brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Suporte Executivo e Segurança de TI (Parte II)

O artigo a seguir foi extraído do capítulo 3 do “Segurança de TI: Arriscando a empresa”, escrito por Linda McCarthy e publicado pela Prentice Hall.

Por Linda McCarthy
Consultora de Segurança Executiva, Escritório da Direção de Tecnologia
Symantec Corporation


ID do Artigo: 3371
2 de março de 2004
Introdução
Não delegue a segurança
Mantenha o mínimo possível de níveis de gerenciamento
Relatório à gerência executiva
Torne a segurança um objetivo corporativo
Forneça ou faça parte de treinamentos conforme necessário
Certifique-se de que todos os gerentes entendam sobre segurança
Comunique-se claramente com a gerência
Lista de verificação
Palavras finais
Links Relacionados

Introdução
No artigo Suporte Executivo e Segurança de TI (Parte I), Linda McCarthy descreve como a força por trás de uma grande idéia pode encorajar uma pequena semente a se transformar em uma indústria de um bilhão de dólares anuais (como a Internet Software Design), quase da noite para o dia. Porém se este florescimento acontecer muito rápido, ela pode murchar e morrer muito rapidamente. Pode-se perder o controle, principalmente quando uma empresa cria um falso compromisso com a segurança. A ISD teve sorte desta vez. Não aposte o futuro da sua empresa na sorte. Aqui, na Parte II, McCarthy discute o que a ISD deveria ter feito.

Toda empresa tem a sua própria cultura com relação à segurança. Por isso, nem tudo o que funciona para uma empresa é, necessariamente, eficiente para outra. Cada empresa deve entender o que deseja da segurança e, então, colocar as idéias em prática, de cima para baixo. A gerência não pode ser excluída.

Quando a gerência executiva não valoriza ou assume a responsabilidade pela segurança (como se isso fosse responsabilidade de outros), os outros funcionários da empresa ficam com a impressão de que a gerência da empresa realmente não se preocupa com a segurança. Como resultado, os funcionários da empresa perdem também, geralmente, o interesse pela segurança. Esta é uma mensagem perigosa a ser enviada a seus funcionários!

Não delegue a segurança
Com muita freqüência, os gerentes parecem comandar a empresa de seus pedestais, com pouco ou quase nenhum contato com seus funcionários. Quando isso acontece, a segurança é prejudicada. Esta situação ilustra os tipos de problemas que podem ocorrer quando os gerentes de segurança ditam as regras a partir de seus pedestais.

As simples declarações sobre a importância da segurança não são suficientes. Praticamente todo mundo sabe que a segurança de computadores é uma questão importante. Infelizmente, muita gente pensa que é uma questão importante para outros resolverem.

Lembrem-se de que somos todos responsáveis pela segurança e proteção de nossos dados. Isto inclui desde o executivo mais alto da empresa até o técnico de nível mais baixo.

Mantenha o mínimo possível de níveis de gerenciamento
Quando muitos níveis estão envolvidos na segurança, as mensagens de segurança podem ser mal interpretadas, não entendidas ou simplesmente perdidas. Se você for um gerente executivo e não souber quem é o gerente responsável pela segurança na sua empresa, examine com cuidado a sua cadeia de comando. Muitos elos podem enfraquecer até mesmo a mais forte das cadeias (Ilustração 1).

Se você for um elo no final da cadeia, saiba exatamente quem deseja que você cumpra uma determinada tarefa. Lembre-se de que “gerenciamento” é um conceito e não o nome de uma pessoa. Não será possível prestar contas a um conceito, se você tiver problemas operacionais ou de implementação.

Relatório à gerência executiva
Recentemente, encontrei com a diretora de informática de uma empresa de manufatura, para conversarmos sobre segurança. Ela queria saber como identificar se sua rede estava correndo riscos. Pedi que respondesse às seguintes perguntas:

1. Você já recebeu alguma vez um relatório de segurança executivo?
2. Você tem um gerente de segurança?
3. Você tem especialistas em segurança?

A resposta a todas essas perguntas foi “Não”. A diretora de informática não estava certa se sua empresa já havia alguma vez conduzido uma auditoria de segurança. Ela estava considerando se seria necessário contratar um consultor de segurança. Sugeri que ela pedisse aos seus gerentes de produção que conduzissem uma auditoria de segurança e entregassem a ela um resumo executivo de uma página, dentro de 30 dias. “Se a sua equipe não for capaz de conduzir uma auditoria de segurança ou entregar um resumo de segurança executiva, você definitivamente precisa de ajuda externa”, foi a minha resposta.

