Seis Desafios
Significativos para a Segurança da Informação
|
 |
| |
O artigo a seguir foi extraído
do capítulo 1 do livro The
Executive Guide to Information Security (Guia
do Executivo para a Segurança da Informação),
de Mark Egan e Tim Mather, publicado pela Symantec
Press.
A Internet cresceu de alguns
milhares de usuários, em 1983, para mais de
800 milhões de usuários em todo o mundo,
em 2004. Ela oferece um canal online vital para a
condução dos negócios com clientes
existentes e potenciais. Entretanto, apesar de ser
uma excelente vantagem, a Internet apresenta significativos
riscos de segurança que as empresas desconhecem
ou subestimam, sujeitando-se ao perigo. A seção
a seguir descreve os seis maiores desafios de segurança
da informação para as empresas de hoje.
Comércio eletrônico
No passado, somente as grandes empresas eram capazes
de se conectar com milhões de clientes 24
horas por dia, 7 dias por semana. Agora, mesmo uma
empresa com recursos limitados pode competir com
seus rivais maiores ao oferecer produtos e serviços
pela Internet, com apenas um pequeno investimento.
Os serviços de comércio eletrônico
são muito apreciados por consumidores que
não gostam de gastar seu já escasso
tempo livre nas lojas tradicionais, com horário
comercial restrito e vendedores mal-humorados, sem
contar as longas filas de caixa. Os executivos devem
compreender como tirar vantagem deste novo canal
de comércio eletrônico e, ao mesmo tempo,
gerenciar os riscos a ele associados.
As empresas agora contam com a Internet para oferecer
produtos e serviços consoantes com as preferências
de compra de seus clientes. A Internet não é mais
um método opcional de vendas, e sim um canal
vital de distribuição que as empresas
não podem mais ignorar.
Empresas pioneiras, como eBay e Amazon, revolucionaram
a compra fácil de produtos pela Internet. Além
da facilidade da compra de produtos por parte dos clientes,
as empresas também inovaram o uso de conceitos,
como “personalização”, para
criar relacionamentos exclusivos com clientes individuais.
Através do recurso de personalização,
as empresas estão aptas a identificar seus clientes
online pelo nome, oferecer-lhes produtos com base em
seus hábitos de compra e também armazenar,
com segurança, informações, como
o seu endereço residencial, a fim de tornar
a compra online muito mais rápida. Essas estratégias
permitem que empresas de comércio eletrônico
bem-sucedidas criem uma experiência positiva
de compras online, sem as desvantagens associadas ao
comércio tradicional.
No entanto, além das vantagens, surgem também
novos desafios que devem ser vencidos pelas empresas
para obter o sucesso. Por exemplo:
As empresas enfrentam uma tremenda pressão
para entregar esses sistemas o mais rápido possível,
pois ser o primeiro a comercializar um novo produto é uma
grande vantagem competitiva;
- O acesso preciso e atualizado
a informações
por parte de funcionários, clientes e parceiros
não é mais uma perfumaria; agora ele é essencial;
- As
empresas devem oferecem esses serviços
de forma fácil e totalmente segura, pois armazenam
informações confidenciais, como endereços
residenciais e números de cartões de
crédito;
- Os sistemas devem estar disponíveis
24 horas por dia, 7 dias por semana, pois os clientes
esperam que o acesso aos produtos e serviços
esteja ao seu dispor.
Esses desafios apresentam um demanda considerável
das empresas de TI, porque é muito difícil
entregar os sistemas de comércio eletrônico
de forma rápida e segura. Com o aumento das
expectativas, aumentam também a demanda de sistemas
e tecnologia.
Crescimento constante e complexidade dos ataques à segurança
da informação
Os primeiros vírus de computador ficavam restritos
a alguns sistemas de usuários individuais, e
resultavam em apenas uma pequena queda da produtividade
daquele funcionário, naquele dia em particular.
