Segurança dos dados: Maturidade das empresas na gestão de risco

João Barreto
Partner and Consulting Services Manager, SysValue
Luís Grangeia
Partner and Auditing Services Manager, SysValue

Actualmente no que diz respeito ao tema Segurança dos Dados, utilizadores domésticos e gestores já possuem uma cultura mais madura, nomeadamente se considerarmos o crescimento ou, nos piores casos, a manutenção de níveis anteriores do investimento na contratação de soluções e serviços especializados na área.
Porém, uma leitura mais adequada é que tal crescimento possa não ser um reflexo do aumento da “maturidade dos utilizadores” mas, eventualmente, um reflexo do aumento da percepção do risco que os negócios efectivamente correm, o que representa apenas a “maturidade das empresas na gestão de risco”.
Cada vez mais a protecção da informação e o cumprimento de níveis de serviço em termos de disponibilidade são centrais na protecção do negócio. Tal advém da exposição cada vez maior dos negócios e empresas ao meio online, tanto para se promoverem, como para realizar negócios.
O indicador de investimento das empresas ou utilizadores domésticos em software e hardware para segurança da informação não é a melhor medida para validação das melhores práticas empresariais, pois – como sempre – é possível gastar “menos bem” os recursos disponíveis. A segurança da informação não é uma disciplina eminentemente técnica, embora dependa muitas vezes de tecnologias, pelo que o reforço nestes domínios pode desviar a atenção das maiores fragilidades que são normalmente as associadas aos recursos humanos, à gestão da segurança da informação e à gestão do risco.
Indicadores mais adequados seriam, entre eventualmente outros, o investimento em formação especializada dos recursos humanos (“sensibilização à segurança” para os colaboradores em geral, “desenvolvimento de código seguro” para programadores e arquitectos de sistemas de informação, são exemplos), o alinhamento com normas como a ISO 27001 (gestão da segurança da informação) ou a ISO 25999 (continuidade de negócio).
Porém, a melhor medida para validar a aplicação das melhores práticas será sempre a avaliação directa da segurança da informação nas organizações (de forma a medir a eficácia dos controlos) e o comportamento das mesmas face às inevitáveis quebras de segurança (de forma a medir a eficácia dos processos).
Tal será possível, no primeiro caso, através da realização, pelas próprias organizações, de auditorias técnicas e, no segundo caso, de auditorias processuais, cujos resultados são frequentemente mantidos privados. Indirectamente, começa hoje a ser possível aferir tal postura pelo resultado de estudos públicos como os associados ao projecto Viligis da Universidade de Coimbra.
É nossa esperança que no futuro haja maior apoio do Estado para a realização de estudos, com resultados públicos, de segurança da infra-estrutura Internet em grandes empresas de cujo funcionamento depende o bem estar de todos nós, tais como infra-estrutura de telecomunicações, distribuição de energia ou água, processos logísticos críticos, processos eleitorais, entre outras.
Esta maturidade é reflectida tanto por melhores práticas na protecção da informação e dos dados pessoais, como pela introdução crescente de dispositivos móveis e a utilização das redes sociais. Estas tendências (massificação do acesso Internet móvel e utilização de redes sociais) representam desafios fracturantes na gestão da segurança da informação nas organizações. Estas podem escolher ignorá-los (e proibir o seu acesso), ou podem aproveitar as vantagens e minorar as desvantagens. Existem vantagens óbvias na mobilidade e acesso permanente à informação, e também no aproveitamento de redes sociais para promoção de marcas e de serviços. Outra vantagem menos óbvia das redes sociais é tornarem as pessoas mais conscientes das medidas que têm de tomar para proteger a sua informação privada, e por arrasto, a informação da sua empresa.
É claro que existem desvantagens (eventualmente menor produtividade nalguns casos), mas estas podem sempre ser minoradas através de medidas de monitorização e controlo de acessos, entre outras práticas.
As tecnologias de segurança têm evoluído significativamente, mas também o engenho dos hackers. Mas as maiores fragilidades são não apenas associadas ao comportamento dos utilizadores, como também à elevada fragilidade dos sistemas de informação Web-based que são hoje a vasta maioria dos utilizados pelas organizações e, com maior relevância, dos fornecidos ao mercado global pela Internet.
O único meio de garantir a segurança da informação nas empresas de modo racional e economicamente eficiente é desenvolver e implementar um sistema de gestão de risco que enderece as ameaças que mais afectariam o negócio – se concretizadas – e desenvolver e implementar práticas, processos e controlos que mitiguem precisamente tal risco. De modo sumário, mais do que “comprar-se segurança” (produtos e tecnologias de segurança), a organização deve preocupar-se principalmente em “fazer a segurança funcionar” através da aquisição de know-how especializado que lhe permita aproveitar os recursos humanos e técnicos existentes, quer através de serviços de consultoria/auditoria, como de serviços especializados de formação.
O desenvolvimento de uma estratégia global de segurança e de um plano de continuidade do negócio, assim como o investimento em tecnologias de segurança, fazem todo o sentido para as grandes empresas, mas também não deverá ser uma ideia excluída na gestão das PMEs no respeito da racionalização e eficiência económica mencionada. As PMEs mais dificilmente conseguem economias de escala que as grandes organizações detêm, pelo que os esforços terão de ser dimensionados a cada realidade. A segurança mais “comoditizada” tem hoje um custo com crescimento logarítmico relativamente à dimensão da organização em que grandes empresas conseguem adquiri-la mais barata “per capita” mas que para as PMEs apresentam custos ainda perfeitamente aceitáveis.
O desafio de levar serviços especializados de segurança às PMEs está neste momento mais do lado de quem os fornece (para optimizar a sua oferta a este tipo de cliente) do que de quem os adquire.
As empresas actualmente enfrentam desafios com a crescente tendência de colocar os dados em serviços de cloud computing. A contratação da infra-estrutura como um serviço (como os serviços de cloud computing) é comparável à contratação de serviços de outsourcing. Existe um conjunto de preocupações que devem ser endereçadas e garantidas, nomeadamente as relativas à segurança da informação. Estas preocupações são novas e devem ser enunciadas por profissionais de segurança independentes do fornecedor do serviço. É preciso ponderar e salvaguardar questões legais (localização dos dados fisicos, por exemplo), bem como questões técnicas (quem tem acesso aos dados, de onde, onde começam e onde terminam as responsabilidades dos fornecedores de serviços, que downtime está previsto nos SLAs, quais as cláusulas de salvaguarda, etc.).
As ameaças que podem ser configuradas como ciberguerra têm sido cada vez mais referidas face a recentes problemas como o Stuxnet e o recente ataque à bolsa de emissões de carbono da Europa. Este é um cenário que os países e as empresas têm de contemplar a curto prazo. As grandes potências preparam-se cada vez mais para adoptar este tipo de guerra (económica, invisível, remota, desmaterializada, sem perda humana do lado atacante) em detrimento da guerra convencional. Portugal e em geral a Europa não podem ficar parados e devem preparar-se nesse sentido. Uma das formas é aumentar a independência relativamente a infra-estruturas básicas (por exemplo, não usar serviços cloud externos para serviços de infra-estruturas críticas) e sistematicamente avaliar o grau de resiliência dos meios.
O grande desafio para as empresas prende-se com a necessidade de elaborar uma transição para um paradigma em que perdem controlo operacional sobre a sua infra-estrutura de IT (cloud computing), restando-lhes salvaguardarem a sua operação através de acordos com os seus vários fornecedores e pela contínua supervisão, auditoria e implementação de gestão de processos a montante, dentro da própria organização.




Deixe um comentário

O seu email não será publicado