brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Avaliação de Vulnerabilidade

Planejamento gera economia – A importância de um planejamento de segurança apropriado
7 de Maio de 2002ID do Artigo: 1322
Autor: Danny Ingram

Produtos Relacionados

A sociedade atual em que vivemos pode ser extremamente impaciente. Isso pode ser demonstrado através dos sistemas de drive-thru em restaurantes fast food e a popularização de dispositivos como telefones celulares, pagers e mensagens instantâneas, que nos permitem a comunicação em qualquer lugar, a qualquer hora. Ninguém gosta de ter que esperar. Com relação ao mundo dos negócios, a situação não é muito diferente.

Na verdade, as vezes é até pior, principalmente na indústria de software. Vários clientes consideram normal a negociação com um fornecedor de software, na compra de uma solução complicada, para que seja implementada imediatamente no ambiente de computadores. Todas as partes envolvidas chegaram a conclusão que a solução será “plug and play”, e que será integrada facilmente sem nenhum problema identificável. Eles presumem que tudo isso pode ser conquistado sem nenhuma consideração sobre os problemas comerciais que a solução resolverá. Portanto, planejamento apropriado é, com freqüência, totalmente negligenciado ou ignorado, porque clientes e fornecedores querem ver suas demandas atendidas imediatamente.
.

Por que planejar uma implementação do software de segurança?
Quando uma empresa decide impor medidas de prevenção para reduzir o risco ao seu patrimônio comercial, ela considera que certos sistemas são cruciais para suas operações diárias. Quando as novas tecnologias de segurança são introduzidas, o ambiente é invariavelmente alterado. Alguns possíveis resultados:

  • Questões do Domain Name Service (DNS) poderão ocorrer devido aos requisitos para resolução do nome do host entre os componentes chave.
  • Questões de roteamento poderão ocorrer ou o tráfego poderá ser inibido devido a um firewall estrategicamente localizado.
  • Requisitos de espaço em disco e considerações de banda larga poderão causar discussões intensas entre os Administradores de Segurança, Consultores e Administradores do Sistema.
  • Recursos chaves, como tempo e mão de obra, poderão ser realocados para lidar com algumas das questões em potencial.

Como Ted Krug, vice-presidente do Revere Group, observou tão acuradamente: "Considerar o impacto na rede e na infra-estrutura do servidor ao planejar uma grande implementação de um aplicativo em toda a empresa, pode representar uma economia de 30 a 40 porcento do tempo e custo da implementação. Isso o ajudará a identificar a vantagem competitiva do aplicativo em breve."* O planejamento apropriado da implementação de um software de segurança, pode evitar problemas potenciais em várias áreas.


Exemplo de um planejamento deficiente
Uma empresa que ignora etapas vitais do processo de planejamento pode sofrer inúmeras perdas. Considere esse exemplo: Um fornecedor de software se apressa para finalizar um contrato de sete dígitos com uma grande empresa, no final do ano fiscal. A empresa informou ao fornecedor sobre uma política interna que determina as duas áreas de segurança que necessitam ser abordadas imediatamente em toda a empresa. Como a empresa já utilizou esse fornecedor anteriormente, a empresa procurou sua assistência nos requisitos do projeto. Após a finalização e apresentação, a empresa comprou, sob a recomendação do fornecedor, serviços de consultoria e software no valor de 1.1 milhões de dólares.

Após uma espera de mais de três meses, devido a problemas de planejamento, a empresa recebeu a visita de um consultor, como parte dos vinte dias de consultoria, adquiridos pela empresa. Durante as duas horas iniciais da apresentação, os doze representantes do cliente presentes criticaram os requisitos de dimensionamento do software de segurança, as dependências do DNS e os objetivos gerais do software.

No final do dia, eles fizeram um comentário muito interessante: “Se soubéssemos das limitações desse software, teríamos pensado duas vezes. Agora, estamos preparados para aceitar nosso erro e perda, jogá-lo pela janela e passar para frente.” Infelizmente, eles não utilizaram o software ou receberam nenhum benefício dos recursos investidos. Um planejamento correto poderia ter evitado a perda financeira e a demissão de três membros importantes da equipe; poderia também ter ajudado na seleção de uma solução que atendesse às suas necessidades comerciais atuais e futuras.

Examine suas necessidades comerciais
Antes que a compra de qualquer software de segurança seja considerada, uma pergunta fundamental deve ser respondida com cuidado.

  • Quais são as necessidades do seu negócio?

    A determinação da extensão dos requisitos comerciais, analisada em coordenação com o problema específico que necessita de uma solução. Uma das melhores maneiras de atingir esse objetivo é através de uma abrangente Avaliação de riscos.

    Avaliação de riscos
    Uma detalhada avaliação de riscos fornece à empresa um abrangente conjunto de informações que determina
    o O valor comercial dos patrimônios,
    o A probabilidade de ameaças que exploram vulnerabilidades e aumentam o risco,
    o Se o custo potencial de medidas preventivas é maior do que a perda de negócios esperada.

