Segurança. Uma questão que transcende a tecnologia

O processo de segurança da informação em uma empresa deve, necessariamente, ser tratado de uma forma mais abrangente (ou mais holística como gostam alguns). Trata-se de tema multidisciplinar que, embora muitas vezes liderado pela área de TI, deve envolver toda a organização. Um claro indicador dessa necessidade está na simples constatação de dados históricos: atualmente mais de 60% dos problemas de segurança dos sistemas de informação nas corporações são devidos às ações, intencionais ou não, de seus próprios funcionários. Assim, itens comodefinição clara de regras, treinamento das pessoas, segurança física de equipamentos, etc. devem sempre ser levados em conta e fazer parte de uma visão integrada sobre segurança.

De uma forma mais estruturada, lidar com a questão de segurança envolve um processo contínuo e que deve contemplar as seguintes etapas:

1. Identificação das necessidades de segurança:

Trata-se de tarefa de alto nível, que implica em se conhecer os processos, os sistemas e seus usuários.

2. Análise dos riscos envolvidos:

Ninguém consegue se proteger de forma eficaz de algo que não se conhece.Assim, é fundamental a identificação dos bens envolvidos (tangíveis ou intangíveis), as ameaças às quais esses bens estão expostos e a suas vulnerabilidades. Como um produto desta análise, tem-se o chamado Risco Aceitável. Ou seja, o nível de risco que uma organização aceita na sua operação.

3. Análise de custo-benefício:

Análise de grande importância, que busca justificar à alta administração os custos envolvidos no processo de segurança. Embora não trivial (muitas dos bens envolvidos são intangíveis e de difícil estimativa), na análise de custo-benefício se procura estimar o custo da perda (custo envolvido se uma ameaça se concretizar) e o custo da proteção de um determinado bem. Esta análise permitirá priorizar ações e, em alguns casos, tomar a decisão de não se fazer nada (nesse tipo de análise o custo da perda é, muitas vezes, ponderado pela probabilidade da ocorrência do evento).

4. Criação de uma política de segurança

Parte fundamental do processo de segurança, a política deve estabelecer: o que deve ser protegido, porque deve ser protegido, o responsável pela proteção e como devem ser resolvidos os conflitos / dúvidas.

A política de segurança deve ser o mais abrangente possível, definido seu escopo, as funções das pessoas envolvidas, os processos de treinamento, como fazer/quem procurar em caso de dúvida, e a filosofia de aplicação: O que não está declaradamente proibido é permitido? O que não está declaradamente permitido é proibido?

5. Implementação da política de segurança

Muitas organizações enfrentam problemas justamente nessa hora. A implementação de uma política de segurança é um processo muitas vezes árduo e que necessita de grande envolvimento e aceitação da organização como um todo. Nesse cenário, é fundamental a colaboração da alta direção da empresa, que deve ser a primeira a entender a importância e se pautar pelas regras (já é folclórico o caso de um consultor de segurança que entra numa grande empresa, liga para o CPD e gritando diz:Aqui é o presidente da empresa! Não consigo usar a minha senha. Quero saber agora a senha de administrador para que eu possa acessar os nossos sistemas!?).

6. Operação da política de segurança

Como último ponto, é fundamental entender que o ambiente é dinâmico e apenas com um processo constante de auditoria, refinamento das regras e treinamento, se consegue manter uma política de segurança em funcionamento.

Concluindo, é evidente que os avanços da tecnologia, com equipamentos e softwares cada vez mais sofisticados permitem que se possa atingir um alto grau de segurança nos sistemas de informação. Contudo, sem essa visão abrangente corre-se o risco de se gastar muito dinheiro e não se chegar aos resultados esperados. Ou, formulado como gostam os engenheiros e matemáticos:os recursos de tecnologia são necessários para se ter um sistema seguro, porém não são suficientes.