TI precisa mudar políticas de segurança

Mobilidade, nuvem e avanço das redes sociais estão tornando as tradicionais regras obsoletas, dizem líderes da indústria.

A TI e os gestores de segurança da informação não conseguirão controlar diretamente nem proteger adequadamente os dados da empresa nos próximos anos. O alerta é de executivos da indústria que participam da Conferência RSA 2012, que está sendo realizada esta semana em São Francisco (EUA).

A confluência da computação em nuvem, tecnologias móveis e a consumerização de TI está impulsionando grandes mudanças na forma como os dados corporativos são acessados, usados e compartilhados.

Em vez de tentar lutar contra esse movimento e alterar a gestão dos dados, as empresas devem buscar uma adequação ao novo cenário de forma segura e prática, aconselham os executivos.

“Precisamos repensar a forma como proteger a empresa”, diz Enrique Salem, presidente e CEO da Symantec, que foi um dos keynotes da conferência, que começou na segunda-feira (27/2) e encerra nesta sexta-feira (2/03).

“Temos de parar de dizer ‘não’ e tentar formar uma parceria com a nossa comunidade de usuários para permitir o acesso seguro das novas tecnologias e ferramentas de mídia social, afirma Salem o executivo.

Salem observa que muitas das regras atuais sobre a segurança nas empresas devem ser descartadas. “Nesse novo mundo, não conseguiremos controlar o dispositivo”, afirma.

Os dados da empresa estão cada vez mais acessados e compartilhados via meios que têm pouco controle direto, como é o caso dos dispositivos móveis pessoais e redes sociais utilizadas pelos funcionários e serviços hospedados por provedores de cloud computing.

“Com a ampliação do uso de nuvens públicas e privadas não sabemos onde nossos dados residem nem quando serão acessados”, destaca Salem.

Modelos tradicionais de segurança que focam controles de perímetro da rede não funcionam no novo ambiente de TI, reforça o CEO da Symantec. As empresas devem começar a implementar controles que podem autenticar, autorizar e fiscalizar o acesso do usuário por meio de novas abordagens.

Em vez de ter firewalls apenas para evitar a entrada de códigos maliciosos na rede, as empresas devem começar a adicionar controles que podem manter as informações críticas protegidas, disse Salem.

Pela primeira vez, desde os primórdios da TI, os consumidores experientes e funcionários estão adotando tecnologias mais rapidamente do que as empresas podem absorvê-las “, ressalta Art Coviello, presidente da RSA, divisão de segurança da EMC.

Proteção de grandes volumes de dados

As ramificações da tendência são significativas. “A TI precisa aprender a gerenciar o que não pode controlar diretamente e aprender a proteger o que não consegue mais”, diz Coviello

Nos últimos 10 anos, observou ele, volumes de dados, velocidades de acesso a dados, o uso de tecnologias móveis e ferramentas de mídia social e níveis de risco aumentaram por várias ordens de magnitude.

“Se o Facebook fosse um País, seria o terceiro maior do planeta nesse momento”, compara o executivo da RSA/EMC. Proteger os dados corporativos no novo ambiente é muito diferente do que os modelos atuais de segurança permitem, acrescentou.

Scott Charney, vice-presidente da iniciativa Computação Confiável da Microsoft, enfatiza que a boa segurança no atual cenário deve ser cada vez mais sobre a capacidade de gerenciar e analisar grandes volumes de dados. “É muito importante entender que estamos nos movendo para a internet das coisas”, ressalta.

Como os usuários começam a acessar dados corporativos a partir de terminais móveis e outros canais, o gerente de segurança terá de encontrar uma maneira de lidar com uma avalance de informações relacionada a dispositivos, infraestrutura de cloud, geolocalização de dados e sensores, segundo Charney.

Patricia Tito, diretora de segurança da informação da Symantec, pondera que, embora muitos processos precisem mudar, algumas coisas sobre a segurança da empresa permanecem da mesma forma.

“A governança não mudou muito. Eu ainda tenho de manter a cibersegurança básica”, como patch e instalação de ferramentas antivírus. Esses ingredientes são fundamentais e os gerentes de segurança não devem ignorar tais medidas”, explica Patrícia.

“O trabalho de segurança é o mesmo, mas agora temos uma camada adicional de complexidade “, diz Patrícia.

Fonte: Computer World

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *