Poucas coisas podem parecer tão improváveis quanto ISP estar absolutamente segura no contexto de um mercado global, onde a concorrência e a rivalidade se intensificam. Resta-nos uma pergunta: O que significa exatamente segurança da rede? A resposta para esta pergunta é muito relativa, uma vez que dependerá principalmente da cultura organizacional estabelecida em cada empresa e do modelo de Política de Segurança adotado por seus colaboradores. Não obstante a dificuldade de precisão na resposta é fundamental destacar que o ISP que não se preocupa com a segurança dos seus ativos computacionais está ameaçado de ser superado muito rapidamente.
Outra função, talvez não tão aparente, mas não menos importante do que a que surge em função do negócio da empresa, é a aplicação das estratégias de segurança nas áreas que dão suporte operacional. Uma das funções mais importantes da segurança computacional atualmente é ampliar a compreensão geral de segurança, seus usos e abusos. Compreendendo-se como funcionam os procedimentos de segurança e como todos são vulneráveis a falhas internas e à agressão externa é possível analisar de forma objetiva os impactos na infraestrutura organizacional.
A segurança não é tecnologia e tampouco soluciona todos os problemas de uma corporação. Segurança é um processo e como tal, pode-se aplicar seguidamente e, dessa maneira, melhorar a segurança da corporação. Se não for aplicada ou se for interrompida a aplicação do processo, a segurança tende a ser cada vez pior, à medida que surgem novas formas de ameaças e técnicas de ataques.
Medidas de segurança nada representam se não se conhecer o que deve ser protegido. Dentre os fatores facilitadores, aqueles que contribuem para a segurança computacional corporativa estão a adoção de um ambiente que observa as normas e padrões de segurança no uso dos recursos computacionais disponibilizados; a disponibilidade de canais de comunicação abertos para melhorias contínuas nos procedimentos de segurança; a correlação entre desempenho e proatividade na empresa.
Os fatores inibidores da segurança mais comuns são atitudes e meios excessivamente autoritários; empresas com pouco ou nenhum controle sobre a utilização dos recursos computacionais; pressão para conformar-se, do tipo “isto sempre foi assim”; falta de tempo para a melhoria dos procedimentos de segurança e a prisão do organograma, também conhecida como rigidez organizacional.
Antes de tratar da segurança das tecnologias que compreendem uma rede de comunicação, é necessário que se avalie, detalhadamente, a amplitude daquilo que se pretende proteger. O primeiro passo consiste em realizar um levantamento e a classificação dos ativos da empresa. É preciso avaliar o grau de risco e de vulnerabilidade destes ativos, fazer a avaliação das suas falhas e definir o que pode ser feito para aperfeiçoar sua segurança.
O segundo passo diz respeito à formalização de uma política de segurança que basicamente estabelece a elaboração de normas e procedimentos dentro da organização. Este trabalho normalmente é monitorado por um grupo especialmente criado para esse fim. A infraestrutura de tecnologias é a terceira fase deste planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.
Ao delimitar estes processos, o profissional deve partir para a fase de gerenciamento, passando pela análise de infraestrutura da empresa, auditoria de processos, testes regulares de ataques a vulnerabilidades, revisões e acompanhamento de políticas e tratamento de incidentes na rede.
