brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Principais Considerações para a Terceirização da Segurança

Tom Schmidt
ID do Artigo: 3210

6 de dezembro de 2003
Introdução
Lutando à procura de recursos
Selecionando um MSSP
Conclusão
Links relacionados

Um ponto que os ataques de vírus de 2003 deixaram claro foi que a natureza inconstante dos ataques cibernéticos transformaram a segurança em um alvo móvel para as operações corporativas. Por esse motivo, várias empresas estão hoje considerando um provedor de serviços de gerenciamento de segurança, para aprimorar sua postura de segurança.

Introdução
Como os ataques de vírus de 2003 demonstraram claramente, empresas de todos os portes se encontram sob pressão para manter uma constante segurança da rede. Aparecendo quase que simultaneamente, os worms Blaster, Welchia e Sobig.F invadiram milhares de computadores corporativos, resultando em danos de bilhões de dólares, além da perda de produtividade. Nesse novo clima, onde ataques destruidores aparecem quase imediatamente após o anúncio das vulnerabilidades, como as empresas podem maximizar seus investimentos em TI e gerenciar sua segurança com êxito? É claro que elas podem executar essa tarefa com seus funcionários internos de TI, ou podem terceirizar a tarefa para um provedor de serviços de gerenciamento de segurança (MSSP, Managed Security Services Provider). Este artigo aborda certas questões para determinar quando a terceirização da segurança é a melhor opção.

Lutando à procura de recursos
Um ponto que os vírus mencionados acima deixaram claro foi que a natureza inconstante dos ataques cibernéticos transformaram a segurança em um alvo móvel para as operações corporativas. As ameaças em constante evolução incansavelmente expõem brechas nos sistemas de segurança dessas empresas. Isso produziu um dilema singular.

De acordo com a empresa de consultoria e pesquisa Gartner Inc., na maioria das empresas, os funcionários responsáveis pelas funções de segurança da TI são também responsáveis por outras atividades e despendem a maioria do seu tempo em projetos não relacionados à segurança. Para qualquer empresa com recursos limitados, a responsabilidade adicional do gerenciamento da segurança pode ter, com freqüência, um custo muito alto. A Gartner concluiu que as equipes internas sentem grande dificuldade em entender e defender a empresa contra as ameaças de segurança mais recentes, porque isso requer uma monitoração constante do sistema, o que poucas empresas conseguem financiar.

ara aquelas equipes de TI que encaram a tarefa, os desafios podem ser extremamente pesados. Afinal, isso normalmente envolve a formulação de uma política de segurança e a implementação de um firewall, um antivírus, um sistema de detecção de intrusões e outras tecnologias de segurança. Mas mesmo após todos esses passos, o maior desafio continua a ser como gerenciar os esforços de segurança. A segurança não é, afinal de contas, estática, e as empresas devem estar preparadas para monitorar, manter e atualizar de forma dinâmica sua proteção da rede.

Conclusão: a manutenção da vigilância necessária nesses dias de ataques requer investimentos significativos em pessoal, sistemas tecnológicos e treinamento.

Selecionando um MSSP
A alternativa para as empresas é a terceirização do gerenciamento e monitoração da sua rede de segurança para um MSSP. Um MSSP pode combinar tecnologias avançadas com análise profissional especializada, permitindo que uma empresa fortaleça sua postura de segurança, de forma econômica. Um MSSP pode também oferecer um nível de tecnologia e especialização que garante a rápida resposta a ameaças reais.

Especificamente, um MSSP competente deve empregar uma coleta de dados avançada e recursos de correlação de eventos de segurança, para que possa correlacionar, analisar e interpretar grandes volumes de dados de segurança da rede de forma acurada e em tempo real. Em geral, os serviços de um MSSP incluem acesso rápido a telefones e e-mail, para a monitoração segura dos funcionários e acesso à Web, para relatar pontos como status dos dispositivos, solicitações de alterações e desempenho do nível de serviços. E talvez o mais importante, esses serviços permitem às empresas concentrar seus recursos nas questões comerciais diárias mais importantes.

Os riscos estão certamente aumentando. Em sua recente edição de previsões para 2004, a Gartner afirmou que as empresas escolherão provedores de serviços com base não na capacidade do provedor de reconhecer intrusões e alertar a empresa, mas na sua capacidade de reconhecer vulnerabilidades críticas e de bloquear tentativas de explorá-las. A Gartner espera que a demanda por serviços de gerenciamento de segurança aumente em até 31 % até 2005, e prevê que todos os principais provedores de serviços de gerenciamento de segurança deverão oferecer uma avaliação das ameaças e verificação de vulnerabilidades internas e externas, como componentes integrais de seus serviços de gerenciamento de dispositivos, se desejarem ser considerados como sérios candidatos no mercado de MSSP. Isso será especialmente relevante devido aos esforços das empresas de cumprir com os requisitos do auditor, originados de legislações como o Sarbanes-Oxley Act.