    Como a sua empresa pode adquirir tecnologia baseada no conhecimento, para atender adequadamente aos requisitos comerciais, se o risco não foi determinado? Um atleta de classe internacional, bem treinado para corridas de uma milha, venceria uma maratona sem considerar a diferença de uma maratona de 25,2 milhas e uma corrida de uma milha? Esperamos que não, e sem planejamento adequado e extenso treinamento, ele certamente sofreria várias dores, ferimentos e derrota. O mesmo acontece no setor de implementação de software.

    Uma vez que os requisitos de sua empresa forem propriamente categorizados, uma outra pergunta deve ser contemplada antes de procurar um fornecedor.
  • O que está tentando proteger?
    A determinação dos principais dados que requerem proteção é, com freqüência, uma tarefa difícil. Isso requer um inventário do servidor que abriga informações pertinentes, incluindo, mas não se limitando a: nome do host do sistema, endereço IP do sistema, sistema operacional e nível de correção, componente do software a ser instalado, espaço disponível em disco, diretório de instalação, função comercial do servidor, localização física do servidor e informações do ponto de contato do administrador do sistema. Todos esses dados podem ser utilizados para determinar se o armazenamento das informações cruciais é um candidato à instalação, ou para resolver problemas do sistema ou de instalação de software posteriormente.

    Uma vez que a sua empresa compreenda essas áreas estratégicas, é aceitável então, que se comece a procurar uma solução de segurança que atenda aos requisitos comerciais especificados. A maioria das empresas de software sugerem algum tipo de implementação piloto em um ambiente simulado que imita o seu ambiente de produção. Aproveite esse tempo para verificar se um bom marketing não exagerou nos recursos da solução testada. O conhecimento adquirido com a implementação piloto facilita o aprendizado e aumenta o entendimento da sua empresa sobre futuros recursos solicitados. A sua empresa deve especificar na seção de requisitos comerciais, se o software será mantido internamente, através de um aumento de funcionários ou terceirizado para uma empresa prestadora de serviços de segurança gerenciados 24 horas por dia.

Especifique a definição do projeto
Quando um acordo for firmado entre a sua empresa e o fornecedor, algumas áreas de necessidade poderão aparecer. Antes de integrar o software à infra-estrutura corporativa, invista algum tempo na determinação de uma fase sólida de definição do projeto. Alguns pontos a serem considerados nessa fase incluem:

  • Definir uma “Declaração de Missão/Visão” aceitável por ambas as partes, determinando os objetivos do projeto.
  • Adquirir uma compreensão operacional do ambiente da sua empresa.
    o Examinar toda a documentação relevante como políticas, procedimentos, padrões e estatísticas.
    o Examinar as características ambientais.
    o Preencher as planilhas aplicáveis.
    o Conduzir entrevistas de recrutamento.
    o Identificar as funções e responsabilidades dos funcionários, por exemplo, “Separação de funções”.
  • Desenvolver um plano abrangente para a integração do produto ao ambiente da empresa.
    o Desenvolver um plano de trabalho para o projeto, detalhando os recursos requeridos, datas, entregas, etc.
    o Desenvolver um plano de teste de aceitação, para verificar a integração da tecnologia dentro da arquitetura de segurança.
    o Atender aos requisitos de dimensionamento do produto.
    o Criar uma estratégia de implementação que seja dimensionável e atenda aos requisitos comerciais existentes e futuros.
    o Especificar as recomendações de hardware consistentes com a arquitetura do produto e criar questões relevantes ao ambiente da empresa.
    o Examinar o inventário do servidor para garantir que os servidores cruciais apropriados foram identificados.
  • Documentar precisamente todas as etapas usadas até o momento, para revisões ou implementações futuras. (Observação – documentação é essencial!)

Conclusão
Um planejamento antecipado apropriado previne mal desempenho. Essa é uma declaração ouvida com freqüência, principalmente em círculos militares. Se organizações militares bem-sucedidas conseguem passar essa mensagem para as mentes de suas leais tropas, então talvez isso pode nos oferecer um pouco de esperança para com a impaciente sociedade em que vivemos. Aplique essa regra ao seu programa de segurança e verá melhores resultados. Planejamento gera economia!

* Five Essentials for Highly Effective Software Implementation – A Guide to Saving Time and Cost, Cisco Systems, Inc., 1999.

Sobre o autor:
Danny Ingram é um Instrutor de Clientes Sênior da Symantec, onde acumula mais de oito anos de experiência na indústria de Segurança de Informações, ajudando mais de 200 organizações públicas e privadas a implementar e integrar tecnologias de segurança efetivas às suas infra-estruturas corporativas.
Antes de entrar para a Symantec, na Ingram forneceu serviços de inteligência seguros, compartimentados e de vários níveis a organizações e órgãos governamentais de alto escalão, como, lingüista, escritor técnico e especialista em criptografia na United States Marine Corps.

Outros artigos
Para mais ler mais sobre segurança para redes e Internet, acesse o site da Symantec em:
http://www.symantec.com.br/region/br/enterprisesecurity/
content/security_articles.html
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home