Escolar Documentos
Profissional Documentos
Cultura Documentos
As ameaças virtuais estão cada vez mais constantes. Deixar de se proteger não
é mais possível, sob risco de perder não apenas a privacidade, mas também
dados sigilosos, o que pode causar sérios prejuízos financeiros. Conheça
as ×
necessárias para defender sua organização e
previna-se.
½
!!
"
funcionário!
A
refere-se à proteção requerida para proteger as
informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto às
corporativas quanto às pessoais. ÿntende-se por informação todo e qualquer
conteúdo ou dado que tenha valor para alguma organização ou pessoa. ÿla
pode estar guardada para uso restrito ou exposta ao público para consulta ou
aquisição.
c
O fato é que hoje, quer seja como princípio para troca de mercadorias,
segredos estratégicos, regras de mercado, dados operacionais, ou
como simplesmente resultado de pesquisas, a
, aliada à crescente
complexidad e do mercado, à forte concorrência e à velocidade imposta pela
modernização das relações corporativas, elevou seu posto na pirâmide
estratégica, tornando -se fator vital para seu sucesso ou fracasso.
^ ^
Para entender a importância da proteç ão das informações, basta pensar no
prejuízo que causaria para os negócios a posse desses dados pela concorrência
ou por alguém mal -intencionado. Atualmente, o momento é de revisão de
processos e de avaliação de soluções que protejam cada vez mais as
informações corporativas, sem impactar fortemente na produtividade. O fato é
que hoje a
é considerada
e já encabeça a lista de
preocupações de grandes empresas.
% !
| &
'
(
)
*#&
#
#
! #
#+
# ) ,
!
#
]
#
*#!#
-
!
Gualquer companhia, desde as pequenas empresas com dois ou três PCs até
complexas organizações com atuação em diversos países sabem que em maior
ou menor grau a tecnologia é essencial para seu negócio. ÿntão, justamente
por ser vital é que esse bem não palpável traz consigo uma necessidade básica:
segurança.
O desafio não é tão simples. Pela própria natureza, embora muitas empresas de
TI estejam se esforçando para mudar essa r ealidade, a segurança da
informação é reativa. Isso significa que, tradicionalmente, primeiro verifica -se a
existência de um problema, como vírus, fraude, invasão, para depois encontrar
sua solução, vacina, investigação, correção de vulnerabilidade.
Para muitos esse cenário pode causar pânico. Afinal, primeiro eleva -se a
informação ao patamar mais crítico da empresa, tornando -a peça principal do
jogo.
ÿm seguida, vê-se que esse dado, pela forma e processo com que é
disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um
garoto, que resolveu testar programas hackers disponibilizados na própria
Internet ou usurpado por funcionários e passado para a concorrência.
ÿspecialistas de segurança reconhecem que afirmar ser 100% seguro é algo
precipitado e arriscado, mas apontam que
×
, ×
e
formam um tripé resistente no
combate ao crime eletrônico.
^^
^ ^
Outro fenômeno que tem sido observado é a concentração dos serviços de
segurança pelo grupo dos dez maiores integradores mundiais. Isso reflete a
necessidade prioritária de as grandes corporações e governos moverem -se em
direção a fornecedores sólidos que possam atender as demandas com
flexibilidade, inteligência e rapidez. Também, elevando a importância dos
fatores de ética profissional, confiabilidade e independência, posicionando -se
para o gestor como o 9
9
.
§
×
ÿxperiências corporativas demonstraram que apenas softwares não constróem
uma muralha resistente à crescente variedade de ameaças, falhas e riscos. É
preciso que as ações corporativas sejam direcionadas por um
, de forma que todos possam estar à frente de determinadas
situações de emergência e riscos com uma postura mais pró -ativa que reativa.
ÿsse plano será responsável por verificar se a corporação está desti nando verba
suficiente para manter o nível de segurança alinhado às expectativas de
negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se
há uma falsa sensação de segurança. É muito comum haver grande disparidade
entre o cenário que se pensa ter e aquilo que realmente ele é.
De forma mais ampla, esse plano deve considerar questões estratégicas, táticas
e operacionais de negócios, atrelando -as a três tipos básicos de risco: humano,
tecnológico e físico. Ao longo desse curso serão abordadas todas essas
variáveis, desde os tipos mais tradicionais de vírus que se disseminam pela
rede até as portas mais vulneráveis da empresa, passando pelo monitoramento
de sua rede, seus profissionais, soluções de TI, gestão e políticas de segurança.
"
- .'/
* #
Ê
Contudo, essa ainda é apenas a ponta do iceberg. A Segurança da Informação
deve estar atrelada a um amplo
Ê
,
que se constitui de pelo menos três fases principais:
§ A infraestrutura de tecnologias, envolvendo tanto aquisição de
ferramentas quanto configuração e instalação de soluções, criação de projetos
específicos e recomendações de uso.
Apresentar um organograma consolidado das ferramentas e soluções que
compreendem a segurança de uma rede corporativa é algo até arriscado,
considerando a velocidade com que se criam novos produtos e com que se
descobrem novos tipos de ameaças.
Algumas dessas aplicações são:
£
: Ferramentas relacionadas à capacidade de
operar de cada servidor da empresa. Vale lembrar que um dos papeis da
segurança corporativa é garantir a disponibilidade da informação, algo
que pode ser comprometido se não houver acompanham ento preciso da
capacidade de processamento da empresa.
£
Ê
Ê
: Como
complemento do
, o IDS se baseia em dados dinâmicos para
realizar sua varredura, como por exemplo, pacotes de dados com
comportamento suspeito, códigos de ataque, etc.