A conclusão é inevitável: qualquer noção de que a segurança é uma questão de simplesmente proteger o perímetro da rede, está totalmente desatualizada. Por quê? Porquê, cada vez mais, as empresas estão reconhecendo a importância do que é chamado de "defense in depth" (defesa a fundo). Isso envolve uma abordagem abrangente da proteção de informações, redes e sistemas de informações críticas, enquanto se implementam defesas robustas contra hackers, vírus e outras ameaças on-line. A defesa a fundo reconhece que o ambiente atual está sob crescente assalto de ameaças combinadas, que atacam dinamicamente as vulnerabilidades de produtos de segurança isolados. Como resultado, as empresas devem adotar uma estratégia profunda e integrada que aborde a segurança em todas as partes: gateway, servidor e cliente. É exatamente esse tipo de estratégia que um MSSP pode ajudar as empresas a executarem.

Sendo assim, como uma empresa deve proceder, para escolher um MSSP? Os critérios abaixo devem ser considerados:

  • Longevidade. Confiar os sensíveis dados corporativos nas mãos de terceiros não é uma decisão a ser tomada rapidamente. Ao estabelecer uma parceria com um MSSP, invista tempo e recursos para se certificar de que o serviço está atendendo às necessidades mais importantes de sua empresa. Como resultado, ênfase especial deve ser dada na seleção de um parceiro que tenha experiência comprovada, no fornecimento de serviços de segurança de qualidade, a uma variedade de setores da indústria durante um longo período de tempo;
  • Análise e resposta em tempo real. Um MSSP deve ter capacidade para correlacionar, analisar e interpretar, de forma precisa, grandes volumes de segurança da rede em tempo real. Ele deve ser capaz de discernir entre ameaças de segurança reais e uma variedade de "falsos positivos";
  • Instalações modernas. Um MSSP deve possuir vários centros de operações, ou SOCs, que funcionem 24 horas por dia. Dois ou mais SOCs permitem a monitoração cruzada, garantindo o constante cumprimento dos padrões de segurança. Eles podem também fornecer backup no caso da ocorrência de desastres;
  • Inteligência global. Um MSSP deve ter especialistas de segurança posicionados para monitorar e analisar dados de clientes situados em todo o mundo. Esta inteligência global permite que um MSSP emita alertas em tempo real e recomendem ações a serem tomadas rapidamente;
  • Faturamento anual. Qual é o status financeiro do MSSP em potencial? Para empresas que comercializam publicamente, a Gartner estima que um faturamento anual de mais de $10 milhões de dólares em contratos de serviços de segurança indica uma base suficiente para suportar o crescimento e o aprimoramento dos serviços;
  • Experiência em gerenciamento. Para MSSPs líderes do setor, a experiência em gerenciamento incluirá o seu envolvimento em setores industriais, militares e governamentais;
  • Variedade de serviços. Essa importante consideração indica a capacidade de um MSSP em atender às necessidades de gerenciamento de uma variedade de empresas. Inclui a monitoração e gerenciamento de firewalls, sistemas de detecção de intrusões, redes virtuais privadas e outros produtos de segurança;
  • Processos de gerenciamento de segurança. Um MSSP deve ser capaz de fornecer políticas e padrões documentados para o gerenciamento de ameaças e operações típicas ou atípicas. Um MSSP deve oferecer uma variedade de métodos de notificação de alertas de ataques, para permitir que os funcionários dos clientes possam reduzir os riscos em tempo real;
  • Neutralidade. Um MSSP deve empregar especialistas de segurança com experiência certificada em uma grande variedade de produtos de segurança, originados de diferentes fornecedores. Isso oferece à empresa a flexibilidade para selecionar as melhores soluções;
  • Auditoria. Apesar da confiança ser um dos fatores mais importantes na seleção de um MSSP, o fornecedor deve possuir instalações, processos e procedimentos validados e certificados por um auditor neutro;
  • Relatórios. Os relatórios fornecidos pelos MSSPs devem ser detalhados, para que possam suportar as decisões que aprimoram os esforços de segurança e para determinar a realidade do custo dos serviços de gerenciamento. Relatórios detalhados incluirão informações obtidas dos dispositivos de gerenciamento, respostas recomendadas, qualquer alteração feita nos dispositivos pelos MSSPs e informações sobre as ameaças mais recentes. Além disso, as empresas estão cada vez mais reagindo às legislações (como Sarbanes-Oxley), que impõem exames rigorosos de cumprimento. Um MSSP deve portanto ser capaz de consolidar e analisar os dados do registro de segurança.
Todas as empresas podem se beneficiar do gerenciamento e da monitoração contínua de suas operações de segurança. Com relação a isso, um MSSP pode desenvolver uma política de segurança para toda a empresa, que defina regras para o controle de acesso apropriado e que abranja todos os funcionários. Isso é essencial, pois reconhece assim que a maioria das violações de segurança ocorre dentro da empresa (a maioria dos contratos dos MSSPs incluem a monitoração de todas as atividades relacionadas à segurança na rede interna). Antes de assinar um contrato com um MSSP, certifique-se de que todos os funcionários estão cientes da política de segurança e do que o MSSP está sendo contratado para fazer.

Conclusão
Os serviços de gerenciamento de segurança podem remover a instabilidade associada aos funcionários de TI e a necessidade de responder às ameaças imprevisíveis da rede, permitindo que as empresas gerenciem melhor os requisitos, recursos e custos diários de seus negócios. Isso é especialmente importante nos dias de hoje, à medida que as ameaças aumentam em gravidade e complexidade. As empresas que estiverem considerando seriamente a terceirização de sua segurança devem saber que esta pode ser uma decisão inteligente, além de poder ajudá-la diante das novas demandas relacionadas aos relatórios.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home