Garantir a segurança da empresa

Caso tenha perdido a publicação do último mês, sou o Bob Worrall, o novo CIO da Sun Microsystems e novo patrocinador executivo da newsletter Inner Circle da Sun. Durante os próximos meses, espero utilizar a minha carta neste fórum para oferecer opiniões sobre a visão tecnológica da Sun, bem como partilhar os meus comentários sobre os mais recentes desenvolvimentos da indústria.

Quando aceitei o cargo de CIO há alguns meses atrás, acordei uma manhã e assentei as minhas principais preocupações num pedaço de papel. No topo dessa lista estava a segurança. Perguntem a qualquer CIO o que é que o mantém acordado durante a noite — ou, no meu caso, o que me faz acordar de manhã — e eles dirão que é a segurança da empresa.

Para poder avaliar a compreensão da Sun em relação a desafios e capacidade de respostas aos mesmos, marquei imediatamente uma reunião com o director executivo de segurança da informação da Sun, Mark Connelly. Achei a minha reunião com o Mark tão esclarecedora que o convidei para partilhar convosco os seus conhecimentos sobre a segurança empresarial nesta publicação.

Worrall: Bem-vindo à Inner Circle da Sun, Mark. O seu sentido de oportunidade não podia ser melhor, pois parece que a indústria se vê confrontada com novos vírus e ameaças de segurança a toda a hora. Do seu ponto de visto privilegiado como director executivo de segurança da informação, quais são alguns dos desafios que enfrenta?

Connelly: Durante muito tempo, as pessoas têm tentado comunicar de modo seguro, e outros têm sido persistentes na tentativa de quebrar as medidas de segurança. A diferença entre o presente e o passado é que hoje os profissionais de segurança estão a tentar proteger as empresas e as economias internacionais no seu todo. Por exemplo, a equipa de segurança na Sun está encarregue de proteger os activos de informação de uma empresa que emprega mais de 38.000 pessoas espalhadas por 170 países. E mais, devido à forma como se trabalha hoje em dia, a Sun tem de fornecer acesso seguro à informação em cada dispositivo, em qualquer lugar e em qualquer ocasião.

Worrall: Quais são algumas das principais ameaças à segurança das empresas?

Connelly: A complexidade das ameaças evolui constantemente, mas, na generalidade, o volume da matriz de ameaças está a mudar das clássicas invasões como o spam (e-mails indesejados) para esquemas mais elaborados desenvolvidos por pessoas que fazem uma pesquisa complexa para descobrir os pontos fracos na segurança de uma empresa. O espectro das ameaças vai desde os adolescentes que não têm mais nada para fazer do que causar problemas até à espionagem económica de carácter criminoso, assim como tudo o que se situa no meio.

Worrall: Tradicionalmente, os esforços de segurança de estilo medieval concentravam-se em proteger as paredes (ou firewalls) de uma empresa para manter afastados os inimigos, mas parece que está a insinuar que estas ameaças estão a evoluir para além desta estratégia.

Connelly: Sim. Uma das questões que mais me preocupa sobre a engenharia social – a forma através da qual as pessoas simplesmente contornam as defesas que referiu. Qualquer pessoa que estude o fenómeno da guerra dirá que faz mais sentido atacar as fraquezas e não os pontos fortes. Kevin Mitnick, o ilustre engenheiro social, escreveu um livro chamado The Art of Intrusion, no qual descreve como conseguiu utilizar a engenharia social para penetrar nas defesas de organizações. Assim que uma ameaça penetra as paredes do castelo, as empresas podem nem saber que foram invadidas e incorrer em perdas significativas no IP.

Worrall: Para lá da má conduta, parece que existem desafios de segurança inerentes ao simples facto de ter um negócio.

Connelly: Completamente. Os parceiros globais, os novos modelos de negócio, as exigências legais geográficas, etc. todos contribuem para a crescente complexidade dos desafios de segurança. No que respeita as normas de regulação, a Sun faz negócio em mais de 170 países, por vezes com regulações diferentes e, no nosso planeamento, temos em considerações todas estas regulações. Além disso, embora esteja empenhada na criação de fonte aberta em todo o seu software, a Sun continua a ser uma empresa baseada na propriedade intelectual. Por esse motivo, a segurança tem de proteger o seu IP e estar em conformidade com todas as regulações pertinentes. Felizmente, na Sun temos grandes tecnologias e soluções que fornecemos aos nossos clientes para os ajudar significativamente nesses esforços. Finalmente, trabalhando em coordenação com a gestão de riscos, temos um plano de contingência abrangente em vigor para mitigar qualquer risco às operações de negócio em caso de uma catástrofe natural.

