A Importância da Segurança da Informação

Entre as inúmeras tendências que explodiram em tecnologia, poucas assumiram o status de imprescindível. Ao fazer uma comparação, ainda que os sistemas de ERP e CRM sejam de vital importância para a rotina corporativa, ou que soluções de Business Intelligence e Balanced Scorecard permitam aos negócios atingir patamares invejáveis de lucratividade, a Segurança da Informação é a única que não pode faltar.

E isso simplesmente porque as empresas precisam proteger seu maior bem: informações estratégicas. O capital intelectual é valioso para a companhia e, indiscutivelmente, deve ser a base de sustentação do planejamento estratégico corporativo. Acima de tudo, o maior vetor para o entendimento da importância da proteção das informações é pensar no prejuízo que causaria para os negócios a posse desses dados pela concorrência ou por alguém mal-intencionado.

Imaginar, no entanto, que mesmo com fortes razões a segurança passa por um momento de explosão de aceitação ainda é um exagero. Atualmente, o período é de revisão de processos e de avaliação de soluções que protejam cada vez mais as informações corporativas, sem impactar fortemente na produtividade. Fato é que hoje a segurança é considerada estratégica e já encabeça a lista de preocupações de grandes empresas. Um grande avanço.

A preocupação com o tema remeteu a segurança para a era digital. O movimento foi concomitante com a explosão da utilização da tecnologia como forma indispensável para gerenciar os negócios, o que colocou as informações – e sua proteção – com um nível de atenção primordial.

Em busca de proteção

O caminho pela busca de segurança teve início em meados de 1967, com o documento “Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security”. Criado por uma força tarefa de Segurança e pelo Departamento de Defesa dos Estados Unidos (United States Department of Defese - DoD), o relatório trazia regras gerais para a segurança nos computadores, tratando com bastante ênfase da questão do compartilhamento das mesmas informações em diversas máquinas.

Nos anos seguintes, o relatório técnico denominado "Computer Security Technologs Planning Study" abordou pioneiramente os problemas de se ter os mecanismos necessários para garantir a segurança de computadores. Somado a documentos como "Secure Computer Systems: Mathematical Fundations", "Mathemathical Model" e "Refinament of Mathematical Model", eles formaram o fundamento do "Doctrine", que funcionou como base de grande parte dos trabalhos na área de segurança.

No paralelo, ocorreu o desenvolvimento do “Security Kernels”, indicando os componentes principais para a criação de um sistema operacional com mais segurança. Esse processo culminou, em 1977, com a ação do "DoD Computer Security Initiative", que contava com um centro para análise do nível de segurança das soluções. A definição de regras para isso foi chamada de “The Orange Book”. O conjunto de normas, atualmente jurássico, foi usado como marco zero para os guias de melhores práticas em segurança que se seguiram.

Consolidação da segurança

Esse histórico mostra que a Segurança passa por um momento de consolidação. Mas, ao contrário das décadas anteriores, o preço a se pagar é cada vez mais alto, chegando a se tornar impensável para as corporações. A forma mais clara de demonstrar essa preocupação é a maneira pela qual ela está inserida dentro do organograma da empresa.

A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova área que responde ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio, salas específicas e, claro, prazos e demandas a serem atendidas. Todos olham para o tema com maior cuidado hoje em dia, da corporação aos criminosos virtuais. Como disponibilidade, ninguém trata o tema sem foco destacado.

Um dos maiores dilemas da Segurança da Informação está relacionado com a proteção dos ativos e a compreensão da amplitude desse conceito dentro da empresa. Muito mais do que os dados críticos e o capital intelectual, ou as propriedades físicas e a infra-estrutura, a idéia de ativo corporativo envolve também uma questão de difícil medição: a marca da companhia e a percepção que ela desperta no mercado. Um grande escândalo, uma falha latente ou uma brecha negligenciada podem sepultar, para sempre, uma companhia até então de sucesso.

Outra questão relacionada com a Segurança da Informação, que também causa preocupação é que ela não possui um fim. Tem de estar sempre atualizada e caminhando de mãos dadas com políticas internas de proteção e alinhada com a estratégia da corporação.

A importância do gestor de segurança

Uma estrutura consolidada de proteção, com todos os níveis sugeridos pelos especialistas atendidos, não é suficiente por si só. A rotina corporativa precisa de uma atuação cuidadosa, pensada e atualizada constantemente, com a preocupação de realizar avaliações repetidas em busca da sintonia fina que irá otimizar o dia-a-dia.

Por isso, o papel do gestor de segurança ganha ainda mais importância nesse contexto. Sua responsabilidade como gerente de pessoas, para orientar o elo mais fraco da cadeia, o usuário, também precisa de grande habilidade. A cooperação e a conscientização do público, bem como as formas de transformá-los em aliados, tornam-se fundamentais dentro do novo escopo da Segurança da Informação.

