Segurança e compliance ainda são preocupações de TI

Enquanto virtualização e computação em nuvem dominam o mundo da TI, segurança e compliance com padrões de TI não se tornam preocupações triviais e não irão desaparecer tão cedo. Mas, em alguns casos, é mais fácil garantir segurança em sistemas virtuais do que em sistemas físicos.

Pegue, por exemplo, a tarefa de rastrear inventários de propriedades de TI em um data center. A Catbird, uma fornecedora de tecnologia de segurança e compliance, acabou de apresentar a versão 5.0 de sua suíte de ferramentas vSecurity, para segurança de redes físicas, virtuais e em nuvem. Uma das funções do produto é o Automated Asset Inventory: sempre que um novo dispositivo é adicionado à rede ? um servidor, roteador ou impressora ? a função de inventário o encontra e aplica as regras de segurança apropriadas.

Este é um exemplo de algo que não é possível no mundo físico, alegou a empresa. Jamais se pode ter um inventário perfeito. Invariavelmente, alguém conecta uma impressora sem contar a ninguém ou compra seu próprio roteador Wi-Fi. ?É o tipo de coisa que enlouquece os profissionais de TI e é um grande problema de segurança?, disse Tamar Newberger, da Catbird. ?Se não é possível monitorar alguma coisa, não é possível detectar caso haja algo errado?, completou.

De acordo com novos dados vindos de uma pesquisa realizada pela InformationWeek EUA, o ritmo de progresso da nuvem está desacelerando. No início de 2011, uma pesquisa sobre nuvem descobriu 60% mais de áreas de TI utilizando serviços em nuvem: 31% versus 18% no ano anterior. Este ano, 33% dos entrevistados disseram que utilizam serviços em nuvem, apenas 2 pontos percentuais a mais. O mais fácil já foi feito. Desafios de integração e preocupações com segurança são mais reais do que nunca.

A suíte vSecurity, da Catbird, entrega, também, detecção e prevenção de intruso, controle de acesso a rede, monitoramento de vulnerabilidades, reforço de compliance, gerenciamento de política e gerenciamento de configuração. Enquanto as funções compreendem muito, a empresa disse que o cliente pode usar ferramentas similares de outros fornecedores se preferir, e a vSecurity pode ser integrada a elas.

Segurança e compliance em ambientes virtualizados são um problema, adicionou ela, porque auditores nem sempre concordam sobre como certificar esses sistemas. Alguns auditores irão certificar um ambiente virtualizado, mas outros não. Somente no ano passado o Conselho de Padrões de Segurança PCI emitiu um conjunto de novas diretrizes para auditoria de ambientes virtualizados. PCI é o padrão da indústria para a segurança de redes que processam pagamentos em cartões de crédito ou débito.

O Conselho de Padrões de Segurança emitiu um relatório, em 20 de Janeiro, aconselhando empresas que querem mover sistemas PCI para a nuvem que, mesmo que terceirizem tais funções, ainda são absolutamente responsáveis por compliance e pela segurança de seus dados. O conselho certificou grandes plataformas de computação em nuvem, como o Amazon Web Services e o Computing as a Service, da Verizon, como compatível com PCI.

Porém, nem todos os órgãos de padrões de rede têm regras específicas de virtualização. O Instituto Nacional de Padrões e Tecnologia, como o PCI, tem regras de virtualizaçao, mas o Health Insurance Portability and Accountability Act (HIPAA), na área de saúde, não tem, disse ela. ?Por isso existe um pequeno caos acontecendo?, disse Newberger.

Mas, enquanto compliance é importante, não garante segurança, completou ela. Newberger recebeu, recentemente, novos cartões de crédito Visa e MarterCard para substituir os que ela já tinha, com novos números. Ela acredita que foi resultado da brecha no Zappos.com, um site de compras online, que revelou que dados pessoais de mais de 24 milhões de clientes foram comprometidos em Janeiro. ?Tenho certeza de que estavam sob os padrões PCI. Tenho certeza de que eles obedecem todos os padrões?, disse Newberger. ?O que faz com que pensem que segurança de virtualização e compliance são a mesma coisa. Em parte porque não existe uma medida empírica de segurança que conhecemos, exceto padrões de compliance. E eles são imperfeitos, com certeza.?

Tradução: Rheni Victorio | Revisão: Thaís Sabatini