Worrall: De uma perspectiva organizacional, quais são os desafios que os profissionais de segurança enfrentam no interior de uma empresa?

Connelly: Uma das áreas é a proposta de valor. Os CEOs colocam a questão em termos de "despesa" quando deviam pensar em termos de “investimento”. Muitos CISOs e CSOs com quem falo têm de estar cientes dos negócios. É muito difícil para os profissionais de segurança provar o valor do seu trabalho. Pergunte a qualquer director executivo de segurança da informação, e eles têm declarações de valor, matrizes de ameaças e outros documentos que ajudam a explicar à administração executiva o valor da infra-estrutura que protege a organização. Infelizmente, as pessoas tendem a agir por reacção; eles preferem tomar medidas só depois de algo acontecer. Da mesma forma, é o dever dos profissionais de segurança colocar a informação de segurança à frente dos executivos (e o conselho de administração), para que a empresa possa avaliar com precisão o valor real de uma acção preventiva.

A segunda questão organizacional são os profissionais de segurança experientes. Eles são a essência de qualquer equipa de gestão de segurança. O meu conselho: Manter o seu talento e fornecer toda a formação necessária. Em terceiro lugar, construir um sistema de gestão de segurança abrangente que inclua formas de medição que indiquem claramente o desempenho dos seus investimentos e os riscos que o seu sistema impediu. Em ultimo lugar, garantir que a equipa de administração executiva apoia activamente o programa de segurança que está implementado.

Worrall: Sendo uma empresa com mais de 38.000 pessoas como a Sun, parece quase impossível levar a gestão da segurança ao nível da pessoa individual, portanto como é que um director de segurança da informação determina um perfil de risco adequado de modo a gerir a segurança de uma força de trabalho tão vasta?

Connelly: Já disse tudo – tudo se resume ao risco. Fundamentalmente, as empresas precisam de fazer investimentos com base na gravidade das ameaças, bem como na probabilidade dessas ameaças se tornarem realidade. Qualquer director de segurança da informação lhe dirá que é muito difícil descrever um factor de risco numérico absoluto para uma ameaça específica. Por exemplo, uma quebra na privacidade da informação trará certamente um custo de capitalização de mercado para uma empresa de capital aberto, mas como é que se determina o montante exacto do valor do accionista perdido? Por esta razão, para ser proactivos, a maioria dos profissionais de segurança citam o facto de as despesas com a prevenção – ou melhor, o “investimento” — ser geralmente 100 vezes menor do que os correspondentes custos de reparação. É bom para os funcionários, para o clientes e para o negócio.

Worrall: Quais são alguns das estratégias nas quais as empresas se baseiam para manter a informação segura e protegida?

Connelly: Prendem-se com fortes políticas de segurança. Todas as empresas precisam de um conjunto forte de políticas. Estas políticas regem a forma como uma empresa implementa uma estratégia de segurança e os procedimentos operacionais em volta da estratégia a avançar. Além disso, as políticas têm de ser basear nos melhores padrões da indústria. Assim que uma empresa tem uma política de segurança, necessita de implementá-la e supervisioná-la utilizando esses padrões da indústria. Isto é particularmente importante na altura da auditoria. Durante uma auditoria, o auditor pergunta em primeiro lugar se existe uma política e se esta está ser implementada. A pergunta seguinte será sobre o facto de ter adoptado algum padrão da indústria. Se a resposta a estas questões for “sim”, estará em boa forma.

Worrall: De que mais necessitam os profissionais de segurança em termos de ferramentas?

Connelly: Outra ferramenta importante é a criação de uma defesa multicamadas. Se uma empresa possuir múltiplas camadas de defesa, é mais difícil penetrá-las. Além disso, a defesa tem de ser não apenas multicamadas mas também multifornecedores. Se alguém penetrar uma camada, é mais difícil romper as outras camadas, especialmente se estas estiverem baseadas em diferentes tecnologias de fornecedores.

