Levando a sério a Segurança de Informações
|
 |
 |
|
Uma segurança perfeita não existe. No nosso mundo atual, qualquer coisa pode acontecer, como mostraram os eventos de 11 de setembro. Entre várias outras coisas, tais eventos deixaram ainda mais clara a necessidade de garantir o gerenciamento de riscos em nossos negócios. Uma das respostas do governo americano ao 11 de setembro foram ações de proteção imediatas, na forma de novas legislações e regulamentos. O primeiro resultado foi o Patriot Act of October 2001 (Decreto Patriota de Outubro de 2001). Esse decreto teve um impacto na segurança de informações, através da atualização das leis de escuta de chamadas e mensagens telefônicas ou eletrônicas, para manter-se atualizado com as inovações tecnológicas como telefone celular, secretárias eletrônicas e e-mail.
O Decreto Patriota e outros desenvolvimentos semelhantes indicam que o governo reconheceu a necessidade do aumento de regulamentos em tecnologias da informática, e está tomando providências nesse sentido. Uma demonstração dessa tendência pôde ser confirmada no discurso de Richard Clarke, Secretário de Segurança Tecnológica do Presidente Bush, em fevereiro de 2002. Clarke afirmou que fornecedores de software devem se esforçar ainda mais para tornar suas tecnologias mais seguras e proteger suas empresas contra um desastre infra-estrutural. Ele afirmou ainda: "Se a indústria de TI continuar a delegar suas responsabilidades, seremos atacados brevemente."
Ele concluiu seu discurso adicionando que já é tempo de avaliarmos a necessidade real de conectividade na vida das pessoas. "Precisamos reavaliar essa noção de que tudo que está na Internet necessita ser automaticamente conectado a cada indivíduo desse planeta", disse Clarke.
Há indicações de que várias empresas na indústria de TI levaram essa mensagem a sério. A Microsoft, por exemplo, está proclamando a segurança como prioridade em seus negócios. As implicações são claras: se as empresas não começarem a voluntariamente seguir as melhores práticas de segurança da informática, o governo poderá intervir para forçar a aplicação dessas práticas.
Histórico do regulamento da segurança de informações
Tentativas passadas feitas por agências governamentais para regular a segurança de informações não foram muito bem-sucedidas. Você deve se lembrar da controvérsia do "key escrow" ocorrida durante a década de 90. Agências de segurança do governo dos EUA, vendo a tendência do aumento do uso da criptografia como uma ameaça a sua capacidade de interferência, tentaram introduzir legislações para forçar o uso do chip Clipper. O chip Clipper continha um algoritmo que possibilitaria às agências governamentais a leitura de todas as comunicações criptografadas. Tentativas de introdução de legislação semelhante foram feitas em vários outros países.
Como resultado da pressão feita pela indústria de TI, nenhuma dessas tentativas foram bem-sucedidas. Mais recentemente, a legislação na área de proteção de privacidade vêm crescendo significativamente. Alguns exemplos recentes são os padrões HIPAA para registros de saúde e o Decreto Gramm-Leach-Bliley, forçando padrões de privacidade em instituições financeiras.
Para certas empresas, tais legislações não são bem-vindas. Porém, essas legislações atendem ao propósito de 'nivelar o campo' entre aqueles preparados para se esforçar na aplicação das melhores práticas e aqueles que tentam resolver o problema, usando atalhos. Como bons cidadãos corporativos, é responsabilidade de todos nós, manter-nos protegidos.
Quatro partes do Ciclo de Vida da Segurança de Informações
Para convencer governos de que uma regulamentação pesada não é necessária, todos aqueles envolvidos com os sistemas de informações devem ser ativos no desenvolvimento e uso das melhores práticas de segurança. De fato, isso significa entender e adotar os quatro princípios básicos do ciclo de vida da segurança de informações. Esses princípios podem ser resumidos da seguinte forma:
- Avaliação de Riscos
Avaliação do risco da segurança de informações e determinação dos níveis de risco aceitáveis.
- Criação e Implementação da Segurança
Incorporação das políticas de segurança de informações, padrões, procedimentos e tecnologias como elementos essenciais na criação e implementação de todos os sistemas e redes de informação.
- Gerenciamento da Segurança
Adoção de uma abordagem abrangente do gerenciamento da segurança através do ciclo de vida dos sistemas e redes de informação.
- Reavaliação
Revisar e reavaliar os sistemas e redes de segurança e, quando apropriado, modificar políticas, padrões, procedimentos e tecnologias.
Como as empresas devem agir
Outro artigo nesse website, denominado "Plan to Save - The Importance of Proper Security Planning," discute a importância de um planejamento apropriado, ao invés de 'correções rápidas'. Os quatro princípios acima indicam a direção que tal planejamento deve tomar, se a proteção for economicamente efetiva. É recomendável que toda empresa que considerar a implementação desses princípios, considere também o uso de um sistema de gerenciamento da segurança de informações.
O padrão internacional ISO 17799 descreve tal sistema e é discutido em um artigo denominado "O Padrão de Segurança Global Emergente: ISO 17799". O padrão está aí, disponível para ser usado; todos deveriam agora considerar a sua implementação.
Provando que a sua empresa está segura
Há uma parte do quebra-cabeça da segurança de informações que está faltando nos princípios descritos abaixo. A habilidade de provar que s ações apropriadas foram tomadas, e que tais ações foram bem-sucedidas. É um fato conhecido, que a segurança de informações só se torna visível àqueles não envolvidos diretamente (como gerentes seniores ou o governo), quando apresenta uma falha.
Portanto, como provar que a sua empresa está segura? Afirmações do tipo "Nosso sistema não sofre um ataque de hackers a anos" pode ter vários significados:
- Você possui um excelente sistema de gerenciamento da segurança de informações.
- Nenhum hacker tentou atacá-lo.
- Todas as tentativas de intrusão foram feitas por hackers incompetentes, que foram malsucedidos.
- Você sofreu um ataque de hackers, porém não percebeu.
A única maneira de evitar a quebra de segurança é implementando um sistema de monitoração e auditoria efetivo. Tais sistemas são amplamente conhecidos e usados no contexto financeiro ou de controles de qualidade, porém poucas empresas estão utilizando-os no contexto da segurança de informações. Uma descrição completa de um sistema de monitoração e auditoria efetivo será o assunto de um futuro artigo. Porém, nesse estágio é importante observar que tais sistemas devem envolver processos apropriados e a correta tecnologia, para que sejam economicamente efetivos e não causem interrupção na rotina de trabalho da sua empresa. Além disso, todos devem considerar o uso de auditores independentes para ajudar nesse processo.
Sobre o autor
Jeremy Ward é o Diretor de Desenvolvimento de Serviços do Symantec Security Services. Ele é responsável pelo desenvolvimento de serviços de consultoria de alto nível para o Symantec Security Services, baseados especialmente em padrões de segurança de informações internacionais.
Jeremy é o representante do Confederation of British Industry's (CBI) no grupo de especialistas em segurança de informações do Business and Industry Advisory Council. Ele participa também do UK Government/Industry Forum sobre a Aplicação da Lei de Criptografia e do Grupo de trabalho CBI Information Security. Ele é um qualificado gerente de projetos de TI e um auditor sênior certificado pelo BS 7799.
Artigos Relacionados:
"Plan to Save - The Importance of Proper Security Planning"
"The USA Patriot Act - A Delicate Balance of Privacy and Protection"
"O Padrão de Segurança Global Emergente: ISO 17799"
|
ID do Artigo: 1333 