Os administradores de sistema, e qualquer outro funcionário que possa ser responsabilizado por problemas de segurança, deveriam fornecer resumos de segurança à gerência executiva regularmente (Ilustração 2). O ideal seria que os relatórios encorajassem a gerência a aprovar fundos, aumentar as contratações, oferecer treinamento ou qualquer outro recurso necessário para corrigir os problemas. E, na pior das hipóteses, você teria relatórios por escrito para salvar a sua pele.

Mesmo quando o resultado de uma auditoria de segurança for positivo, sem maiores riscos à segurança, a gerência ainda assim precisa receber um resumo executivo. Como observei várias vezes, os problemas de segurança nem sempre são aparentes à primeira vista. Normalmente não é óbvio quando um problema foi resolvido. Essa é uma outra razão porque os gerentes executivos devem solicitar, regularmente, um relatório conciso (de uma página) de segurança para o nível executivo.


Torne a segurança um objetivo corporativo
Você poderá encontrar dificuldades na manutenção da segurança, porque todos os funcionários da empresa estão muito ocupados tentando atingir outros objetivos. Caso tenha problemas para manter a segurança da sua empresa, considere adicionar a segurança aos objetivos de todos os níveis de gerenciamento.

Forneça ou faça parte de treinamentos conforme necessário
Para que a segurança funcione, todos precisam saber as regras básicas. Uma vez que os funcionários estejam familiarizados com as regras, é só pedir que as sigam. Use e-mails para enviar lembretes regulares sobre a importância da proteção de informações, da manutenção de senhas, segurança de sistemas, etc. Se você ou seus funcionários ainda não tiverem participado de treinamentos sobre precauções básicas de segurança, faça isso o quanto antes.

O ideal é que a sua empresa já tenha pessoas que saibam o suficiente sobre segurança, para que possam criar e executar sessões de treinamentos básicos. Caso você não conte com tais funcionários, consiga tempo para contratar um treinamento externo.

Antes que você diga, “Não temos tempo para esse tipo de coisa”, pense de forma criativa. O treinamento não precisa ser necessariamente cansativo ou tomar muito do seu tempo. Algumas empresas utilizam vídeos pré-gravados para serem exibidos durante o tempo de inatividade de seus funcionários,ou até mesmo oferecem aulas individuais via e-mail. Um treinamento não significa necessariamente 30 mesas enfileiradas em uma sala de aula. Escolha um método que funcione para a sua empresa.

Certifique-se de que todos os gerentes entendam sobre segurança
É extremamente importante que todos os funcionários da gerência entendam os riscos associados aos sistemas inseguros, do contrário as decisões da gerência poderão comprometer involuntariamente a reputação da empresa, as informações confidenciais e os resultados financeiros. Não estou dizendo que é necessário que você seja um especialista em segurança, mas que deve entender o jargão e os princípios básicos de segurança.

Comunique-se claramente com a gerência
Com freqüência, os administradores de sistema preferem fazer reclamações a seus computadores do que a seus supervisores. Outras vezes, eles percebem que fazer reclamações a seus supervisores é o mesmo do que reclamar a seus computadores.

Se você for um supervisor (ou outro gerente), certifique-se de que seus funcionários tenham fácil acesso a seu tempo e disponibilidade. Quando problemas de segurança ocorrerem, preste atenção! A primeira linha de defesa da sua rede é uma comunicação saudável com os funcionários atrás dos computadores.

Se você for um administrador de sistemas, converse com o seu supervisor imediato e certifique-se de que isso resolve o problema. Caso não resolva, tente encontrar apoio em níveis mais altos da cadeia de gerência, para obter resultados.

Lista de verificação
Use a lista abaixo para determinar se os níveis de organização e gerenciamento da sua empresa permitem que os problemas de segurança sejam abordados de forma adequada. Você pode responder “Sim” a cada uma das perguntas abaixo?

