Imagine três pilares de mesmo tamanho, apoiando-se um nos outros para suportar um peso muito maior. Em tecnologia, esse tripé é composto por Tecnologias, Processos e Pessoas. Quando levado à Segurança da Informação, no entanto, ele atinge outro patamar de relevância por envolver uma gama muito grande de soluções de inúmeros fornecedores.

O maior perigo para uma empresa, em relação à proteção de seus dados é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente numa estrutura incapaz de impedir o surgimento de problemas. É perigoso ter a impressão de que não existem vulnerabilidades quando, na realidade, as brechas estão por todo lado e disponíveis aos fraudadores interessados. Por isso, a segurança precisa envolver Tecnologias, Processos e Pessoas num trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

A primeira parte trata do mais óbvio: tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a internet atualmente. Dos antivírus para cuidar dos vírus, trojans e worms, passando pela estrutura contra invasões de Firewall e IPS (Intrusion Prevention System), chegando ao controle do inimigo interno via ferramenta de gestão de identidade, acesso e autenticação dos usuários. Isso sem contar as iniciativas de criptografia, para proteção dos dados no transporte na própria rede ou nos dispositivos móveis.

Recursos de proteção

Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que evite sites com conteúdo malicioso, são destaques.

Antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes, tendo em vista os pontos principais dos negócios, evitando investimentos desnecessários, mas sem deixar de cuidar do que é mais caro para a companhia.

Essas inúmeras ferramentas, no entanto, geram outro problema. Como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado. Com interoperabilidade entre as soluções, administradas do mesmo ponto e com o menor número de interfaces, é possível ter a garantia de segurança sem desperdiçar o precioso tempo do CSO (Chief Security Officer) com questões de burocracia técnica.

A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança. Isso evita conflitos com as soluções já atuantes para a proteção da companhia, além de também aumentar a confiabilidade na ferramenta a ser instalada. Nenhum programa, independente do tipo, pode atuar na estrutura de tecnologia corporativa sem garantir confiabilidade. Um grande exemplo desse movimento está nos switchs que, se apenas cuidavam da rede no início, hoje precisam ser ferramentas de segurança, por tratar-se de fator fundamental para a proteção da empresa.

Outro ponto do tripé, os processos, exige revisão constante. O grande combate realizado no dia-a-dia do gestor de segurança em parceria com o CIO é equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a produtividade em busca do maior nível possível de segurança. Atuando nesses dois lados, tendendo claramente para a proteção, o CSO não pode deixar ser obscurecido e nem correr atrás da segurança a qualquer preço. Equilíbrio, como em toda atuação em tecnologia, deve ser a chave, encontrando um meio termo entre segurança e produtividade.

A visão da companhia como um emaranhado de processos causou grande revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos os processos estão integrados, um impacto causado pela segurança pode não apenas causar prejuízos para a rotina da empresa, mas também criar um certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor.

Para que a política de segurança corporativa seja seguida também nos processos que perpassam a companhia, é preciso cuidar de uma série de detalhes. Evitar que os procedimentos para a execução do processo sejam confusos, o que acaba motivando as pessoas a buscarem novas formas de realização. Deixar claro, via parceria com outras áreas das empresas, quais são os motivos e as ações para a realização dos procedimentos necessários para cada processo, evitando excesso de recomendações técnicas.

Focar no treinamento dos funcionários, tanto para os procedimentos quanto para as ferramentas. E, por fim, analisar se as demandas não vão culminar em problemas de falta de tempo e no subseqüente desprezo pelos procedimentos. Como tudo em Segurança da Informação, os processos representam um embate permanente.

Pessoas: desafio constante

A última parte da trinca é fácil de explicar. Não é preciso raciocinar muito para chegar a conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurança da Informação. Uma política bem estruturada sobre o tema, com soluções inteligentes, monitoramento e análises não se sustenta caso um funcionário esteja mal-intencionado ou, apenas, de má vontade. Já foi citado que cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno. Só isso já dá a dimensão do quão fundamental são as pessoas para a segurança.

As pessoas estão em toda a parte da empresa e vêem como ponto fundamental apenas a proteção da máquina. Os cuidados básicos das pessoas, muitas vezes são esquecidos ou ignorados. É comum senhas escritas e coladas no monitor, troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões informais.

Além disso, as pessoas são a linha de frente da organização. O simples fato de ser possível o cumprimento ou descumprimento das políticas de segurança já coloca toda a estrutura de proteção em cheque. Mais, as pessoas são responsáveis para passar para frente os conceitos de segurança. De nada adianta todo o planejamento e a estrutura se as informações não forem passadas para os outros, tanto para novos funcionários quanto para os antigos, resistentes a mudar seus hábitos. De qualquer forma, contar com a colaboração é simplesmente fundamental numa atividade crítica para a empresa e que não tem final em vista.

Mas, acima de tudo, o ponto principal da preocupação com as pessoas é que os fraudadores irão em busca delas para perpetrar seus crimes. Qualquer um que queira quebrar uma corrente ataca seu elo mais fraco e é isso o que os funcionários representam. Independente do nível hierárquico ou histórico dentro da companhia, todos são alvos passíveis de criminosos virtuais e isso é, em geral, sumariamente negligenciado. Afinal, lidar com pessoas é muito mais complexo do que adicionar recursos que bloqueiam ação de spyware ou simplesmente proibir o acesso à internet. Conforme o mundo vai ficando cada vez mais conectado, torna-se simplório pensar que a proibição resolva os problemas ou, ainda que consiga, que esse tipo de atitude não represente uma perda considerável de produtividade para os negócios da empresa.

Integração de conhecimentos

Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez que os estragos são tantos e com tamanha possibilidade e prejuízo. E, ao se analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação nesse sentido são muito válidos, assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações. Fazendo uma analogia, nenhum exército sobrevive se sua linha de frente não obedece e vai contra o comando das altas patentes. É melhor ter o usuário consciente e ao lado da segurança do que controlá-lo com novas exigências.

Assim, a atuação de um CSO não pode comportar, hoje, qualquer descuido com o tripé de Tecnologias, Processos e Pessoas. É verdade que essa combinação funciona para grande parte das iniciativas de TI, mas em nenhuma delas esse equilíbrio é tão indispensável já que poucas soluções têm exigido o empenho e, acima de tudo, a urgência que demanda a segurança. O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação representa um desafio de inédita magnitude para os profissionais do setor e, também, para a companhia como um todo. Dosar e cuidar de cada parte do tripé, equilibrando investimentos e controlando a atuação, focando o trabalho do dia-a-dia na esfera que mais necessitar, é o dilema do CSO hoje.