Principais erros com a segurança da informação

Recomendações para os gestores da segurança em TI, num “momento de caos quando a indústria de TI está numa reinvenção”.

Continuam a cometer-se erros com a segurança da informação.

Principais erros com a segurança da informação 1

A segurança nas TI pode ser uma tarefa ingrata, porque só se percebe quando não é feita. Mas, para fazer este trabalho na era da virtualização, smartphones e cloud computing, tem de se evitar erros técnicos e políticos. Em particular, eis cinco erros a evitar:

Principais erros com a segurança da informação 3

1. Pensar que a mentalidade do negócio da organização é a mesma que há cinco anos.
Não é. O seu poder e influência estão a ser desbastados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.
Tem de se ser pró-activo na introdução de práticas de segurança razoáveis para o que são escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de orientação para explicitar claramente os factores de risco e para que não hajam falsas premissas.

Principais erros com a segurança da informação 5

2. Não construir relações de trabalho entre as TI e gestores de nível superior.
Os grupos de segurança de TI são geralmente pequenos relativamente ao resto do departamento de TI. A segurança das TI apoia-se no pessoal de TI para realizar funções básicas de segurança. O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente quem mais diz “não” aos projectos de outras pessoas.
Além disso, não pense que a estrutura de poder está sempre a apontar para o director de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está a ocorrer em que o papel tradicional do CIO como comandante dos projectos de TI está em declínio a favor do aumento do poder do director financeiro (CFO) para ter a palavra final sobre os projectos de TI. Algumas evidências mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurança podem ir apenas até à ideia legal de “compliance”. O trabalho do profissional de segurança deve ser comunicar, comunicar, comunicar.

Principais erros com a segurança da informação 7

3. Não entender que a virtualização tem puxado o tapete do mundo da segurança.
As organizações estão no caminho para alcançar 80% de virtualização da sua infra-estrutura de servidores, e os projectos de virtualização de desktops estão a aumentar. Mas a segurança está atrasada, com muitos erradamente a assumir que começa e termina com as VLANs. A realidade é que arquitecturas de virtualização mudam tudo pela abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.
Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados estão finalmente a chegar ao mercado – e os profissionais de segurança precisam de descobrir se algum deles deve ser usado, ao mesmo tempo que se devem manter a par da evolução dos planos de segurança de fornecedores como a VMware, Microsoft e Citrix. A virtualização é uma promessa tremenda, eventualmente, para melhorar a segurança, especialmente na recuperação de desastres (“disaster recovery”).

Principais erros com a segurança da informação 9
4. Não se preparar para uma violação de dados.
É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correcção técnica, a lei precisa de ser seguido relativamente às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto nalgumas indústrias, como a da saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma participação coordenada pelo gestor de segurança de TI, o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planear os piores cenários, realizando internamente exercícios de violação de dados.

Principais erros com a segurança da informação 11

5. Complacência com os fornecedores de segurança de TI.
É necessário ter sólidas “parcerias” com os fornecedores de TI e de segurança. Mas o perigo numa qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olho crítico, especialmente em termos de confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e protecção contra malware. Muitos fabricantes estão a tentar adaptar controlos de segurança tradicionais aos reinos da virtualização e da computação em nuvem. Num certo sentido, é um momento de caos quando a indústria de TI está numa reinvenção. Mas isso só significa que a segurança das TI vai ter que se esforçar mais duramente para conseguir o que acredita que a organização precisa agora ou no futuro.

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos

RECEBER GRÁTIS:

DEIXAR COMENTÁRIO:

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.
Whatsapp Viber Telegram Ligar Agora Skype Enviar SMS

Bem Vindo!

Ao clicar em ENTRAR, declara que leu e que aceita a nossa Política de Privacidade.

ajudar-informatico-pt

Mantenha-se Informado!

Inscreva-se para receber conteúdo exclusivo, brindes, ofertas e promoções…

Share on facebook
Share on pinterest
Share on twitter
Share on email
Share on linkedin

Formulário Agendamento

assistencia ao domicilio

Formulário Contato

formulario de contato

Registar

Ao clicar em REGISTAR, declara que leu e que aceita a nossa Política de Privacidade.