Novas tecnologias moldam o futuro dos negócios, da mobilidade, do comércio, da informação, entretenimento, dos sistemas financeiros, entre outros. Assim, é cada vez maior o número de Provedores de Serviços de Internet (ISP’s) que desenvolvem seus negócios baseados em novas tecnologias de informação visando otimizar o negócio e se manter competitivo no mercado.
Porém, na mesma proporção, estão aumentando os custos operacionais para a manutenção da infraestrutura necessária a essas tecnologias, protegidas contra vírus, invasões pela Internet, erros humanos e atos de espionagem ou sabotagem, porém muitos investimentos não alcançam o retorno esperado por não serem adequadamente planejados e implantados.
Para fazer frente aos novos desafios, o conhecimento das práticas de gestão de segurança da informação tem crescido rapidamente, de início, separadamente em muitas organizações, mas sendo gradativamente combinadas, independentemente do tamanho e do tipo do negócio da empresa. Neste cenário, os investimentos do ISP na área de Segurança da Informação têm se mostrado um fator decisivo para a redução dos custos operacionais e para a garantia da qualidade dos serviços e produtos, onde os resultados do negócio são fortemente dependentes do desempenho obtido com o emprego da Tecnologia da Informação.
- Soluções Integradas
Bill Gates afirma no seu livro “A Empresa na Velocidade do Pensamento” (Companhia das Letras, 1ª edição), que “Os negócios vão mudar mais nos próximos dez anos do que mudaram nos últimos cinqüenta” e que “Embora a maioria dos problemas das empresas seja essencialmente de informação, quase ninguém a está utilizando bem”. A partir destas afirmativas, resta-nos uma indagação: se o ambiente do ISP está evoluindo de forma acelerada para acompanhar essa velocidade dos novos negócios, como utilizar bem a informação e de forma segura?
Falhas na rede de comunicação, perda de informações por motivos diversos, disseminação de vírus e roubo de informações pela Internet, sabotagem, espionagem cibernética, entre outros, são alguns dos fatores que os profissionais da área de segurança do ISP precisam observar, definindo estratégias de atuação e implantando medidas de recuperação eficazes. Considerando que a classificação das informações é o processo para estabelecer o grau de importância dessas informações mediante seu impacto no negócio, quanto mais importante, estratégica e decisiva for essa informação para a manutenção ou sucesso da organização, estratégias de segurança devem ser aplicadas sempre, em qualquer meio de armazenamento (Fig. 1).
Figura 1 – Estratégias de segurança da informação
As soluções de segurança no ISP devem permitir a criação de um fluxo de informações entre os diversos níveis funcionais pela integração dos recursos computacionais de forma eficiente e segura, o que virá possibilitar o aumento na produtividade, melhorias da qualidade dos serviços internos, agilização nas transações e aumento da competitividade. Neste contexto, devem ser escolhidas ferramentas eficazes e sintonizadas com as características do negócio, buscando sempre a maximização dos investimentos em tecnologia. Tais ferramentas devem prover condições que permitam uma abordagem ampla dos problemas vivenciados pelo ISP e oferecer soluções que vão desde o planejamento estratégico até a implantação e gestão dos sistemas de gerenciamento de rede, administrativo, financeiro etc.
Com esse fim, é necessário configurar diferentes mecanismos para identificação e autorização de acesso, armazenamento de dados, sistemas de auditoria, inspeção e checagem, entre outros. Também devem ser observados os fatores que interfiram na segurança quanto à exposição involuntária ou não de informações pessoais e técnicas, enfim, confidenciais. As soluções devem ser eficazes, preferencialmente de baixo custo e de rápida implantação, abordando as seguintes áreas principais:
Implantação e operação da rede de comunicação:
- Configuração de equipamentos de rede;
- Configuração e controle de acessos;
- Definição de topologias de rede;
- Balanceamento de carga;
- Instalação de infraestrutura;
- Certificação de rede.
Configuração de serviços de rede:
- Servidor de correio eletrônico;
- Servidor www;
- Servidor de domínio;
- Servidor de arquivos;
- Servidor de backup;
- Outros.
Acesso a Banco de Dados:
- Aplicações cliente / servidor;
- Interfaces com banco de dados;
- Intercâmbio Eletrônico de Dados (EDI);
- Auditoria de segurança de banco de dados.
Terceirização dos Serviços de Rede e Suporte:
- Administração e suporte;
- Segurança física e lógica;
- Controle de disponibilidade.
Planejamento estratégico:
- Planos de contingências;
- Auditoria;
- Análise de impacto;
- Suporte à tomada de decisões.
- Programa de Planejamento e Gestão em Segurança
Um programa de planejamento e gestão em segurança objetiva a análise das necessidades do ISP como um todo (Empresa e profissionais) e utiliza como metodologia o estudo intensivo das normas e padrões para a integração do conhecimento relativo aos diferentes segmentos do negócio.
