2013: segurança da informação deve ser ofensiva

Empresas não podem mais contar com estratégias de segurança defensiva, dizem os executivos da Gartner aos líderes de TI.

As ameaças aos dados corporativos evoluem com mais rapidez do que os mecanismos de defesa, de acordo com três analistas da Gartner. Os resultados, disseram, é que os negócios devem se adaptar ao deixar de lado medidas reativas, e adotarem métodos proativos, com mentalidade ofensiva.

O vice-presidente de pesquisas, Greg Young, começou sua apresentação dizendo que as empresas podem proteger conteúdo sigiloso focando em três áreas principais: proteção de infraestrutura ou “afastando os vilões”; gerenciamento de identidade e acesso ou “mantendo os mocinhos”; e continuidade de negócio, compliance e gerenciamento de risco, que ele caracteriza como as políticas que “mantêm os motores ligados”.

A palestra de Young foi focada na primeira área, infraestrutura, e também ofereceu contexto para os segmentos seguintes. Mudanças na tecnologia, afirmou, demandam mudanças na segurança – e não só porque os avanços significam que os meliantes ganharam acesso a métodos mais sofisticados. Tendências emergentes em SDN (software-defined networking), virtualização e computação em nuvem, por exemplo, mudaram, rapidamente, infraestrutura, de forma que as ameaças podem se esconder “onde não as procuramos”.

A dificuldade, segundo Young, vem do monitoramento e inteligência de segurança – isto é, encontrar não só elementos que já constam em listas negras e de exceções, mas também nas “graylists”. Esses pontos nebulosos podem ser pistas de ataques significativos, mas também podem ser – como no caso de um usuário não autorizado tentado acessar a rede – alarme falso. Ele mencionou as limitações das assinaturas e outras abordagens tradicionais de detecção de novas ameaças, argumentando que dados de segurança devem ser coletados fora “de um único ponto de inspeção”. Young disse, também, que ferramentas com base em reputação e identidade de usuário podem “ajudar a entender” o que se passa na rede.

Mobilidade complica ainda mais a equação, observou Young, alegando que nos próximos anos, 70% dos profissionais móveis devem conduzir seu trabalho em dispositivos móveis inteligentes. “É inevitável”, afirmou, acrescentando que BYOD se manterá um fato corporativo, “gostem ou não”. Grande parte dos riscos, porém, envolvem dispositivos perdidos, não ataques direcionados. Ferramentas de gerenciamento de dispositivos móveis, ou MDM, e controles similares, segundo Young, consequentemente, são de máxima importância.

Planejamento estratégico de infraestrutura, concluiu, não envolve segurança que tenta oferecer proteção contra todas as ameaças. Em vez disso, demanda uma política de acesso de usuário cuidadosamente elaborada e alinhada aos mecanismos de segurança.

O vice-presidente da Gartner, Earl Perkins, focou no gerenciamento de acesso e identidade. Ele começou citando o “Nexus of Forces”, tema introduzido em um keynote do mesmo dia, que explicou quatro agentes – redes sociais, computação em nuvem, mobilidade e big data – que estão moldando o futuro da TI.

Sobre as redes sociais, ele observou que identidades de usuários estão desempenhando um papel cada vez mais importante no espaço do varejo, e sugeriu que as empresas também poderiam aproveitar essa tendência para melhorar o gerenciamento de acesso de usuário. Chamando esse processo de “socialização da identidade”, ele disse que muitas empresas já criam programas de gerenciamento de identidade para definir direitos e permissões. Perkins disse que “talvez as identidades possam vir de outro lugar”, elaborando que, se esses perfis de mídias sociais podem ser encaixados em “uma embalagem corporativa”, eles podem se tornar um passo nos mecanismos de segurança corporativa.

Perkins especulou sobre o tópico, se referindo a resultados que podem vir daqui a uma década e estipulando que eles “dependem de ambientes, construção e infraestrutura de mídias sociais”. Mesmo assim, a área de gerenciamento de capital humano já começou a integrar mídias sociais para gerenciamento de usuário mais eficiente.

