segunda-feira, 17 de janeiro de 2011

Dicas para sua empresa gerenciar a segurança dos dados internos

Os cibercriminosos ficam cada vez mais ousados e espertos. Seja qual for o objetivo: aterrorizar nações e desestabilizar a economia e as relações internacionais, ou simplesmente ganhar dinheiro de maneira desonesta, o combate a essas atividades fica cada vez mais complexo e caro.

Um relatório sobre investimentos para combate aos crimes digitais emitido da Ponemon Institute, empresa de pesquisas independente, voltada a cobrir os segmentos de privacidade digital, segurança de dados e de informações, dá dicas sobre como as empresas podem minimizar esses problemas.

A Ponemon sugere que as empresas invistam em ERM (Enterprise Security Management – Gestão de Segurança Corporativa), e abandonem a perspectiva de segurança que ilusoriamente adotam enquanto aguardam que nada lhes aconteça.

O relatório está disponível para leitura no site da Ponemon. Veja uma relação dos sete pontos mais relevantes.

Combate x prevenção

O estudo informa que o custo resultante do combate de crimes digitais que tenham sido executados beirava aos 3.8 milhões de dólares por ano. Em contrapartida, as medidas para prevenir os prejuízos implicariam investimento da ordem de 1/3 do gasto com a correção da brecha. Ou seja, é muito mais indicado realizar ações preventivas que inundar a agenda da TI com a tarefa de eliminar ou frear a invasão ou o vazamento de dados.

Segundo a Ponemon, é bastante razoável criar o cargo de CSO voltado somente para esses assuntos. Seria um CRO (Chief Risk Office – executivo de gestão de riscos). Tal executivo daria conta das incontáveis denúncias que chegam sobre pontos críticos nos sistemas da empresa e as incluiria nos projetos em desenvolvimento, assegurando solução prévia, ao invés de acomodar ajustes de última hora.

Outra sugestão da empresa consiste no desenvolvimento de estratégias de ERM e a adoção voluntária de certificações e de frameworks com orientação a governança, tais como ITIL e NIST.

Mais intrusivas e comuns

É comum os informes oficiais de empresas darem conta dos padrões de segurança serem atuais e negarem determinados riscos quando perguntados sobre a eficácia de recursos para blindar os sistemas. Na maioria das vezes, as respostas da corporação são infundadas.

Estar adequado às regulamentações não é sinônimo de estar seguro. A gestão de riscos é um processo contínuo. Some-se a isso as demandas causadas pelo uso de redes sociais no ambiente de trabalho. Embota sejam uma via de relação com o público externo (em maus e em bons momentos), analistas advertem que as redes sociais ocupam até 30% da largura de banda da empresa. Isso não significa que o colaborador passe 30% do tempo que está na internet em sites de redes sociais digitais, mas inclui a vasta adoção dos botões para compartilhar conteúdo no Facebook ou no Twitter, por exemplo.

Essa forte atenção dada às mídias sociais traz consigo uma via pela qual passeiam vírus e malwares de toda sorte. Vazamentos de informação confidencial completam a lista de possíveis ameaças em circulação nas redes sociais da internet.

A origem dos ataques

Algumas perguntas são necessárias para determinar a origem de certas invasões:

Corporações com muitos sites e com várias soluções armazenadas na nuvem estão mais expostas? Sim, se não houver uma verificação com métodos baseados no OWASP. Ensaios usando essa plataforma são sugeridos uma vez por trimestre, acompanhada de um teste de solidez das interfaces para determinar a dificuldade em invadir os sistemas.

Qual é flexibilidade dos sistemas? A plataforma de segurança é redundante/haverá uma de suporte? De que forma o acesso aos sistema de segurança é verificado, por meio de auditoria externa e com base em perfis privilegiados? Em suma: Quis custodiet ipsos custodes? (quem cuida dos guardas?, em Latim).

As perguntas deixam claro que deve-se prestar atenção no fato de invasões e outros crimes poderem ocorrer, inclusive de dentro da organização, fato pelo qual implementar tecnologias do tipo SIEM, DLP, HIPS e outras é crítico para mitigar as chances de algo dar muito errado.

Rapidez na ação

Quanto antes forem solucionadas, menor é o custo para parar as ameaças digitais. Segundo o levantamento, as corporações levam em média 14 dias para dar conta de um problema grave de segurança. Cada dia custa quase 18 mil dólares, revela o estudo. Por motivos óbvios, esse custo irá refletir na parte mais sensível das empresas: o balanço.

Esse números só assustam se comparados aos resultantes de ataques cometidos dentro da empresa. Estes levam, em média, 42 dias para serem sanados. Excluídos dessa conta, estão os danos incalculáveis impostas à imagem da corporação e os gastos com reparação de danos causados a clientes e os subsequentes processos por desacordo com as regulamentações federais e internacionais.

O custo do roubo

O relatório informa que, anualmente, o roubo de informações internas causa, sozinho, 42% dos prejuízos com segurança nas corporações. Perda de produtividade e descontinuidade (indisponibilidade) dos serviços ocupam o segundo lugar com 22%. Posto no papel, esses riscos multiplicados pelo tamanho da empresa são um estopim para disparar a “segunda onda de desastres”, ou seja, o êxodo dos acionistas e a sabatina midiática.

Essas ameaças são as mais caras de prevenir, motivo que, muitas vezes, promove o assunto para debaixo do tapete. Francamente, se não houver atenção para esses crimes, inclusive no orçamento, de pouco adianta montar uma equipe para gerir a segurança. Na lista de justificativas para não investir em segurança, encontram-se discursos promissores sobre tecnologias em eterna avaliação.

O que está na mira dos criminosos

Toda e qualquer empresa vertical. Os estudos da Ponemon indicam que em determinados setores, a segurança custa mais caro. É o caso dos segmentos de energia e financeiro, que exigem meiores investimentos que empresas de comércio ou de serviços. Ainda assim, toda a cadeia vertical é impactada e em ritmo crescente.

Nos últimos cinco anos, uma série de relatos de desastres não pode ser atribuída a um ato divino, mas, sim a adesão (consciente ou não) das empresas que aceitaram correr o risco. As companhias de seguros tomam precauções orientadas a verificar a robustez dos sistemas de segurança de corporações antes de estabelecer os contratos de cobertura com o cliente. Os acontecimentos também chegam aos ouvidos do governo dos EUA e existem discussões aquecidas que aventam a possibilidade de os órgãos de investigação requisitarem acesso à todas as informações de gestão de segurança em sistemas digitais e desenvolverem um padrão.

Conclusão

Na próxima reunião da empresa, quando forem comentados os planos para incremento da estrutura de todos os aspectos da segurança, terá chegado o momento oportuno de incentivar o envolvimento das equipes de TI a pensar de que maneira podem blindar ao máximo as informações e a saúde financeira da corporação. À base de pequenos investimentos, será perfeitamente possível capacitar e- quem sabe – até certificar vários colaboradores para agirem como guardiões do sistema. Mas cabe considerar, porém, que é comum colaboradores internos serem menos objetivos que consultores externos.

O ideal, nesses casos, consiste em separar uma equipe dentro da empresa para compor os cenários atuais e de que forma são ameaçados, contratar uma consultoria externa e sujeitar os relatórios internos às considerações da empresa consultora. Com essa tática, é possível definir a qualidade das observações da equipe interna e definir se há descaso com as informações corporativas.

Fonte: IDG Now!

Nenhum comentário: