As companhias com estratégias de segurança de TI muito focadas em conformidade estão despreparadas para enfrentar as perigosas ameaças cibernéticas. O alerta é de especialistas que participaram da RSA Conference 2013, realizada na semana passada em San Francisco (EUA).
Os Chief Information Officers (CSOs) ou gestores de segurança que ficam mais concentrados nas questões de compliance não conseguem dedicar muito tempo para as prevenções contra ataques, disseram os conferencistas.
Ao longo dos últimos anos, as estratégias de segurança de muitas empresas e agências governamentais têm se centrado mais no atendimento de requisitos das leis e normas como Sarbanes-Oxley; Information Portability and Accountability Act (HIPAA), que determina que todas as organizações da área de saúde adotem medidas para proteger informações dos pacientes; Payment Card Industry Data Security Standards (PCI DSS), estabelecido pelas administradoras de cartão de crédito para coibir fraudes nas transações com o dinheiro de plástico; Federal Information Security Management Act (FISMA), regulamentação criada pelo governo dos Estados Unidos, que exige que cada agência federal desenvolva, documente, implemente um amplo programa de segurança para as informações e sistemas que suportam suas as operações, entre outros padrões.
Especialistas dizem que o cumprimento dessas normas é importante, mas elas devem ser atendidas baseadas em uma estratégia mais ampla de segurança da TI.
“O setor de auditoria tornou-se um monstro”, avalia Anup Ghosh, fundador da empresa de segurança Invincea. “Manter esses caras na baía faz com que times de segurança em TI de muitas organizações fiquem focados em tempo integral em compliance. Eles têm que se dedicar ao cumprimento de um monte de requisitos e processos que precisam ser verificados e seguidos”, analisa o executivo.
A maioria das normas exigem que as empresas implementem um conjunto mínimo de controles de segurança, afirma Ghosh. No entanto, essa tarefa consome tempo e a maior parte dos orçamentos de segurança em muitas companhias.
“Se tudo o que você está fazendo é atender uma necessidade de auditoria, você não está se concentrando nas ameaças”, chama atenção Ghosh. Ele alerta que os CSOs têm que ficar longe da conformidade de segurança orientada, que deixa as ameaças de lado.
O atendimento dos requisitos de conformidade são frequentemente estáticos e prescritivos, de acordo com executivos de segurança. O cumprimento de padrões permite que as organizações meçam o resultado dos esforços da área de segurança. Porém, essas métricas podem ser enganosas.
Os especialistas em segurança afirmam que as organizações podem estar completamente compatíveis com um padrão específico, mas ainda não têm proteção para múltiplas ameaças.
Os especialistas mencionam os esforços das agências federais na última década para adequação do FISMA. Apesar de bem intencionado, esse padrão exigiu um intenso trabalho dos gestores de segurança nos órgãos públicos, cujo principal objetivo é o cumprimento desse requisito, afirmam eles.
Cada vez mais a segurança da informação se preocupa com problema situacional, disse Stephen Trilling, diretor de tecnologia da Symantec. Não há uma compreensão sobre todas as ameaças potenciais para que a área possa respondê-las com velocidade.
“Muitas empresas têm se preocupado com compliance sem realmente fazer o trabalho de segurança”, constata Trilling. “Você sempre pode fazer o mínimo, mas isso não é o suficiente para garantir que uma companhia ou agência governamental se proteja contra os ciberataques”, disse ele.
Trilling afirma que os recentes ciberataques são altamente segmentados e realizados por adversários persistentes e sofisticados.
As tradicionais ferramentas baseados em assinaturas de segurança não podem oferecer proteção contra malware gerado automaticamente, técnica que vem sendo usada amplamente pelos cibercriminosos. “Agora você tem milhões de ameaças e cada uma usa duas ou três máquinas”, disse Trilling.
Com base nesse cenário, o executivo diz que o pessoal de segurança de TI precisa olhar além dos modelos de conformidade orientados para lidar com estas ameaças.
CSOs muito focados em conformidade podem colocar empresas em risco – Notícias – CIO.