O tópico mais controverso, o acesso corporativo ao conteúdo de mídias sociais, não foi mencionado, mas possíveis vantagens ficaram mais claras quando Perkins argumentou sobre outra força, os dados. Ele mencionou os poderes de varejo que o Google ganhou ao explorar identidades de usuários ligadas às buscas, e previu que, até 2015, 80% das implementações bem sucedidas de identidade e acesso não só irão direcionar processos, como irão entregar inteligência. Ele chama tal tendência de “indexação de identidade” e declarou que, em termos de segurança, “você só tem controle porque tem inteligência para saber o que controlar”.

Quanto à nuvem, Perkins afirmou que ela simplesmente envolve “um ponto final consumindo algum serviço, em algum lugar… por meio de uma identidade”. Isso resulta em múltiplos pontos de acesso, o que ele associou à força da mobilidade, e exige que a autenticação de usuário mantenha o ritmo. Ele disse que gerenciamento de identidade e acesso com serviço (IDAAS) pode contar como 40% das vendas de serviços de nuvem, devido ao alto volume de pequenas e médias empresas compradoras, e não 40% de renda, até 2015.

Terminando com uma análise direta sobre mobilidade, Perkins disse que verificação de usuário cresceu para incluir não apenas senhas e cartões de acesso, mas também biometria, e que autenticação baseada em telefone permite que os negócios considerem o uso de um dispositivo para os três métodos.

O VP da Gartner, Paul Proctor, assumiu o último segmento, que abordou não só gerenciamento de risco, mas também voltou a falar sobre algumas das decisões de políticas que Young já havia destacado.

Ele argumentou que o gerenciamento de risco deve ser direcionado por processos e não por uma equipe de “heróis da segurança”. “Processos são interessantes porque são mensuráveis, podem ser repetidos e podemos sobreviver a eles”, disse ele.

Proctor explicou que esses processos não devem ter a pretensão de proteger contra tudo. Tal controle é impossível, afirmou, e indicou que o foco no treinamento de funcionários pode mitigar grande parte dos problemas. Ele repetiu a declaração de Young sobre BYOD ter chegado para ficar e completou dizendo que mudanças de comportamento são parte da solução. “A tendência está se tornando segurança como ciência social”, afirmou.

Chamando a atenção para outra mudança de comportamento, ele argumentou que os negócios devem parar de simplesmente calcular incidentes de segurança, já que as métricas não possuem valor contextual, e devem, em vez disso, focar na identificação de níveis de proteção mais apropriados às necessidades de cada um. Em parte, isso é baseado na indústria do negócio. Empresas de manufatura possuem propriedade intelectual, mas poucos dados pessoais, disse ele, então elas acreditam que podem “se virar com um pouco menos de proteção”. Um banco, porém, exige mais proteção porque tem mais chances de ser alvo de ataques.

De qualquer modo, os tomadores de decisões devem levar em consideração a complexidade das atividades da organização. Proctor exemplificou dizendo que o consultório de um médico precisa de segurança por questões regulatórias, mas que não pode ser posto na mesma categoria de um grande hospital. “O ponto é que quanto mais complicado for o negócio, quanto mais clientes ou tipos de atividade tiver, mais detalhes regulatórios terá e mais riscos – o que exige gastar mais dinheiro”.

Ele reconhece que os profissionais de segurança muitas vezes sofrem para explicar a necessidade de tantos gastos para os líderes corporativos. O segredo, segundo ele, é evitar abordagem tecnológica abstrata e associar as necessidades às preocupações com gastos de forma que os tomadores de decisão fora da área de TI compreendam com mais facilidade.

Proctor sabe que essa tarefa é mais fácil na teoria, e declarou que os relatórios convincentes devem destacar as ligações casuais entre problemas de segurança e resultados de negócio. Ele sugeriu que os riscos de aplicativos desatualizados podem ser evidentes para os profissionais de TI, mas os líderes de fora do departamento geralmente não compreendem por que essa questão exige ação e gastos.

A melhor abordagem pode ser conectar os problemas com esses aplicativos com falhas em sistemas críticos, como atrasos na cadeia de suplemento. “É um indicador importante que os executivos compreendem”, disse Proctor.

Fonte: Information Week

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *