Aumente a segurança, sem arrasar o caixa

Em tempos de dificuldades econômicas, todas as áreas da empresa precisam reduzir o custo. Entre elas, a de tecnologia da informação, sempre uma das mais afetadas. Por outro lado, não há previsão para o final das ameaças que impactam negativamente a continuidade, as finanças ou a reputação das empresas. Isso faz com que os programas de segurança continuem sendo prioritários.

Como resultado, tem aumentado o número de companhias em busca de ajuda para que extraiam o máximo de seus orçamentos de segurança. Por meio de um planejamento rigoroso e aumento na eficiência operacional, estas organizações podem priorizar seus gastos e implementar programas para melhorar sua postura de segurança.

Tem sido comum ouvir perguntas sobre que projeto deveria ser priorizado para o aumento de segurança, caso apenas um pudesse ser mantido. Enquanto melhorias em segurança costumam se espalhar em várias áreas, minha melhor recomendação única é para que as organizações construam um programa sólido de gestão de risco.

Este programa deve possuir vários elementos, incluindo governança, um comitê supervisor e um programa educacional bem executado. Adicionalmente, o programa de gerenciamento da segurança deve ser mapeado para os padrões de melhores práticas, como a ISO27001 e conter procedimentos que garantam que a segurança esteja embutida em todos os projetos de TI.

Adicionalmente a esta recomendação principal, em tempos de recursos escassos, as organizações devem priorizar seus orçamentos para o seguinte: 1. Entenda o risco para se proteger adequadamente

Aqui a máxima “É melhor prevenir do que remediar”, não poderia ser mais verdadeira. Para implementar essa prevenção, recomendamos que as organizações adotem uma estratégia em camadas de proteção/detecção/resposta, garantindo uma cobertura ampla. Um levantamento de vulnerabilidades pode dar aos executivos a visibilidade do perfil de risco assumido pela empresa, complementado pelos pontos críticos, recomendações de mitigação e prioridades orçamentárias. Adicionalmente, soluções de gerenciamento de risco e vulnerabilidade podem ajudar a eliminar brechas no ambiente.

2. Consolide para ganhar eficiência operacional

Primeiro as boas notícias: a maioria das organizações que implementaram estratégias de defense-in-depth com gerenciamento do risco já possui muitos dos elementos necessários para melhorar sua postura de segurança. O lado ruim, entretanto, é que os processos e as pessoas continuam sendo os elos fracos da melhoria da segurança. Equipamentos mal configurados e implementações “fracas” tem pavimentado o caminho para sistemas vulneráveis que podem ser comprometidos. Para auxiliar na criação de uma infra-estrutura segura e adaptável, as organizações devem melhorar a eficiência operacional pela consolidação e simplificação de seus sistemas de gerenciamento de segurança. Estes ganhos em eficiência também podem ser obtidos através da terceirização da operação de segurança pra companhias especializadas.

3. Implemente segurança nos endpoints

Enquanto as companhias tem focado a segurança de rede ao longo dos anos, os dispositivos finais, como PDAs, blackBerrys, iPhones, desktops remotos ou não gerenciados, notebooks e netbooks continuam impondo ameaças a segurança. Consequentemente, para endereçar adequadamente a proteção dos dados, as organizações devem preparar um programa que inclua a criptografia dos dispositivos, segurança baseada nos hosts e prevenção de vazamento de informações.

4. Implemente controle de acesso à rede

O controle de acesso à rede (NAC, na sigla em inglês) garante a adoção das políticas de segurança nos endpoints através da definição de um padrão sobre quem, como e quando pode ter acesso à rede corporativa. Contratados, convidados, dispositivos fora da política e sistemas infectados podem ser identificados e receber acessos distintos, conforme a política da organização.

Com as dicas acima em mente, as companhias podem priorizar seus gastos de TI enquanto empregam uma estratégia de segurança holística e sofisticada.

. Por: Cristiano Silverio, security officer da Dimension Data, no Brasil.