Dados de institutos de pesquisa apontaram, para desespero dos especialistas, que mais de 70% dos incidentes registrados em segurança partiram de dentro da companhia, do inimigo interno abrindo a brecha para ataques ou falhas. Na outra ponta, a reprodução acelerada de novas pragas – vírus, worms ou trojans— não permite uma postura negligente em relação à segurança. A chegada de novas formas de ataque, vide o que ocorreu com os spywares e adwares, sem deixar de citar os phishing scam e pharming, os quais geraram muita dor-de-cabeça para os usuários.

Por essa razão é importante a evolução constante não só dos conhecimentos do gestor, bem como da plataforma de combate. Seja em hardware ou software, as atualizações são fundamentais para um bom desempenho da Segurança da Informação dentro da corporação. Além disso, gerenciar a proteção nas pontas, onde estão os usuários, também é um grande desafio.

Evolução da estrutura

Assim, uma estrutura de segurança que inicie com apenas a implementação de antivírus e firewall no servidor, acaba migrando a proteção para os terminais. Dessa forma, é estabelecida a segurança de perímetro, com maior cuidado na rede. Essa migração, com a subseqüente explosão dos appliances com funções híbridas de rede e segurança, alterou drasticamente o desenho da estrutura.

Sem contar com o surgimento dos IDS (Intrusion Detection System) e de sua evolução e também dos IPS (Intrusion Prevention System), que passaram a exigir monitoramento constante e grande atenção contra os invasores externos. A evolução desses dispositivos, com a quarentena em VPN, entre outros, também é constante.

A mobilidade colocou mais lenha na fogueira, tornando indispensáveis as soluções de conformidade de terminal. A criptografia também foi mostrando sua importância, tanto na questão dos dispositivos móveis, quanto no transporte de informações dentro da própria rede corporativa. A gestão de identidade e acesso, controlando a ameaça do inimigo interno, também se mostrou de extrema relevância.

Com o tempo, a estruturação do plano de Contingência de Negócios e Recuperação de Desastres, que previne e garante a continuidade dos negócios em caso de invasões, ataques e fatos inusitados como enchentes, furacões, entre outros, também entrou na alçada da área de Segurança da Informação.

Também as análises de risco começaram a fazer parte do escopo de Segurança da Informação, aumentando a sua abrangência e, como não poderia deixar de ser, a responsabilidade do segmento. A criticidade do ativo sendo calculada pela probabilidade de a ameaça acontecer contra o seu prejuízo virou um mantra para os profissionais do setor.

Segurança em destaque

O surgimento de novas tecnologias no mercado também impacta na questão da segurança. Elas levam ao questionamento em relação à tranqüilidade do usuário no seu uso: serão garantidas a proteção e a integridade dos dados envolvidos na nova aplicação? Conforme outras camadas e tecnologias vão sendo adicionadas no dia-a-dia da empresa, os novos recursos entram obrigatoriamente dentro do escopo da segurança, o que deixa a área com um horizonte virtualmente ilimitado.

Assim como aconteceu com qualidade e responsabilidade social, essas mudanças colocaram a Segurança da Informação na mira das companhias. A segurança, portanto, caminha para se tornar um pré-requisito na atuação de empresas que estejam relacionadas ou tenham dependência de tecnologia, independente do porte e do ramo de atuação, tornando-se um diferencial competitivo marcante junto aos clientes.

A segurança, portanto, é hoje responsável não somente pela sobrevivência da empresa contra os invasores e ataques mas, também, pela aceitação da marca e da credibilidade da companhia no mercado. Independente de quem é o cliente, seja uma companhia ou um consumidor final, a segurança será uma característica definitiva para definir qual será a companhia escolhida.

Além disso, ela começa a entrar em setores que não atuava. Tanto para proteger as informações pertinentes aos seus próprios negócios, quanto ao relacionamento do SMB (Small Medium Business) com as grandes corporações, a Segurança da Informação passa a ser um pré-requisito em todas as áreas da economia nacional. Especialmente no relacionamento com outras empresas, ter parceiros seguros também é considerado fundamental para o bom desempenho dos negócios. Questões como orçamento restrito e falta de pessoal capacitado são apenas alguns dos problemas enfrentados pelo segmento.

Cada vez mais ligada ao sucesso da companhia e aos negócios, a segurança precisa ser compreendida como uma nova peça na engrenagem corporativa. Especialmente agora que, como toda área crítica de negócios, tem a obrigatoriedade de apresentar um retorno de investimento relevante. Todas as mudanças sofridas, sem nenhuma indicação que elas vão parar de acontecer, precisam ser levadas em conta para uma atuação equilibrada, longe da histeria de certos setores e da negligência característica da estagnação. O desafio é grande e não tem fim. Resumidamente, em Segurança da Informação qualquer falha pode ser fatal para os negócios.