compliance”. O trabalho do profissional de segurança deve ser comunicar, comunicar, comunicar.

3. Não entender que a virtualização tem puxado o tapete do mundo da segurança.

As organizações estão no caminho para alcançar 80% de virtualização da sua infra-estrutura de servidores, e os projectos de virtualização de desktops estão a aumentar. Mas a segurança está atrasada, com muitos erradamente a assumir que começa e termina com as VLANs. A realidade é que arquitecturas de virtualização mudam tudo pela abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.
Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados estão finalmente a chegar ao mercado – e os profissionais de segurança precisam de descobrir se algum deles deve ser usado, ao mesmo tempo que se devem manter a par da evolução dos planos de segurança de fornecedores como a VMware, Microsoft e Citrix. A virtualização é uma promessa tremenda, eventualmente, para melhorar a segurança, especialmente na recuperação de desastres (“disaster recovery”).

4. Não se preparar para uma violação de dados.

É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correcção técnica, a lei precisa de ser seguido relativamente às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto nalgumas indústrias, como a da saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma participação coordenada pelo gestor de segurança de TI, o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planear os piores cenários, realizando internamente exercícios de violação de dados.

5. Complacência com os fornecedores de segurança de TI.

É necessário ter sólidas “parcerias” com os fornecedores de TI e de segurança. Mas o perigo numa qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olho crítico, especialmente em termos de confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e protecção contra malware. Muitos fabricantes estão a tentar adaptar controlos de segurança tradicionais aos reinos da virtualização e da computação em nuvem. Num certo sentido, é um momento de caos quando a indústria de TI está numa reinvenção. Mas isso só significa que a segurança das TI vai ter que se esforçar mais duramente para conseguir o que acredita que a organização precisa agora ou no futuro.

Fonte: Computerworld