No entanto, as ameaças combinadas de hoje, como
o Code Red e Nimda, apresentam diversas ameaças à segurança
ao mesmo tempo, causando grandes interrupções
e danos de bilhões de dólares às
empresas. Uma ameaça combinada reúne
tipos diferentes de códigos maliciosos, a fim
de explorar as vulnerabilidades de segurança
conhecidas. Essas ameaças usam características
de worms, vírus e Cavalos de Tróia para
automatizar ataques, se espalhar sem intervenção
e atacar sistemas a partir de diversos pontos.
Atualmente, esses ataques causam perdas de bilhões
de dólares todos os anos, de modo que as empresas
não podem mais ignorar o problema. Em 2000,
o vírus Love Bug sozinho teve um impacto de
US$8,75 bilhões, fazendo com que as empresas
finalmente reconhecessem que os vírus são
uma questão de grande importância e começassem
a implementar soluções antivírus
de forma mais ampla. Esse esforço diminuiu as
perdas enfrentadas desde aquele ano; porém,
o impacto continua a ser significativo.
Três grandes questões alimentaram o crescimento
dos incidentes de segurança: o aumento no número
de vulnerabilidades, processos que necessitam de muita
mão-de-obra para tratar das vulnerabilidades
e a complexidade dos ataques.
Vulnerabilidades são brechas ou fraquezas dos
sistemas exploradas pelos hackers que atacam e comprometem
o sistema. Por exemplo, o administrador do sistema
esquece de limitar o acesso de determinados privilégios
restritos a somente usuários autorizados. Isso
pode ser encarado como entregar a chave de sua casa
a todos os moradores de sua rua, quando na verdade
o intuito era entregá-la apenas a alguns membros
de sua família. Outros exemplos incluem vulnerabilidades
existentes que resultam de defeitos no software do
computador. Nessas situações, geralmente
o fornecedor do software não conseguiu identificar
ou ignorou essas fraquezas durante o processo de teste,
devido à pressão para entregar o produto
dentro do prazo.
A solução da indústria de software
a essas vulnerabilidades é oferecer correções
em forma de patches de software que as equipes da empresa
devem aplicar para “tapar o buraco”. O
processo de teste e aplicação dessas
correções em seu ambiente exige muito
trabalho. Geralmente, é difícil lidar
com as vulnerabilidades do mais alto nível e
o crescimento avassalador de novas vulnerabilidades
só agrava o problema. As vulnerabilidades relatadas
em 2003 cresceram 300%, se comparadas às relatadas
em 2000.
A complexidade dos ataques de segurança também
tem crescido muito nos últimos anos. Os primeiros
vírus causavam problemas individuais de produtividade,
mas não chegavam nem perto do impacto de ameaças
combinadas, como o Code Red ou Nimda. Como citado acima,
as ameaças combinadas usam um conjunto de vetores
de ataque — cinco, no caso do Nimda — para
se espalhar mais rapidamente e causar mais danos do
que um simples vírus. Por exemplo, o Code Red
infectou 350 mil computadores em apenas 14 horas. Em
janeiro de 2003, o worm Slammer atingiu a Internet,
obtendo uma taxa de infecção ainda maior
do que o Code Red, infectando 75 mil máquinas
em menos de 10 minutos do seu lançamento.
Até hoje, o worm de envio de e-mail em massa
de mais alta propagação foi o MyDoom,
de janeiro de 2004. No ponto mais alto da epidemia,
mais de 100 mil ocorrências do worm eram interceptadas
por hora. O MyDoom dependia dos usuários para
ser ativado e propagado. Engenhosamente disfarçado
como um inofensivo arquivo de texto, o worm era aberto
pelos usuários mais desavisados, infectando
mais usuários. A rápida propagação
dessas ameaças
torna extremamente difícil responder a tempo
para evitar danos.
Estima-se que as ameaças continuem a crescer
em tamanho, velocidade e complexidade, tornando a prevenção
e a limpeza ainda mais difícil. Esses fatores
contribuem para determinar a necessidade de um plano
dinâmico para lidar com as questões de
segurança da informação dentro
de todas as empresas.
Imaturidade do mercado de segurança da informação
O mercado de segurança da informação
ainda é muito novo, com poucos padrões
formais estabelecidos para produtos ou serviços.