Worrall: E da perspectiva dos produtos e serviços, o que é que a Sun faz para ajudar a segurança da sua própria empresa?

Connelly: Faz muito! A Sun possui um número considerável de parcerias, quer seja no nosso canal de estratégia quer na obtenção de fornecedores de TI. Os parceiros da Sun operam as nossas redes e centros de dados e fazem a filtragem de vírus e spam. A Sun emprega a melhor estratégia do mercado para ajudar a reduzir os custos, melhorar a flexibilidade e tornar a segurança da empresa mais escalável. Além disso, a Sun cria os seus próprios produtos de segurança, tais como o Identity Manager, Access Manager, e serviços de directoria. A Sun oferece as clientes uma vasta gama de hardware, software e serviços e, como é natural, utilizamos esses activos internamente.

Worrall: O que está a Sun a fazer especificamente em termos de filtragem de spam, vírus e detecção de invasões – o tipo de desafios que quase todas as empresas enfrentam?

Connelly: A Sun filtra mais de 40 milhões de mensagens de spam e dois ou três milhões de vírus por dia. A Sun coloca filtros de vírus e spam nas redes, bem como nas portas de comunicação no interior da Sun para prevenir que os vírus se espalhem. A Sun também envolve a equipa de certificação e os seus pares para que ajudem na supervisão das redes 24 horas por dia. Sempre que ocorre um incidente, este é imediatamente comunicado e solucionado. Além disso, a Sun distribui sensores de invasão baseados na rede, para que se alguém estiver a tentar penetrar as nossas redes, as nossas equipa estejam prontas a responder. A Sun está sempre alerta para proteger o perímetro das suas redes.

Worrall: Falámos sobre engenharia social, spam e vírus. O que antevê como o próximo grande desafio?

Connelly: Do ponto de vista da segurança, a Sun está constantemente a combater a proliferação de dispositivos. Também não é apenas uma questão de clientes “gordos” ou “finos”. Existem muitos dispositivos novos portáteis e sem fios, e todos eles ligados à rede. A Sun trabalha com o seu director de privacidade para fazer os possíveis para mitigar o risco de perda de informação privada. Embora a perda de um bit de IP seja dramática, se a Sun perder informação pessoal ou mesmo se suspeitar que tenha existido uma quebra da informação privada, tem de comunicá-lo e podem existir graves penalizações. As empresas precisam de prestar atenção aos novos dispositivos, administrá-los com cuidado, montar as suas defesas e informar os funcionários sobre a sua correcta utilização.

Worrall: Que conselho daria aos seus colegas em empresas mais pequenas que a Sun que não sabem onde concentrar os seus esforços de segurança?

Connelly: Tal como nas empresas maiores, as empresas mais pequenas precisam de desenvolver um forte conjunto de políticas de segurança, basear o sistema de gestão de segurança que desenvolvem em padrões da indústria e organizar-se em torno destes objectivos de negócio. Se uma empresa não possui montanhas de dinheiro e recursos –ou mesmo que possua – uma das acções mais eficazes que os profissionais de segurança podem tomar é realizar um programa de consciencialização sobre segurança como parte de um sistema de gestão de segurança. Este é claramente um programa benéfico e rentável.

Worrall: Em que termos é que a consciência sobre segurança compensa?

Connelly: Na Sun, todos os 38.000 funcionários têm de pensar na segurança a toda a hora. Ela reduz os custos. Ela ajuda a proteger os nossos funcionários e valor dos accionistas. Em alguns dos casos, trata-se de um pré-requisito para os negócios. Ela cria novas oportunidades de negócio e não é apenas uma despesa – é possível fazer crescer o negócio com "segurança integrada".

Worrall: Algum conselho final?

Connelly: Como já referi algumas vezes, a implementação de um sistema completo de gestão de segurança ao longo de toda a organização é a chave para o sucesso de qualquer política de segurança. A organização de TI é um conceito que representa uma unificação de todos os aspectos da segurança para a empresa. Na Sun, trabalho com a pessoa responsável pela segurança física, o pessoal nos grupos de produtos, o director de privacidade, profissionais jurídicos e de auditoria e pessoal do controlo de exportações. Todos estes aspectos de segurança têm de estar unidos num propósito e posicionados de forma a apoiar os objectivos de negócio. A nossa função é fazê-lo de uma forma segura baseada no risco.