A nova visão da Área de Segurança da Informação

Este artigo escrito pelo Analista de Segurança da Informação Fábio Silva da Albuquerque e certificado MCSO disponivel aos leitores do site Modulo Security, traz um assunto muito interessante sobre a nova visão que a área de SI está tendo e buscando em muitas empresas. Pelo menos na empresa onde trabalho o caminho que está sendo seguido é este:

Como já é de conhecimento da maioria, tecnologia de Segurança da Informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não está só em tecnologia, mas também no fator humano.
Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Bem como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar se atualizar e se adaptar às novas tendências de mercado. É nessa hora que os gestores de SI têm mais um custo, que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança, e sim de operação e administração, eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto; na verdade, ele precisa ser o que chamamos de ¿especialista-generalista¿, ou seja, ter sólidos conhecimentos de SI e possuir conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra-estrutura, sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões e políticas, ou seja, deve exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos vamos dar um exemplo que está presente em 99% das empresas: os usuários e seus sistemas - imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos, e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio, suporte externo, onde geralmente é uma empresa que possui um foco de análise técnico em segurança, que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados que na verdade serão demandas para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão em um setor onde o cotidiano está muito operacional não é tarefa simples. O gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.