Sobre Segurança em TI
- Publicado em 19/12/2005 na coluna Segurança de AliceRamos.com.
- Arquivo original em formato ODF (OpenOffice.org) e PDF.
- Publicado em 02/2012 como o Mini Paper Segurança da Informação.
- Mais artigos
Você sabia que segurança é, por anos consecutivos, apontado como um dos temas que mais gera interesse no mercado de TI? E é claro que fornecedores adoram abordá-lo na mídia, em eventos etc., porque é larga a fauna de produtos a oferecer. Funciona mais ou menos como a “indústria do medo” da área de segurança pessoal e carros blindados.
Se uma brecha de segurança é maliciosamente explorada numa empresa, o responsável será severamente punido pelo seu superior. E um fator psicológico que ameniza isso parece ser adquirir vários produtos de segurança para lançar-lhes a culpa, no caso de uma desgraça.
O fato é: quanto mais produtos de segurança uma empresa adquire, mais… terá produtos de segurança para gerenciar. Não necessariamente estará mais segura. Aliás, eleva-se a chance de ela estar insegura de fato devido ao aumento de complexidade em seu ambiente operacional.
Então o que é segurança? Uma definição que gosto é: segurança em TI se interessa por tudo que abrange a correta privacidade, disponibilidade e qualidade da informação. Essa definição tem derivações óbvias: “estamos inseguros se alguém de fora pode ver as informações internas de nossa empresa”; “estamos inseguros se nossos dados desaparecem”; e “estamos inseguros se alguém modifica maliciosamente nossas informações”.
O que muita gente ignora é que a informação pode ter sido exposta, desaparecida ou deteriorada por fatores internos como disco lotado, má configuração de algum software que nada tem a ver com segurança, ou até uma aplicação desenvolvida internamente, talvez por um programador inexperiente, que consumiu todo o poder de processamento de um servidor, deixando seu serviço — e por conseqüência a informação — indisponível.
Segurança não é firewall. Não são senhas. Nem serviço que se adquire como uma caixa preta. Nem criptografia. Tudo isso nada vale se estiver em mãos inexperientes ou inconseqüentes. Segurança corporativa em TI deve ser uma consciência perene em todos os envolvidos no fluxo da informação, ou seja, todos os funcionários de uma empresa. É um processo. E sendo assim, deve ser invocada desde a confecção de uma aplicação por um programador interno, até seu uso na mesa do usuário final. O primeiro mais que o último.
O primeiro passo é adotar uma metodologia, até uma criada internamente. O segundo é aplicá-la na área de desenvolvimento de aplicações, porque é na mesa do programador que a TI nasce, e se for concebida com segurança em mente, facilita no resto do ciclo de vida da aplicação (disponibilização e produção). Uma boa prática é não reinventar a roda toda vez que um programa novo precisa ser escrito. Use algum framework maduro de mercado, como Java Enterprise Edition, pois eles resolvem estes problemas em níveis que o programador corporativo não precisa chegar.
Costumo dizer também que segurança é sinônimo de organização. É possivel conceber segurança num data center desorganizado? E será que fizemos um bom trabalho se pararmos para organizar nosso data center sem pensar em segurança? Não há organização sem segurança, e vice-versa.
É comum também encontrar empresas em que este tema tem tamanha importância, sem hesitar em dizer que a níveis neuróticos às vezes, que fazer negócios passa a ser proibitivo, porque “é inseguro” fazer conexões aqui e ali. Reflexo popular disso é não permitir o uso das práticas ferramentas de mensagem instantânea ou sites de redes de amizades, como o orkut.com, porque claro, não queremos que um funcionário perca seu tempo falando com amigos pessoais. Mas muitas vezes ele está deixando de se relacionar com um cliente, parceiro, etc. Então é bom ou ruim permitir este tipo de abertura? A experiência tem mostrado que no balanço geral o resultado é positivo quando se permite a comunicação entre as pessoas.
O paradoxo é que empresas só fazem negócios quando seus funcionários se comunicam com o mundo de fora e o impulso natural da segurança é restringir isso. Portanto, nem tanto ao céu, nem tanto à terra, segurança em TI deve ser gerida de forma responsável, consciente, de mente aberta, e principalmente inovadora.
Avi,
Excelente conteúdo tanto pela reflexão como também pelos ensinamentos.
Pombo-correio, telefone preto que tinha nas casas dos nossos Pais, telefone ip, celular, msn, etc etc..são ferramentas de comunicação, o uso correto ou incorreto das mesmas depende da politica da empresa de segurança, treinamento etc. Ou seja, devem ser disponibilizadas sim, porém, os funcionáriso devem ser orientados do que podem ou não podem.
abraços e parabéns pelo seu espaço aqui, Facó