Artigo MVP de Segurança do Mês - Junho de 2005
O Valor Corporativo da Segurança
Publicado em 13 de Junho de 2005
Por Martin Kiaer, Consultor Chefe, Microsoft MVP Security, CISSP, CISA, MCSE, MCSE+Internet, CCNA
Se você é uma pessoa que lida com segurança, então, de uma maneira ou de outra, deve saber que segurança é um custo-tanto em termos de recurso, quanto de desempenho ou usabilidade. Você deve lidar com isso todos os dias, aceitando a idéia até certo ponto. Mas, e se eu dissesse que você pode mudar a percepção de que a segurança não é um custo, mas, em vez disso, um capacitador de negócios? Essa nova percepção pode fazer uma grande diferença quando você escrever seus próximos projetos para um novo sistema e precisar pedir mais verba. Deixe-me mostrar a melhor maneira de você fazer isso.
Uma Boa Solução em Segurança Deve Ter Falhas Positivas
No momento em que você projeta uma nova solução ou aplicação, cedo ou tarde verá falhas passivas e ativas na segurança. Não importa o sucesso da solução, a segurança eventualmente irá falhar. Quando você projeta a segurança dentro da sua solução, deve, obviamente, focar-se na maneira como ela irá trabalhar e interagir. Mais importante do que isso é focar-se na maneira como ela irá falhar.
Da próxima vez que projetar e implementar uma nova solução, analise como poderá prevenir que uma reação em cadeia de coisas ruins ocorra quando a sua solução estiver comprometida. Quando você visualiza como prever a falha, acaba arranjando uma solução que limite os danos caso algo ocorra. Em outras palavras, certifique-se de que o seu projeto falhe positivamente.
De que forma uma solução que tem falhas positivas afeta o valor corporativo da segurança? Bem, aqui vai um exemplo. Sua empresa cria um portal online executado em uma infra-estrutura baseada no Windows Server 2003 e utiliza o .NET framework. Uma concorrente possui um portal que foi recentemente comprometido; portanto, a sua empresa quer garantir que os clientes potenciais têm confiança no seu portal. As soluções com falhas negativas são aquelas das quais você não quer se lembrar.
Então a sua empresa tenta dinamizar a infra-estrutura: você segmenta, implementando o portal em um ambiente de três camadas. Durante a instalação, você remove toda interação humana possível, usando instalações documentadas e abertas. Você administra de forma centralizada as ferramentas, com Diretivas de Grupo e o Active Directory. A fim de aprimorar a segurança do portal e otimizar as operações diárias, você otimiza também os seus procedimentos de gerenciamento de recuperação. Tudo em nome da segurança. O que você realmente acaba tendo é uma infra-estrutura que fornece valor agregado a algo em que você já investiu. Você tem uma solução de portal mais dinâmica e robusta e que se adapta facilmente aos novos ataques e ameaças persistentes.
É bom também que você entenda a tecnologia que está executando e, ao mesmo tempo, que sua equipe de TI está produtiva, pois você removeu tarefas incômodas de instalação e manutenção das suas atividades diárias. Você somente aumentou o seu valor nos negócios usando a segurança como um capacitador.
Mas, espere… há mais informações…
O Fator Humano
A segurança se refere totalmente às pessoas-não só àquelas que atacam um sistema, mas também àquelas que o protegem. Você provavelmente já ouviu isso, referindo-se à segurança da Camada 8. Um fator deve ser levado em consideração: você deve confiar nas pessoas se quiser que a sua solução funcione. Os detalhes sobre uma solução segura geralmente são complexos, mas a maneira como a segurança funciona ou falha é algo que todas as pessoas podem entender. Tenha isso em mente quando for projetar e implementar a sua solução de segurança.
As pessoas têm uma vantagem, pois elas podem improvisar, tomar decisões rápidas e detectar problemas, o que é muito melhor que uma máquina. Ironicamente, as pessoas também são a ligação mais fraca em uma cadeia de segurança. Elas são basicamente a razão pela qual a sua segurança falha.
Portanto, de que maneira você pode tornar a fragilidade humana em um recurso? Certifique-se de que você envolve, delega e informa as pessoas necessárias quando constrói a segurança na sua solução. Dentro de uma organização, a segurança é um esforço em grupo - tanto vertical quanto horizontalmente. Envolva todos e esteja aberto a comentários e sugestões construtivas sobre a sua solução. Usando a segurança como uma ferramenta para se comunicar através de toda a organização, você conscientiza as pessoas dos fatores que está tentando proteger, usando a segurança como um recurso motivador que aumenta o valor dos negócios, fazendo as pessoas interagirem e compartilharem idéias.
Não existe uma segurança perfeita; no entanto, ela não precisa ser perfeita, mas os riscos devem ser gerenciáveis. Quando você controla efetivamente os riscos, você tem então uma solução de segurança poderosa para os negócios que significa muito mais do que somente um custo.
Você não pode mudar o fato de que a segurança sempre segue o dinheiro. No entanto, você pode mudar os seus conceitos, transformando a segurança em uma ferramenta corporativa valiosa que você utiliza como um capacitador e motivador - tanto para a tecnologia como para as pessoas. E isso é algo sem o qual os negócios não podem ficar.
Veja outro Artigo MVP de Segurança das Colunas Mensais (em inglês).