Boas práticas na compra de tecnologia de cibersegurança

Há uma ameaça de segurança crescente capaz de drenar muito dinheiro de empresas pouco avisadas deixá-las vulneráveis: os fornecedores.

ciberseguranca_img_20170430_213729_01-100720458-large-3x2É irónico mas os produtos muitos fabricantes de equipamento de cibersegurança vendem, e o marketing que usam, deixam compradores mal informados e menos seguros, de acordo com vários responsáveis de segurança de empresas. Cresce uma ameaça, capaz de drenar milhões de empresas desavisadas e de as deixar vulneráveis.

Não é uma nova “estirpe” de ransomware. É o próprio segmento de cibersegurança.

“Definitivamente há produtos que têm reivindicações realmente exageradas sobre o que eles realmente fazem”, diz Damian Finol, gestor e de segurança de TI num empresa de Internet.

Para alguns fabricantes é mais importante a venda do que o grau de segurança, dizem vários executivos de TI.

De modo a fechar um negócio, os piores fornecedores tendem a exagerar nas capacidades que os equipamentos vão ter no percurso de evolução, mas nunca se materializam. Isso torna o trabalho de quem compra mais difícil.

Vários profissionais com experiência nesses processos de compra partilham alguns conselhos:

as empresas têm que fazer a sua pesquisa, diz Finol. Isso significa olhar para as recomendações feitas por clientes em vez de depender apenas do que os fabricantes dizem.

Testar os produtos de segurança em casa também é altamente recomendável. “Façam essa diligência, ou vão arrepender-se”, avisa. Os bons fornecedores são transparentes sobre os seus produtos.

Também se aplicam em contratar mais pessoal e em pagá-los bem, em vez de recrutar mais profissionais de marketing. Os melhores estão disponíveis para formar os recursos humanos dos clientes na gestão dos produtos, com boas práticas de segurança e consultoria, afirma.

perceber o problema com detalhe. Quentyn Taylor, director de segurança da informação na Canon EMEA, recomenda que os clientes entendam o problema que estão a tentar corrigir em vez de simplesmente percorrer o mercado de cibersegurança sem um objectivo concreto.

“O mercado está muito cheio. Qualquer um com uma ideia apelativa e um logótipo, pode lançar um produto “, considera. Alguns produtos podem ser vaporware.

Os fabricantes estão mais centrados em seduzir uma empresa maior para adquiri-los do que em segurança, acusa Taylor. As empresas devem ir ao mercado com um plano firme.

“Identificar quais são os seus critérios de sucesso e explicá-los ao fornecedor”, detalha. “E depois integrar isso no contrato de serviço”.

“Não se pode ter medo de admitir que alguma coisa não está a funcionar e nesse caso tenta-se alguma coisa diferente”, acrescenta.

às vezes a melhor maneira de resolver um problema de segurança é com equipamento gratuito ou que já se tem. Os administradores de sistema podem bloquear tentativas de intrusão com base em determinados métodos de infecção por malware, desactivando “macros” no Microsoft Office, exemplifica Gal Shpantzer, CISO em várias empresas.

A configuração pode ser feita sem custos adicionais, com as políticas de segurança de grupo. As empresas que compram produtos de segurança devem estar cientes de que nem todos são fáceis de usar.

Imagine-se uma plataforma de monitorização de ameaças que gera uma centena de alertas por dia – alguns falsos positivos, alguns reais. Investiga-se cada um?

“Se eu desse um orçamento de um milhão de dólares para um sistema de detecção de intrusão, uma equipa de TI diria: ‘ Boa, temos o nosso problema resolvido. Mas não, o problema acabou de nascer”, alerta. O volume de trabalho está prestes acumular-se.

Além da compra inicial, há um ciclo de vida completo para os produtos de segurança. Isso pode incluir as pessoas que vão geri-los, a forma como serão implantados, aperfeiçoamento da tecnologia e o conhecimento sobre todos os requisitos necessários para executá-lo e mantê-lo, disse Shpantzer.

maus fornecedores tendem a usar tácticas de indução de medo, nota Jonathan Chow, CISO numa empresa de entretenimento. Os melhores, diz, ouvem as necessidades dos clientes e tentam ajudar a proteger o negócio deles, mesmo que isso signifique oferecer conselhos gratuitos.

“Não há nada realmente mágico num produto de segurança”, lembra Chow. “As pessoas precisam ser cautelosas e vigilantes sempre que gastam dinheiro numa peça de tecnologia”.

Outra boa prática para descobrir os produtos de segurança mais correctos é ouvir o que outros compradores dizem sobre a sua experiência.

ausência de referências de clientes e de demonstrações em ambiente real merecem desconfiança. Brian Honan, CEO da BH Consulting, que faz assessoria de compras na área de segurança de TI, considera as empresas devem desconfiar de fabricantes que não podem oferecer referências de clientes, ou que apenas oferecem demonstrações de produtos sob condições de teste contraladas.

“Não terem produtos revistos ou avaliados por órgãos independentes é preocupante também”, defende. Mas infelizmente, quando as empresas compram produtos de segurança, muitas vezes não os usam correctamente.

“É preciso gastar muito tempo a afinar as ferramentas e muitas empresas não o fazem”, diz Honan.




Deixe um comentário

O seu email não será publicado