A melhor maneira de caracterizar esse mercado seria
compará-lo ao mercado de planejamento de recursos
empresariais (ERP, enterprise resource planning), no
início dos anos 80. Naquela época, as
empresas compravam sistemas de finanças, de
processamento de pedidos e de manufatura de diversos
fornecedores que eram integrados por suas equipes de
TI. Esse processo era demorado e caro, pois não
havia padrões definidos e havia pouca interoperabilidade
entre os diferentes fornecedores. O mercado amadureceu,
e um pequeno número de fornecedores, como a
SAP, estabeleceram-se como líderes da indústria.
Esses líderes ofereciam uma solução
completa para empresas, que trazia todos os sistemas
individuais como parte de um sistema ERP integrado.
Eles também estabeleceram os padrões
para que empresas menores pudessem oferecer recursos
complementares. As empresas menores tiveram de alcançar
os padrões da indústria, caso contrário
eram tiradas do mercado.
A indústria de segurança da informação
está em um estágio similar ao início
dos anos 80 para o ERP, com diversas empresas oferecendo
soluções individuais, como firewalls,
que lidam apenas com uma parcela das exigências
de segurança da empresa. Em conseqüência,
são os clientes que enfrentam o desafio de fazer
com que essas soluções funcionem em conjunto.
Existem apenas algumas versões prematuras de
padrões, o que força as empresas a realizarem
diversas instalações de soluções “pontuais”,
oferecendo componentes individuais de sistemas de segurança.
Assim como aconteceu com os sistemas ERP, isso tende
a mudar, conforme um pequeno número de fornecedores
afirma-se como os líderes do mercado, oferecendo
soluções completas com suporte à maioria
das exigências de segurança da informação
das empresas. Com o tempo, os fornecedores de pequeno
porte acabam integrando seus produtos a esses padrões,
pois os clientes preferem que essa tarefa não
seja atribuída às equipes de IT. Entretanto,
até que esse dia chegue, as equipes de TI continuarão
empenhadas na tarefa hercúlea de integrar todas
essas soluções. Elas implementam uma
lista crescente de produtos e complementam o trabalho
de integração para assegurar que esses
componentes funcionem em conjunto.
Outro desafio significativo para os técnicos
de TI é a quantidade excessiva de dados que
precisam absorver para compreender e gerenciar o estado
atual de seu ambiente computacional. Cada um desses
produtos gera alarmes, relatórios e afins que
precisam ser consultados para determinar se há algo
errado.
Os produtos de segurança geram um grande volume
de dados; entretanto, apenas um pequeno número
de problemas ou “incidentes” deve estar
afetando a empresa. É difícil para a
equipe de segurança obter um quadro geral do
ambiente de segurança e colocar os planos em
prática para lidar com as preocupações
mais urgentes. Isso se assemelha ao desafio dos anos
90, quando sistemas de suporte a decisões ou
informações executivas foram desenvolvidos
para garimpar grandes volumes de dados, a fim de determinar
importantes tendências de negócios. Hoje,
diversos fornecedores oferecem sistemas de suporte
a decisões para os executivos lidarem com essa
questão. O “bilhete premiado” para
a indústria de segurança da informação é desenvolver
sistemas similares para solucionar esse problema no
cenário de segurança.
Um desafio adicional é a baixa prioridade designada à segurança
na indústria de software. Embora as empresas
líderes no ramo de software tenham anunciado
uma nova ênfase em segurança, ainda falta
que a maioria do mercado siga esse exemplo. Atualmente,
elas se concentram em fazer software de fácil
utilização e sofrem uma grande pressão
para colocar esses novos produtos e serviços
no mercado, em detrimento da segurança. Isso
resulta em um crescimento no número de vulnerabilidades.
Até que a indústria sofra mais pressão
para priorizar a segurança, nem que seja para
sacrificar alguns recursos novos, essa situação
continuará assim.
Levará algum tempo até que os fornecedores
de segurança da informação ofereçam
soluções maduras para proteger as empresas.