£ å
: Produtos que permitem à corporação
realizar verificações regulares em determinados componentes de sua
rede, como servidores e roteadores.
£
å
å
Vma das
alternativas mais adotadas pelas empresas na atualidade, as VPs são
canais em forma de túnel, fechados, utilizados para o tráfego de dados
criptografados entre divisões de uma mesma companhia, parceiros de
negócios.
£
×
: Vtilizada para garantir a confidencialidade das
informações.
£ "
×
×
×
×
×
×
o
£ Ê
: Permitem centralizar o gerenciamento de diferentes
tecnologias que protegem as operações da companhia. Mais que uma
solução, trata-se de um conceito.
£
: eliminam a maioria dos e -mails não solicitados.
£ ^
: São programas para realizar cópias dos dados
para que, em alguma situação de perda, quebra de equipamentos ou
incidentes inusitados, a empresa possa recuperá -los. Pela complexidade
de cada uma das etapas compreendidas em um projeto de segurança,
especialistas recomendam que a empresa desenvolva a implementação
baseando-se em projetos independentes.
´
O maior perigo para uma empresa, em relação à proteção de seus dados, é a
falsa sensação de segurança, pois pior do que não ter nenhum controle sobr e
ameaças, invasões e ataques é confiar cegamente em uma estrutura que não
seja capaz de impedir o surgimento de problemas. Por isso, os especialistas não
confiam apenas em uma solução baseada em 9
.
"
o entanto, ao se analisar a questão da Segurança da Informação, além da
importância relativa de cada um desses pilares, é preciso levar em conta um
outro patamar de relevância, pois estará sendo envolvida uma gama muito
grande de soluções d e inúmeros fornecedores.
Ë
muitas pragas da Internet e destacado entrave para a produtividade,
também podem ser alocados para dentro do chapéu da Segurança da
Informação.
Programas para controlar o acesso de funcionários, que bloqueiem as
visitas às páginas suspeitas e evitem sites com conteúdo malicioso,
também são destaques. Mas, antes da implementação da tecnologia, é
necessária a realização de uma consultoria que diagnostique as soluções
importantes.
ÿssas inúmeras ferramentas, no entanto, geram outro problema: como
gerenciar toda essa estrutura dentro de u ma rotina corporativa que
demanda urgência e dificilmente está completamente dedicada à
segurança?
A melhor resposta está no gerenciamento unificado. A adoção de novas
ferramentas, como sistema operacional, ÿRP ou CRM, precisa de análise
dos pré-requisitos em segurança.
M
Ê
!#$
Vm dos pontos que permanecem sem uma definição precisa é a viabilidade de
combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento
entre essas áreas pode ser fatal para uma companhia no caso de um desastre
natural, como o furacão Katrina em 2005, que atingiu a cidade norte -americana
de ova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo
uma pane elétrica ou incêndio.
Algumas metas gerais para os gestores de segurança são:
Para atender aos requisitos de segurança lógica e física de redes globais cada
vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado,
6
o cenário apresenta ameaças crescentes e cada vez mais fatais, 9, vírus,
ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a
complexidade tecnológica crescem também e aumentam as atribuições e as
habilidades necessárias para exercer a função de CSO.
o Brasil, a demanda não chega a ser tão grande, mas esses profissionais já
são comuns em instituições financeiras, seguradoras, operadoras de
telecomunicação e empresas com operações na Internet. ÿspecialistas em
carreira recomendam que o CSO tenha atuação independente e não se reporte
ao CIO, mas diretamente à diretoria ou à presidência.
MÊ
O estudo M Ê
(GISWS) destaca que a
responsabilidade pela segurança da informação cresceu na hierarquia da gestão
e acabou chegando ao conselho diretor e ao CÿO, CISO ou CSO.
Guase 21% dos entrevistados na pesquisa disseram que seu CÿO agora é o
responsável final pel a segurança da informação, e 73% afirmaram que esta
tendência se manterá.
Cada vez mais é essencial que as organizações sejam pró -ativas na defesa de
seus ativos digitais. Desse modo, é preciso contar com profissionais
competentes para lidar com soluções de segurança complexas, requisitos
regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades
onerosas.
Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às
funções de negócio. Profissionais de segurança precisam apri morar suas
habilidades técnicas e de negócio para que possam exercer a função.
½
A certificação de Segurança da Informação pode ser dependente e/ou
independente de fabricantes e é bem útil para o desenvolvimento da carreira.
As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por
ù
exemplo, são meios importantes para conseguir as habilidades necessárias ao
cargo. o entanto, elas precisam vir acompanhadas de certificações que
demonstrem uma ampla base de conhecimen to e experiência. As
certificações½
Ê
9 9
99 (CISSP)
e ½
Ê
9 9 (CISA) são ótimas opções.
Vma boa dica para quem pretende se profissionalizar na área de Segurança da
Informação é obter certificações de uma associação de segurança profissional
para ajudar a impulsionar a carreira.
É importante ressaltar, també m, que certificações e experiência na área são
pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e
se tornar um CSO é necessário saber se comunicar, em termos de
negócios. Para isso, a proficiência técnica deve ser aliada à habilida de de
transmitir o valor do negócio.
O CSO deve ser capaz de explicar os benefícios da segurança, acerca
de retorno do investimento (ROI), e seu valor para melhorar a capacidade da
empresa em fechar negócios, além de deixar claro quais são as soluções
práticas que ela pode trazer para a resolução dos problemas.