|
Novos modelos de negócios requerem uma nova abordagem à segurança de informação
 Olá novamente, leitores do Sun Inner Circle. Como vocês provavelmente perceberam, a minha pesquisa contínua pelas melhores práticas no gerenciamento de recursos de TI tornou-se um tema comum nas minhas cartas mensais. Vocês poderão se lembrar das minhas opiniões recentes sobre deixar a gestão de datacenter aos peritos, meios para tornar a terceirização da TI compensadora e como melhor fornecer produtos e serviços de TI escassos na empresa.
Cada uma dessas áreas exigem uma disposição para compartilhar informações com várias partes internas e externas de maneiras que não poderiam ser imagináveis alguns anos atrás. Não obstante, a gestão de serviços e produtos de TI não pode mais ser realizada somente pelos funcionários internos se uma organização deseja ser mais ágil e competitiva.
Essas mudanças vêm com vantagens — e desafios. À medida que os negócios compartilham mais informações com vendedores externos para permanecerem competitivos, o número de áreas onde a segurança pode ser violada aumenta drasticamente. A dura realidade do compartilhamento de informações exige novos mecanismos de defesa — e a Sun lidera a indústria em recursos de segurança incorporados.
Quer seja a vasta gama de opções de servidores Sun, o Sistema Operacional Solaris 10, ou as ferramentas de desenvolvimento de software como Java EE o compromisso da Sun com a segurança define muito do nosso desenvolvimento de produto. Este compromisso é uma das razões porque temos pessoas no quadro de funcionários como Whit Diffie, o nosso diretor de segurança, que também por coincidência é um dos pioneiros da criptografia de chave pública.
A segurança é um assunto no qual Leslie Lambert, vice-presidente de TI da Sun e diretora de segurança de informação, é perita especial. Como ela menciona, os novos modelos de negócios requerem que as organizações de TI repensem as abordagens de segurança. Para a carta do CIO deste mês, pedi para a Leslie examinar o papel que a identidade desempenha em manter seguros os recursos de informação e como lerá abaixo, as opiniões dela sobre o assunto fornecem um princípio magnificamente direto sobre o assunto.
Bob Worrall
CIO
Sun Microsystems
Obrigado, Bob. Como diretor de segurança de informação de TI da Sun, estou interessado em identidade, em grande parte, em termos do seu papel em manter seguros os recursos de informação da Sun. Tenho visto o papel da identidade em segurança crescer e mudar drasticamente durante os últimos anos, como o universo dos usuários com acesso à informação empresarial tem crescido e mudado.
Hoje, mais do que nunca, existem mais usuários que necessitam de acesso a mais recursos em diferentes níveis — o que significa abrir a empresa a eles e manter, ao mesmo tempo, os seus recursos seguros. É notável que o equilíbrio entre aberto e seguro é um desafio constante no meu trabalho e a identidade é fundamental para satisfazer esse desafio.
Dentro ou Fora?
Eu lembro quando a segurança de informação basicamente significava manter um perímetro de isolamento em torno da rede para manter fora os usuários não autorizados, quase como se fosse construir uma fossa em volta de um castelo para impedir a entrada dos intrusos. Era bem fácil definir quem precisava estar dentro e quem não: Se você fosse parte da organização, você estava dentro; se não, você estava fora. (É claro que as ameaças à segurança de informação podem vir de dentro também — mas essa é uma outra história).
Agora, entretanto, os modelos de negócios que contam com a terceirização e colaboração tornaram o “lado de dentro” e o “lado de fora” no fim e o modelo de segurança da Sun mudou de simplesmente manter fora os maus sujeitos, para suportar meios novos e inovadores de fazer negócios. Somente com os mecanismos de segurança certos no lugar você pode abrir os negócios para os parceiros terceirizados ou a outros do lado de fora da empresa com a certeza de que eles terão total acesso a todos os recursos aos quais eles devem ter acesso e nenhum acesso a quaisquer recursos aos quais eles não devem.
Ou no Meio?
Isso cria um outro problema com a abordagem forte de perímetro de segurança : ela é simplesmente preta e branca demais. Se você estiver fora, você está fora, se você estiver dentro, você está dentro, com acesso a quase tudo. Os meios de hoje para fazer negócios requerem mais tonalidades de cinza, nas quais as pessoas que têm acesso concedido à empresa têm diferentes níveis de acesso assim que estiverem dentro.
Neste ambiente, não é suficiente estabelecer e verificar uma identidade de usuário no “portão de entrada ao castelo”, assim dizendo. Você também deve poder fornecer ao usuário chaves para certos espaços e outros não, e para adicionar ou tirar deste conjunto de chaves, quando o papel do usuário muda. Finalmente, você tem de poder monitorar o paradeiro dos usuários todas as vezes, para estar seguro de que eles estejam somente onde é suposto estarem e que eles não tenham qualquer maneira de chegar a um espaço ao qual eles não devem ter acesso.
Quem É Você? E Mais
Para simplificar, quanto à segurança, a identidade costumava ser o fazer a pergunta “Quem é você?” e depois dizer “Venha para dentro”, ou “Fique fora”, dependendo da resposta. Agora isso significa perguntar:
Quem é você?
Como posso saber que você é quem você diz ser?
Que acesso você deve ter?
Que acesso você realmente tem?
Quem lhe deu o acesso?
Onde você tem estado?
Onde você está agora?
Onde você está indo?
Quando você tiver as respostas a essas questões, você estará livre para compartilhar as informações e os recursos com os usuários vindos de dentro e de fora da empresa — com a certeza de que esses recursos permanecem seguros no processo.
Como Você Gerencia?
A função do gerenciamento de identidade em manter as informações e outros recursos seguros na rede, é aperfeiçoar a tarefa, de outro modo quase impossível, e de manter as respostas em ordem para todas as questões acima. Quando a pergunta era apenas “Quem é você?” e a resposta era apenas igualmente simples, a informação de identidade podia ser gerida manualmente.
Mas agora, uma boa solução de gerenciamento de identidade deve fornecer as capacidades para automaticamente:
- Autenticar identidades
- Autorizar acesso
- Fornecer acesso aos usuários
- Alterar os seus privilégios de acesso quando necessário
- Examinar os seus acessos em termos do que eles têm permissão para fazer, o que realmente estão fazendo e o que eles fizeram
E ela tem de ser capaz de fazer isto para a empresa assim como para cada um com quem a empresa interage na rede: parceiros, vendedores, clientes e assim por diante. Isto é muita gente e muito para acompanhar. E isto é o que torna o gerenciamento de identidade um componente chave de qualquer programa de segurança de informação hoje.
| 