Enquanto isso, você deve desenvolver estratégias
para mitigar esses riscos. A boa notícia é que
a indústria de segurança está seguindo
o mesmo padrão que outras empresas do mercado
de software, portanto, podemos esperar por soluções.
Carência de profissionais de segurança
da informação
É
muito difícil, e continuará sendo por
algum tempo, encontrar pessoal qualificado em segurança
da informação. Os carros-chefes desse
desafio empregatício são: a imaturidade
das soluções oferecidas pelos fornecedores
de segurança da informação, o
número limitado de profissionais competentes
disponíveis e as habilidades específicas
exigidas pela segurança da informação.
Os executivos de negócios precisarão
investir mais na área para superar os desafios.
Devido à imaturidade do mercado, falta de padrões
e inúmeras soluções pontuais,
o treinamento da equipe de segurança também é um
problema. A indústria ainda não teve
tempo de criar o perfil necessário para essas
funções. Além disso, os desafios
de segurança da informação crescem
tão rapidamente e a lista de tecnologias a serem
implementadas aumenta a cada dia, que é muito
difícil manter-se atualizado. Isso significa
ainda mais tempo e dinheiro investido para treinar
funcionários nos produtos disponíveis
no mercado.
Obter as credenciais necessárias para a segurança
da informação exige treinamento e experiência
consideráveis. A credencial Certified Information
Systems Security Professionals (CISSP) é uma
certificação acreditada internacionalmente
que exige uma prova em diversos tópicos de segurança
da informação e pelo menos quatro anos
de experiência na área. Já a credencial
System Security Certified Practitioner (SSCP) exige
um ano de experiência, além da prova.
O Certified Information Security Manager (CISM) também
exige alguns anos de experiência mínima
em segurança da informação, além
de uma pontuação mínima obtida
em uma prova escrita. Todas essas certificações
exigem um treinamento anual como parte das avaliações
e o GIAC exige um teste bienal. Os profissionais de
segurança que tenham esses certificados são
muito procurados e os empregadores devem fazer boas
ofertas para atraí-los para suas empresas. O
Certified Information Systems Auditor (CISA) exige
um mínimo de cinco anos de experiência,
antes de se fazer a prova. O SANS Global Information
Assurance Certifications (GIAC) exige que os candidatos
passem por uma avaliação prática
como parte de sua certificação. O Certified
Information Security Manager (CISM) também exige
alguns anos de experiência mínima.
Além do treinamento técnico específico,
os membros da equipe de segurança da informação
precisam desenvolver habilidades para garantir a segurança,
o que não faz parte das funções
tradicionais da equipe de TI. Em geral, são
os órgãos militares, de investigação
e de cumprimento de leis que conduzem treinamentos
nessas áreas. Em alguns aspectos, as políticas
de segurança da empresa são como “leis” que
devem ser aplicadas dentro da empresa, o que exige
treinamento especializado. Esse requisito único
torna difícil a transição das
equipes de TI atuais para funções de
segurança da informação, sem passar
pelo treinamento especializado de aplicação
de leis.
O maior desafio dessa área talvez seja encontrar
um líder com ampla experiência nessa área,
que possa montar uma equipe competente de segurança
da informação. Poucos candidatos estão
no campo de segurança da informação
há mais de dois anos e têm o conjunto
de habilidades técnicas e de aplicação
de leis necessárias para a função.
Eles também encaram o desafio de liderança
de transformar funcionários inexperientes em
profissionais competentes de segurança da informação
e, ao mesmo tempo, enfrentar os riscos crescentes de
segurança. Esse indivíduos são
raros e bastante procurados.
Os executivos precisarão de estratégias
com prazos mais longos para lidar com essas exigências,
pois encontrar os candidatos treinados não é só uma
questão de dinheiro, mas de tempo necessário
para formar uma equipe com um número limitado
de pessoal qualificado.
Legislação governamental e regulamentação
da indústria
Os recentes incidentes de segurança da informação
e a crescente dependência da Internet têm
alertado governos em todo o mundo a criar legislação
adicional de regulamentação do ecossistema
tecnológico. A legislação abrange áreas
amplas, como a privacidade dos consumidores, especificando
regulamentações para indústrias
como sistemas de saúde e serviços financeiros.
