Não é fácil e nem existem unanimidades referentes à segurança da informação, mas empresas estão trocando a visão binária pelo pragmatismo
Devemos continuar a aprender com os erros e adotar estratégias inovadoras. Para os principiantes, é preciso estar atento à consolidação dos conjuntos de produtos. À medida que a funcionalidade da segurança se torna um fator de diferenciação para os principais produtos de TI, é preciso continuar a fazer a seguinte pergunta: “Isto é um produto ou um recurso?”. Considere a completa criptografia de discos (FDE, na sigla em inglês). Com um assustador número de divulgações de dados, resultantes de laptops perdidos ou roubados, não é surpresa que as iniciativas de FDE estejam em plena atividade. Embora a maioria das organizações tenha investido em suítes de FDE independentes, estão começando a surgir opções em importantes produtos de TI.
Olhe para o futuro
A tecnologia e os produtos sempre representarão seu papel na segurança, mas a maioria das iniciativas se beneficiará de uma abordagem mais equilibrada. Será que a “mania” pela central de acesso a redes (NAC, na sigla em inglês) terá prioridade em relação à tarefa menos atrativa de assegurar que toda a mídia de backup está criptografada? As iniciativas que irão implementar a detecção de anomalias de comportamento de redes terão melhores resultados na redução do perfil de riscos da organização do que, digamos, a garantia de que os processos de abastecer e desabastecer os usuários são estritamente sólidos? A formulação de uma estratégia proteção de dispositivos móveis poderá ter um melhor uso de seu tempo do que tentar detectar as fontes de eventos gerados por IDS e IPS?
Não existe nada de errado com nenhuma dessas tecnologias, mas se você não fizer essas perguntas poderá cair em armadilhas que já surpreenderam profissionais de TI. Pensando no futuro, todas as organizações devem adotar processos mais formais de gerenciamento de riscos. Na verdade, o papel de um diretor de gerenciamento de riscos (CRO, na sigla em inglês) já está se definindo nas organizações mais conscientes desse problema. Uma coisa é certa: os profissionais de TI irão evoluir para se tornar melhores gerenciadores de riscos ou outros profissionais irão avançar e realizar essa função.
* Greg Shipley é diretor de
tecnologia na Neohapsis e também colaborador da
InformationWeek EUA.
