Não é fácil e nem existem unanimidades referentes à segurança da informação, mas empresas estão trocando a visão binária pelo pragmatismo
Sem um método efetivo para avaliar e comunicar os riscos, não podemos esperar obter uma conversa eficaz sobre esse assunto; muito menos, tomar decisões bem orientadas. Conseguir compreender os termos referentes aos riscos, utilizando-os de modo consistente para comunicá-los, desenvolvendo um processo formal para identificar e quantificar os riscos e relacionar esses riscos a ativos em termos que façam sentido para os profissionais corporativos e também para os de TI dará às equipes de TI melhor oportunidade de priorizar, de modo que atenda às necessidades de todos os níveis da organização.
Fique atento
Quando se trata de iniciativas de segurança, o mantra “Seja pró-ativo, não reativo!” já vem sendo disseminado há algum tempo. Infelizmente, se percebe que muitas organizações continuam a definir suas prioridades com base nos incidentes que já ocorreram.
Reagir aos eventos do mundo real não é uma má idéia, nem tampouco o envolvimento corporativo – na verdade, isso deveria ser encorajado. Mas tome cuidado para não permitir que sua agenda de segurança seja definida pela tirania do medo resultante de algum incidente. Dois riscos notáveis estão em desequilíbrio entre as iniciativas táticas e estratégicas e o problema de estar consistentemente alguns passos atrás das crescentes ameaças.
Como fazer para romper com esse ciclo? Integrar mais abordagens centradas no gerenciamento de riscos certamente pode ajudar a evitar situações problemáticas e propiciar um processo mais racional, metódico e defensível para a tomada de decisões. Outra ferramenta consiste em assegurar que existe um plano para equilibrar todos os exercícios táticos de resolução de problemas com seu equivalente estratégico. Por exemplo, as principais vulnerabilidades de sistemas operacionais e de serviços – que freqüentemente são a causa-raiz dos worms, dos danos causados e do ocasional roubo direcionado a dados – podem ser resolvidas pelo moderno processo de gerenciamento de vulnerabilidade, embora as questões sobre segurança de aplicativos sejam bem menos compreendidas.
Muitas organizações começaram suas iniciativas de segurança de aplicativos somente nos últimos 12 a 24 meses, e a maioria delas ainda está em sua “infância”. Os esforços típicos incluem o uso de scanners de aplicativos na web; testes de penetração de aplicativos, análises de código realizadas por companhias de consultoria especializadas; e investimentos em tecnologias paliativas. Embora essas iniciativas sejam etapas na direção certa, sem seus equivalentes estratégicos, as equipes de segurança continuam a tratar os sintomas, enquanto ignoram sua causa.
* Greg Shipley é diretor de
tecnologia na Neohapsis e também colaborador da
InformationWeek EUA.
