“A tecnologia pode acrescentar custo sem agregar valor”, considera John Pironti, presidente da IP Architects.
Atirar mais tecnologia às ameaças de segurança à medida que elas surgem não é a melhor maneira de funcionar se o objectivo é proteger os dados mais valiosos ao melhor preço, referiram vários participantes no evento Interop que decorreu esta semana.
“A minha visão do mundo é a de que compramos demasiados produtos”, diz John Pironti (na foto), presidente da IP Architects. “Se todas estas tecnologias estão a funcionar, porque temos falhas de segurança todaa as semanas”?
Ele considera que as medidas de segurança são muitas vezes caras ainda que de questionável eficácia. Ele observou também que o software anti-vírus apenas detecta à volta de 30% dos vírus. E algumas tecnologias de segurança funcionam de forma contraditória. Por exemplo, cifrar dados que se enviam para as redes pode impedir que sejam lidos por atacantes, mas também os torna invisíveis no processo de recuperação em caso de perda, diz.
“A tecnologia pode acrescentar custo sem agregar valor”, considera.
Empresas que recuam, revêem os riscos, identificam e classificam os seus dados e desenvolvem um plano para lidar com problemas previsíveis vão acabar por ter melhores defesas e mais eficazmente implantadas, diz ele, que destaca cinco etapas a serem seguidas:
• Desenvolver um perfil de risco da informação para o negócio. Isto inclui descobrir quais os dados que têm valor para a empresa, o que é uma perda aceitável, como essa perda afecta parceiros e fornecedores, quais os controlos que serão necessários e assim por diante.
• Mapear os processos de negócio e controlar a forma como os dados se movem através desses processos. Determinar se os dados podem ser tratados de forma mais eficiente. Por exemplo, bases de dados centralizadas, em vez de bases de dados distribuídas, podem reduzir a complexidade da rede e, consequentemente, melhorar a segurança.
• Inventário de activos para determinar onde estão todos os dados empresariais. Isto pode ser surpreendente, diz Pironti, porque pode acabar por descobrir que estão em dispositivos como smartphones e tablets dos empregados. Classificar os dados e estabelecer controlos para cada classe.
• Realizar análises a ameaças e vulnerabilidade que funcionam através de cenários de como os adversários iriam atacar a rede se conhecessem as suas vulnerabilidades. Identificar contramedidas para cada caso. Além disso, ter uma ideia sobre que tecnologias para ataques estão disponíveis para ter cenários de ataque e de contra-medidas mais bem informadas.
• Identificar e implementar controlos apropriados com base nas quatro etapas anteriores. Considere se os controlos custam mais do que a desvantagem de comprometer os dados que protegem. Educar os utilizadores para um comportamento seguro na rede – por exemplo, manter os dados sensíveis fora de dispositivos portáteis. Nota: Verifique se os controlos não bloqueiam as tarefas necessárias para fazer os negócios.