Como a Internet é facilmente acessível
em vários locais do mundo, é importante
compreender e operar em conformidade com essas regulamentações.
As empresas que aderirem a essas regulamentações
e oferecerem a seus clientes um método seguro
e confiável de conduzir seus negócios
podem obter um lugar de destaque frente a seus concorrentes.
A privacidade é o maior problema em termos
de comércio eletrônico devido ao alto
risco de mau uso das informações pessoais.
Os sistemas de computador contêm informações
pessoais de milhões de pessoas e, se as empresas
não tomarem as precauções necessárias
para garantir que essas informações estejam
protegidas e seguras, seus clientes podem ter suas
identidades — nome, endereço, número
de telefone e cartões de crédito — roubadas
e vendidas para quem pagar mais por elas na Internet.
Antigamente, somente alguns poucos hackers mais experientes
conseguiam invadir os sistemas e acessar informações
confidenciais. Não é mais esse o caso;
agora qualquer novato pode usar ferramentas facilmente
disponíveis e obter acesso a sistemas caso as
empresas não usem a proteção necessária.
Essa situação deu origem a uma legislação
importante para proteger os direitos dos consumidores,
que agora vêem suas informações
pessoais muito disponíveis em formato eletrônico.
A Diretiva Européia de Proteção
de Dados (European Data Protection Directive) é uma
regulamentação crucial, pois os europeus
levam a questão da privacidade muito mais a
sério do que os EUA.
Essa diretiva proíbe a exportação
de dados como nome, endereço e números
de telefone a países que não atendam
aos padrões mínimos de proteção
de privacidade exigidos pela União Européia.
Esses padrões determinam que ninguém
pode vender, alugar ou transferir dados dos consumidores
para terceiros, sem a permissão expressa do
indivíduo. Essa diretiva aplica-se às
informações de consumidores e também
abrange as informações dos funcionários
contidas nos sistemas de recursos humanos internos
das empresas.
Em maio de 2000, foi decretado o Safe Harbor Agreement
(Acordo de "Porto Seguro") para empresas
norte-americanas regulamentadas pelo FTC (Federal Trade
Commission) que tenham operações na União
Européia. Esse acordo permite que as empresas
fiquem em conformidade com a Diretiva Européia
de Proteção de Dados (European Data Protection
Directive) ao adotar os Princípios do Acordo
de Porto Seguro (Safe Harbor Agreement Principles).
Esses princípios exigem controles para garantir
que as informações pessoais sejam protegidas
contra perda, mau uso, acesso não-autorizado,
compartilhamento e afins como condição
para obter o certificado. As empresas certificadas
pelo Safe Harbor Agreement podem obter permissão
para transferir dados para fora da União Européia
por períodos renováveis a cada ano. Pode-se
dizer, com certeza, que outros países adotarão
legislação similar para proteger a privacidade
das informações de consumidores para
seus cidadãos.
Uma consideração importante de ser lembrada
aos executivos de negócios é que as leis
e regulamentações são geralmente
criadas em cada um dos países e o comércio
eletrônico é realizado globalmente. No
momento em que a Internet é usada para conduzir
os negócios, sua empresa faz parte do comércio
mundial. Isso gera grandes vantagens de poder oferecer
seus produtos e serviços globalmente; entretanto,
você também precisa estar em conformidade
com as regulamentações locais. Não
se pode dizer que essas regulamentações
sejam consistentes, e é bem possível
que você se encontre em situações
de conflito com uma regulamentação ao
cumprir uma outra. O Safe Harbor Agreement é um
exemplo de que os EUA estão negociando um acordo
com a União Européia para atender a essas
regulamentações. Outros países
seguirão estratégias similares para assegurar
que suas indústrias sejam competitivas e que
possam operar livremente em grandes mercados como a
União Européia.
Um grande desafio é o descaso com que certos
países tratam a proteção de informações
pessoais ou propriedade intelectual. Talvez porque
sejam pressionados por outros problemas, como alimentos
e medicamentos, não podem policiar indivíduos
envolvidos em atividades como pirataria de software.
