Destaque

O Futuro da Segurança da Informação

artigo - Por Flavio Carvalho - 25/06/2012

Uma das melhores maneiras de se escrever sobre o futuro é relembrar o passado, procurar entendê-lo e, a partir desta compreensão, traçar uma estimativa do que pode vir a ser o futuro. Em Segurança da Informação convém voltar ao início dos anos 1980, quando ataques a sistemas de computadores começaram a se tornar comuns, incluindo instituições de respeito como o Los Alamos National Laboratory, o Memorial Sloan-Kettering Cancer Center, a AT&T, e até mesmo o super poderoso Departamento de Defesa dos Estados Unidos (DoD).

Um dos primeiros worms observados neste período explorava uma vulnerabilidade em sistemas Unix e infectou cerca de 6.000 hosts, ou um décimo de toda a internet comercial à época. A partir deste momento, podemos dizer que a Segurança da Informação começou a ser mais seriamente considerada, com o crescimento exponencial do uso de computadores, tanto nas empresas como nas residências. Rapidamente começaram a surgir pequenas redes locais que, com o tempo, começaram a se conectar. À medida que o acesso à internet cresceu, cresceram também as fragilidades, as exposições e os ataques. De certo modo, quanto mais popular se tornava o acesso à internet, mais fáceis e convidativos se tornavam os ataques, que também se popularizaram.

Nas empresas, a Segurança da Informação estava inserida na Tecnologia de Informação (TI) e muito negligenciada. É natural que as empresas tenham uma grande resistência à criação de novas estruturas organizacionais, pois sempre há o foco na contenção dos custos e (até hoje) uma grande dificuldade de compreensão quantitativa e financeira dos riscos que justifiquem a existência de uma equipe própria e independente de TI – dedicada apenas à Segurança da Informação. Em termos cronológicos, podemos resumidamente elencar como principais marcos na evolução da Segurança da Informação nas empresas:

O início da utilização de senhas e a co-evolução entre o uso destas e o seu ‘hack’ levando à evolução das tecnologias de autenticação.

A evolução no design de sistemas operacionais seguros, desde o Multics até as versões atuais do Windows, Unix e MacOS.

O incrível avanço das redes, os primeiros worms que levaram ao desenvolvimento de firewalls e todo o avanço em tecnologias de proteção de perímetro desde então.

A web, a evolução dos browsers a partir do Netscape, o SSL, e o crescente uso de tecnologias de criptografia para evitar fraudes.

Worms, botnets, malware de todo tipo, levando ao ‘auto-patching’ de sistemas operacionais como o Windows e softwares em geral.

As tecnologias inteligentes como o SIEM para correlacionar eventos diversos e rapidamente detectar violações e incidentes de segurança.

Com a globalização, evoluíram também as técnicas de geolocalização de modo que hoje se pode filtrar tráfego oriundo de um determinado país ou região. No entanto, em face da velocidade com que a tecnologia avança e com que cresce o número de usuários e dispositivos conectados às redes são cada vez mais decisivos o treinamento e a conscientização de usuários, inclusive como forte tendência de serem ambos incluídos em legislação – como já acontece nos Estados Unidos e na Europa.

É consenso entre os especialistas que o fator humano (o que os empregados fazem ou deixam de fazer) representa o maior risco aos sistemas de informação e aos ativos nas empresas. Some-se a isso o fato de que em plena era das redes sociais praticamente não há fronteiras entre vida profissional e vida pessoal e pode-se dizer que beira o impossível evitar, apenas com tecnologia, que informações sejam vazadas e que assuntos de trabalho surjam em redes sociais, de modo que as empresas estão claramente muito mais expostas. Neste contexto, somente o treinamento, a conscientização dos colaboradores e alguma legislação que suporte os casos de não conformidade podem evitar vazamentos e exposição indevida.

Interessante observar que estamos em um momento em que tanto as competências técnicas quanto as de treinamento e conscientização são muito importantes, o que coloca ainda mais pressão sobre o CSO. Se já é extremamente difícil avaliar quantitativamente os riscos de modo que as salvaguardas não superem os custos destes – há ainda agora a necessidade de quantificar os esforços por conscientização e definir a correta estratégia para treinamento. Não é pouco. Além disso, o CSO tem que ter sempre em mente que a Segurança da Informação precisa suportar o negócio, e não o contrário. Está claro que a responsabilidade pelos riscos é da alta gerência e é papel inequívoco do CSO dar ciência dos riscos e garantir que as salvaguardas estejam dispostas de modo a reduzir para níveis aceitáveis ou transferir este risco.

Projetando o futuro, não há como fugir das buzzwords do momento: consumerização de TI, explosão de dispositivos móveis, internet social, BYOD. Estamos ainda muito atrasados no Brasil em relação a empresas dos Estados Unidos e Europa, principalmente em termos de treinamento e conscientização. Hoje só vemos Segurança da Informação na agenda das grandes empresas brasileiras, dos bancos. Os riscos e os desafios, entretanto, afetam a todas as empresas. Temos a cultura do ‘jeitinho’, do ‘vamos levando’. Não somos muito adeptos a procedimentos, organização, controles. É algo que teremos que enfrentar, que mudar. Ao fim e ao cabo, estamos falando de Educação - que também em Segurança da Informação - é a chave para o futuro.

Fonte: Flavio Carvalho - diretor de serviços da Arcon