Este programa deve formular, implementar e avaliar linhas de ação referentes às interações da organização com o seu ambiente, tentando garantir o seu principal patrimônio que é a informação, para atingir seus objetivos, relativos a seus produtos, mercado, clientes, concorrentes etc. Neste contexto, um dos objetivos é desenvolver, junto aos profissionais responsáveis pela operação e gestão da rede, mais os setores administrativo, financeiro e demais áreas-chave do ISP, habilidades em planejamento, implantação, análise e gestão da segurança, para que estes possam identificar e solucionar os problemas relacionados com a infraestrutura do ISP, bem como a inserção de questões tecnológicas e administrativas de segurança no processo de tomada de decisões estratégicas da empresa (Fig. 2).
Figura 2 – Aspectos de interação no ambiente da empresa
Outro objetivo do programa é apresentar um projeto para um investimento planejado e contínuo em segurança, que tem como meta garantir um compromisso permanente com soluções de custo acessível e alta qualidade, sempre focando a melhoria da competitividade através da redução de riscos de invasão, roubos e perdas de informação, redução de custos operacionais, aumento de eficiência dos procedimentos internos e otimização da infraestrutura computacional e de serviços.
- Plano Diretor de Segurança
A definição de um Plano Diretor de Segurança (Enterprise Security Planning – ESP) é essencial para a integração do esforço de proteção da infraestrutura de TI no âmbito gerencial e financeiro do ISP. Ele resume todas as decisões tecnológicas, administrativas e operacionais, representadas através da descrição de políticas de segurança, análise de riscos e vulnerabilidades, investimentos, definição de prazos e objetivos, considerando os diferentes cenários tecnológicos e comerciais.
Um Plano Diretor de Segurança deve incluir os seguintes elementos principais:
- Plano de Investimentos;
- Política de Segurança;
- Arquitetura do Sistema de Segurança;
- Organização do Conselho de Segurança;
- Catálogo de Procedimentos;
- Manual de Segurança Corporativa;
- Plano de Reação a Incidentes;
- Plano de Capacitação em Segurança;
- Plano de Auditoria;
- Plano de Contingência.
Portanto, ele é o ponto de partida para a aprovação do Programa em Segurança e uma referência para todas as ações que interferem na segurança no ISP como um todo.
- Planejamento e Visão de Conjunto
Um programa de segurança deve apresentar uma abordagem ampla das questões, envolvendo planejamento estratégico, análise e gestão da segurança e também focar a aplicação efetiva das tecnologias de controle visando desenvolver a capacidade dos profissionais para atuarem como especialistas na aplicação dos recursos tecnológicos disponíveis para a operação da rede de comunicação.
É importante ressaltar que estes profissionais devem estar aptos para proceder a uma análise crítica do ambiente corporativo, propondo alternativas factíveis que reduzam efetivamente os riscos operacionais e seus custos associados, melhorando desta forma a competitividade e a qualidade dos produtos e serviços.
Planejamento e visão de conjunto também são imprescindíveis para se atingir o sucesso quando a solução envolve segurança, pois possibilitam uma abordagem ampla das questões de segurança corporativa e a integração das soluções propostas em ambientes computacionais heterogêneos, envolvendo redes, protocolos de comunicação, gerenciadores de banco de dados, sistemas administrativos e o desenvolvimento de soluções de middleware. Neste cenário, o programa de segurança configura-se como um manual de procedimentos, que nasce do planejamento e da visão de conjunto da organização e que descreve como os recursos que manipulam as informações da empresa devem ser protegidos e utilizados, sendo o pilar da eficácia da segurança da informação, estabelecendo investimentos em recursos humanos e tecnológicos (Fig. 3).
Figura 3 – Estrutura de um programa de segurança
- O Fator Humano
Uma solução eficiente em segurança corporativa envolve conhecimento do negócio, da tecnologia e, principalmente, conscientização e capacitação dos profissionais. Entretanto, na prática é impossível prever todas as possibilidades de fraudes e ataques contra um ISP. É comum encontrar empresas que estabelecem controles indiscriminados, esperando com isso obter maior produtividade, e isso nem sempre resulta no sucesso.
O mais importante é reconhecer a importância do elemento humano nos ambientes tecnológicos, uma vez que o ser humano é invariavelmente o elo mais fraco da cadeia de segurança e sobre ele devem recair os principais cuidados durante as fases de especificação, implantação e gestão de sistemas de segurança. Tal cuidado poderá possibilitar o desenvolvimento de uma cultura de prevenção sistemática dos problemas, valorização dos princípios éticos e de responsabilidade no trabalho, além da própria disseminação do conhecimento sobre o tema.
Até o próximo artigo!