Esses criminosos operam livremente nesses países
sem medo de que órgãos de cumprimento
das leis fechem seus negócios. Esses lugares,
considerados paraísos para criminosos cibernéticos,
representam desafios adicionais para as empresas legítimas
que tenham poucos recursos legais para combater as
atividades ilícitas dos softwares piratas.
A menos que os executivos criem estratégias
para proteger sua propriedade intelectual e informações
dos consumidores, eles correm o risco de cair nas garras
desses indivíduos.
Funcionários remotos e computação
sem fio
A chegada dos dispositivos de computação
móvel teve um grande impacto no nosso dia-a-dia.
As comunicações sem fio não exigem
mais que funcionários e consumidores dependam
de linhas telefônicas para se comunicar. A procura
de uma cabine telefônica para fazer uma ligação
ou ir para o escritório para acessar seus e-mails
está se tornando coisa do passado. A disponibilidade
de informações e comunicações
aumentou muito graças aos dispositivos de computação
móveis. Com a conveniência oferecida por
esses dispositivos, as preocupações com
a segurança da informação aumenta,
pois as informações confidenciais neles
armazenadas devem ser protegidas.
No passado, os funcionários usavam um computador
no escritório para fins profissionais e outro
em casa, para uso pessoal. Agora isso mudou, e o número
de computadores móveis agora supera o número
de computadores do tipo desktop, que ficam no trabalho
ou em casa. Os notebooks permitem que os funcionários
trabalhem a qualquer hora, de qualquer lugar. Os dispositivos
de computação pessoais para guardar informações
de nome, endereço e telefone não estão
mais restritos aos profissionais de negócios,
pois agora até mesmo adolescentes controlam
essas informações usando dispositivos
móveis.
A introdução dos protocolos 802.11 para
redes locais sem fio em 1999 revolucionou a indústria
da computação móvel. Os protocolos
802.11 equivalem a uma “linguagem” comum
que permite aos dispositivos móveis comunicarem-se.
Os adaptadores sem fio que usam os protocolos 802.11
estão disponíveis para os dispositivos
móveis. Em algumas áreas, os provedores
sem fio começaram a oferecer acesso à Internet
de alta velocidade sem necessidade de linhas telefônicas
ou uma conexão de cabo. O acesso à Internet,
o envio de e-mails e a conexão à rede
da empresa agora podem ser feitos de casa, do jardim,
ou do seu parque favorito.
O desafio, do ponto de vista da segurança,
dobrou: primeiro, toda a proteção oferecida
no escritório da empresa agora deve ser incorporada
no notebook ou dispositivo móvel; segundo, os
protocolos 802.11 têm parcos recursos de segurança.
Dentro da empresa, os funcionários podem aproveitar
a proteção de segurança como firewalls
e software antivírus. Esses produtos podem ser
configurados para execução em segundo
plano, e os funcionários não percebem
que estão continuamente protegidos contra ameaças
como vírus de computador. Quando os funcionários
saem do escritório, a mesma proteção
deve ser incluída nos notebooks ou dispositivos
handheld para garantir que continuem a operar de forma
protegida e segura. Além da falta de informações
sobre as ferramentas de segurança, os dispositivos
móveis de conteúdo de propriedade intelectual,
informações de consumidores e outros
dados confidenciais valiosos, também correm
o risco de perda ou roubo.
As novas tecnologias muitas vezes se concentram em
recursos e funções em detrimento da segurança
para penetrarem em massa no mercado e serem facilmente
adotadas. Esse é o caso do protocolo 802.11,
ou seja, as pessoas físicas adotaram essa tecnologia
e não estão preocupados se há alguém
lendo seus e-mails ou obtendo acesso à sua agenda
pessoal de endereços e telefones. As empresas,
por outro lado, não podem correr esse risco
pois os sistemas empresariais contêm registros
vitais da empresa que poderiam interromper suas operações
caso fossem divulgadas a terceiros, sem autorização.
As empresas devem considerar cuidadosamente o uso de
tecnologias sem fio em seus principais negócios.
