Três tendências que vão afectar a Gestão de Risco na Empresa

Tecnologias como cloud computing, SOA (Arquitectura Orientada a Serviços) e outras tendências emergentes, aumentam os riscos nas políticas de gestão dados. Conhecer a forma como estas ameaças estão a mudar é essencial para planear adequadamente a gestão dos riscos e para alcançar bons resultados de negócio.

 

Por Kris Lovejoy, Security, Governance and Risk Management Division Director, IBM

 

 

 

Nesta nova realidade mundial em que as empresas procuram aproveitar as oportunidades oferecidas por SOA, clouds e outros modelos de computação distribuída, agentes internos e externos muito determinados, podem tentar explorar possíveis vulnerabilidades. Por conseguinte, a disseminação destas tecnologias representa uma mudança fundamental na forma como as organizações devem abordar os desafios à segurança, especialmente os três principais já identificados por muitas organizações como sendo os fundamentais no próximo ano.
 
Identidade

 

Todos os dias há milhares de milhões de pessoas a conectar-se, tendo a identificação assumido um foco especial. As aplicações já não estão seguras atrás de uma firewall, vão-se transformando em composites (compostos de objectos aplicacionais reutilizáveis) e mash-ups (aplicações web que combinam informação de várias fontes num interface comum), criados quer interna quer externamente à empresa. As transacções dependem dos níveis de segurança e das credenciais dos intervenientes, bem como dos sistemas onde estão instalados. Contudo, considerando o aumento de casos de roubo de identidade e fraudes, é evidente que, sem instaurar políticas, processos e boas práticas, a confiança pode ser minada, e desacreditada .
Num ambiente SOA, estes conceitos tornam-se mais complexos pois a identificação não se limita apenas aos utilizadores. Muitas vezes, são os próprios serviços que devem ser identificados. Isto é, quando um serviço invoca um outro, cada um deles deve assumir uma identidade. Por exemplo, um serviço de transporte marítimo pode ser invocado automaticamente por um sistema de processamento de encomendas e esse sistema tem de reconhecer o serviço de transporte marítimo como uma entidade credível, caso contrário a encomenda não se processa. Da gestão de encomendas ao processamento de autorizações na área da saúde e de valiosas operações bancárias, todas as empresas devem tratar a segurança em SOA com grande cuidado e a confiança é o princípio fundamental subjacente à condução destas operações comerciais. As ramificações de políticas de segurança fracassadas vai reflectir-se directamente nos resultados das empresas.
Adicionalmente, os sistemas de autenticação continuam a proliferar, forçando os indivíduos a tornarem-se eles próprios os gestores da sua própria identidade, um difícil equilíbrio decorrente de uma mistura de identidades auto-criadas e emitidas por terceiros e isto por cada serviço com que interagem. As pessoas devem dispor de um conjunto de "procedimentos operacionais", para navegar com segurança nesta nova realidade.
Olhando em frente, o desafio consiste em desenvolver um conjunto consensual de políticas de identificação, processos, boas práticas e tecnologias, bem como sistemas polivalentes de identificação que podem ser utilizados em toda a cadeia de prestadores de serviços. Estes sistemas devem ser capazes de acomodar tanto situações de identificação complexas, como proporcionar uma forma simplificada de abordar autenticações mais triviais.

Segurança da Informação

Já hoje uma preocupação, as organizações podem esperar um contínuo movimento no sentido de minimizar os riscos de violação de dados. Como consequência, deverá haver um novo enfoque nas ferramentas de gestão de privacidade, com a capacidade de mascarar os dados, especialmente em ambientes de desenvolvimento aplicacional, nos quais a protecção dos mesmos continua a ser mais displicente. Isso pode reforçar a necessidade da utilização de criptografia, com a consequente minimização de complexidade.
Colectivamente, as práticas de segurança, incluindo a definição do responsável de dados, monitorização dos mesmos, políticas de classificação e registo de segurança devem fornecer as métricas que reflictam a segurança na protecção em determinados repositórios. Estas métricas podem ser usadas na formulação de "índices de confiança" e, por sua vez, orientar as decisões sobre o uso de um repositório de dados. Um repositório de dados com um alto índice de confiança associado pode ser usado para decisões de alto risco; inversamente, um repositório com um baixo índice  de confiança associado, deve ser utilizado apenas em actividades de baixo risco. Estes repositórios podem ser reutilizados em toda a empresa e aplicados à informação recebida a partir de uma variedade de fontes, especialmente nos mash-up que continuam a ser uma força motriz da inovação.

Segurança nas aplicações

 

Em 2008, um novo tipo de ameaça conhecida como Search Engine Optimization (SEO) – código de infecção e intrusão, atingiu cerca de 1,2 milhões de sites, incluindo alguns dos mais populares. Após a passagem desta ameaça excepcionalmente destrutiva, tornou-se claro que as aplicações estavam totalmente vulneráveis aos ataques de hackers.
Parte desta vulnerabilidade reside na evolução das aplicações monolíticas para aplicações composite, tanto ao estilo de SOA como na forma de widgets (elemento gráfico que permite algum modo de interacção) em Web 2.0 e mash-ups. Estas aplicações composite podem incluir uma ampla variedade de módulos de código, provenientes de variadas fontes, que se juntam à semelhança de um quebra-cabeças. Embora aumentando tremendamente a eficiência dos programadores e permitindo a muitos não técnicos a criação de aplicações sofisticadas, estas podem ficar vulneráveis.
Talvez o aspecto mais desafiante destas aplicações compostas, seja a sua própria incapacidade de entender completamente a sua própria composição e, portanto, quais devem ser as políticas de segurança necessárias, até que a aplicação esteja em produção. Só então, quando for tarde demais, ficarão todos os elementos expostos vulneráveis a ameaças, incluindo o malware . O desenvolvimento especializado de segurança está agora a ser incorporado nas ferramentas e plataformas de desenvolvimento, para que possam ser realizados controlos de segurança em cada etapa do processo.
 Estas tendências de segurança também podem oferecer um manancial de oportunidades para as empresas com visão. A forma de gerir o risco vai ditar como as organizações vão prosperar – ou falhar – numa realidade de tecnologias emergentes.




Deixe um comentário

O seu email não será publicado