  • São produzidos, regularmente, relatórios de segurança para o nível executivo?
  • Existe um canal de comunicação claro do nível mais alto de gerência aos funcionários da linha produção? E, o mais importante, todos os funcionários da empresa sabem qual é e onde está esse canal de comunicação?
  • A responsabilidade da empresa é delegada ao vice-presidente, diretor de segurança ou outro funcionário da gerência? Quanto mais alto for o nível de gerência do responsável pela segurança, melhor! Certifique-se que o gerente responsável pela segurança não esteja sobrecarregado com outras tarefas, e que tenha a autoridade para agir. Do contrário, ele será somente um bode expiatório.
  • A gerência demonstra seu compromisso com o programa de segurança da empresa, apresentando-o e cumprindo-o de forma apropriada?
  • Já foi alocada e está disponível a verba adequada para a segurança?
  • Todos os administradores de sistema entendem a importância de relatar e resolver os problemas de segurança rapidamente?
  • O programa de conscientização sobre a segurança é fornecido como parte da orientação padrão para novos funcionários de todos os níveis, desde a gerência superior até a linha de produção?
  • Foram tomadas medidas para garantir que todos os funcionários (de todos os níveis) estão conscientes das políticas de proteção às informações da empresa?
  • A realidade da cultura da empresa (em termos da relação entre funcionários e gerência) foi considerada quando as políticas e procedimentos de segurança foram desenvolvidos?
  • Os funcionários sabem quem procurar para pedir ajuda, quando ocorrer uma violação de segurança ou quando não entenderem muito bem suas funções?
  • São conduzidas auditorias de segurança regularmente?

Palavras finais
Se você é um gerente executivo e espera que a sua Intranet esteja incondicionalmente segura, poderá ter uma surpresa. As ameaças contra empresas continuam a crescer, demandando níveis de segurança cada vez mais altos em Intranets.

No início dos anos 90, entramos em uma nova era na segurança de computadores. Há poucos anos, várias empresas se expunham (com pouca ou quase nenhuma proteção), pois os riscos eram poucos e as conseqüências menos devastadoras. Essa situação já não existe mais. Hoje em dia, a ameaça a dados na Intranet é mais alta do que nunca. Se a sua Intranet já estiver correndo riscos resultantes de instalações instantâneas, orçamentos inadequados para segurança ou comunicação corporativa não satisfatória, é preciso que você aja agora mesmo.

Como este caso mostra claramente, uma comunicação pobre pode ser, sozinha, um grande risco à segurança de uma empresa. A maioria das violações reais de segurança neste estudo de casos foi bastante básica: senhas simples, instalações instantâneas, etc. Nesta fase da revolução da informática, nenhuma rede respeitada deve sofrer de sintomas tão simples, especialmente quando a maioria deles pode ser corrigida facilmente com uma comunicação mais aprimorada.

Diferente de um assalto à mão armada, crimes de computadores nem sempre aparentam ser tão sérios como na verdade são. Normalmente ocultados pelas vítimas para evitar maiores danos (ao valor de suas ações, reputação, etc.), os crimes de computadores vêm crescendo em uma proporção fenomenal. No National Infrastructure Protection Center, uma seção do FBI que trabalha com departamentos do governo e empresas privadas, o número de casos de crimes cibernéticos ativos tem dobrado todo ano desde 1998. O custo cumulativo desses casos também aumenta proporcionalmente. Uma pesquisa realizada pela Information Week e pela Price Waterhouse Coopers, em meados do ano 2000, estimou um custo de $1.6 trilhões de dólares de danos causados por vírus de computadores para aquele ano. Como Leslie Wiser do FBI observou em sua palestra ao Congresso sobre segurança cibernética em agosto de 2001: “Essa quantia é maior do que o produto interno bruto da maioria das nações do mundo.”

O diretor de informática de qualquer empresa deve se manter sempre à frente de sérios riscos de segurança da rede corporativa, inclusive de violações bem-sucedidas. Tenho certeza de que o seu diretor de informática prefere receber a notícia sobre violações da gerência de produção do que da CNN Headline News. Se você não possui um canal de comunicação claro até o nível mais alto, crie um.

Sobre a autora
Linda McCarthy é Consultora de Segurança Executiva, do Escritório da Direção de Tecnologia para a Symantec. Ela foi anteriormente vice-presidente da Engenharia de Sistemas na Recourse Technologies. Ela trabalhou também como vice-presidente e diretora de conhecimentos da NETSEC, e foi a fundadora e presidente da Network Defense e Gerente da Security R&D na Sun Microsystems. Como consultora, ela já violou milhares de redes corporativas, para demonstrar a facilidade com que intrusos podem interromper as operações de uma empresa.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home