Esses riscos de segurança da informação
incluem todos os dispositivos móveis como telefones
celulares e assistentes pessoais digitais que contêm
informações valiosas. Em conseqüência,
as empresas precisam garantir que seu programa de segurança
da informação se estenda a todos os dispositivos
que saem do escritório, podendo ser roubados
ou perdidos. Elas não podem mais contar com
a segurança de que os computadores ficarão
trancados no escritório após o fim do
expediente. A comunicação sem fio oferece
muito mais vantagens sobre as comunicações
com fio tradicionais, mas deve haver controles para
assegurar que os segredos mais valiosos da empresa
estejam seguros.
Resumo
A Internet é uma ferramenta poderosa para as
empresas atuais, e é importante entender os
riscos de segurança que essa tecnologia apresenta.
A Internet foi criada com base em comunicações
onipresentes entre partes confiáveis que não
existem mais atualmente, agora que o número
de usuários está em centenas de milhões.
As empresas devem considerar esses grandes desafios
atuais ao usar a Internet, e este capítulo oferece
algumas idéias sobre a importância de
incluir a segurança da informação
nas estratégias futuras dos negócios.
Esses riscos não deixarão de existir
e as empresas mais bem-sucedidas adotarão estratégias
para minimizá-los, oferecendo soluções
exclusivas aos seus clientes. A segurança da
informação pode ser usada como um diferencial
na estratégia, especialmente em uma economia
globalizada em que mais negócios são
conduzidos eletronicamente. Os sistemas seguros das
empresas são uma ferramenta de vendas decisiva
para consumidores cada vez mais experientes e cuidadosos. É muito
melhor incorporar alguns princípios básicos
de segurança da informação em
suas operações comerciais do que ter
que delegar essas atividades ao departamento de TI
e esperar que sejam adequadamente resolvidas.
Sobre os autores
Mark Egan é diretor de informática e
vice-presidente de tecnologia da informação
da Symantec. Ele é responsável pela gerência
dos sistemas internos de negócios da Symantec,
infra-estrutura computacional e programa de segurança
da informação. Egan foi o principal responsável
pela rápida transformação dos
sistemas de informações internas da Symantec
nos últimos quatro anos, quando a empresa cresceu
e se tornou líder em segurança na Internet.
Ele tem mais de 25 anos de experiência em tecnologia
da informação em diversas indústrias.
Antes de trabalhar na Symantec, ele passou por diversos
cargos sêniores em empresas como Sun Microsystems,
Price Waterhouse, Atlantic Richfield Corp., Martin
Marietta Data Systems e Wells Fargo Bank.
Egan é membro do American Management Association's
Information Systems and Technology Council (Conselho
de Sistemas e Tecnologia da Informação
da Associação Norte-americana de Gerenciamento)
e presta serviços no conselho de diretoria técnica
da Golden Gate University. Ele também co-preside
a Cyber Security Practices Adoption Campaign (Campanha
para a Adoção de Práticas de Segurança
Cibernética) da TechNet.
Tim Mather é o consultor sênior em segurança
da informação da Symantec e possui os
certificados CISSP (Certified Information Systems Security
Professional) e CISM (Certified Information Systems
Manager). Como consultor sênior em segurança
da informação, ele é o responsável
pelo desenvolvimento de todas as políticas de
segurança dos sistemas de informação,
supervisiona a implementação de todos
os procedimentos e políticas relacionadas à segurança
e todas as atividades relacionadas à auditoria
de sistemas de informação. Ele também
acompanha de perto os grupos de produtos internos para
assegurar as capacidades de segurança dos produtos
da Symantec.
Antes de entrar na Symantec em setembro de 1999,
Mather foi o diretor de segurança da VeriSign. Além
disso, também foi o diretor de segurança
dos sistemas de informação da Apple Computer.
Sua experiência ainda conta com sete anos em
Washington, DC, trabalhando com comunicações
protegidas para um projeto confidencial de comando,
controle, comunicações e investigação
nacional (C3I), que envolvia os departamentos e órgãos
civis e militares.
Links Relacionados:
|
