Confiabilidade no Cenário da Segurança da Informação
De acordo com o consultor de segurança Brian Honan, quando se trata da segurança da informação, a confiança é um dos pilares mais importantes em tudo o que fazemos. Nós confiamos na tecnologia que usamos para ajudar a defender os nossos sistemas, além de confiarmos nas pessoas que trabalham conosco para cumprir com as políticas estabelecidas e não ser vítima de e-mails de phishing, depositando ainda uma enorme confiança naqueles que são designados para gerenciar nossos dados sensíveis e não divulgá-la para os outros.
Existe também, nessa sequência, uma grande confiança depositada em nossos parceiros para a tomada de medidas necessárias referente à proteção de informações que compartilhamos com eles, e a confiabilidade em nossos governos para fornecer um ambiente de negócios mais seguro e para proteger os nossos direitos. As recentes revelações do ex-empregado da NSA, Edward Snowden, em que o governo dos EUA viria espionando o tráfego da Internet de pessoas inocentes e comprometendo as embaixadas da União Europeia, destaca os danos causados por essa quebra de confiança.
Empresas Colocam em Cheque Credibilidade de Provedores em Nuvem
Como resultado destas alegações, a UE suspendeu as negociações comerciais com os EUA e também ameaçou suspender qualquer compartilhamento de dados com a potência norte-americana. As revelações acima não surgem como uma surpresa para muitos em nossa indústria; no entanto, ele trouxe toda a questão da confiança à tona. Dessa forma, muitas empresas já estão pensando duas vezes antes de se envolver com os provedores de serviços em nuvem, especialmente aqueles com sede localizada nos EUA.
Outras corporações passaram a olhar com uma certa desconfiança para os sistemas operacionais, software e hardware que utilizam. E, claro, as ações de Edward Snowden têm destacado as questões das ameaças internas e o quanto os funcionários podem ter um acesso privilegiado a dados e sistemas essenciais de confiança. Quando examinamos os diferentes elementos que precisamos para confiar, a fim de permitir que as nossas organizações realizem negócios com segurança, só podemos concluir que existem muitas ligações na referida "chain of trust".
Assim como qualquer outra, a cadeia de confiança é tão forte quanto seu elo mais fraco. Para a maioria das organizações, a cadeia será composta de software, hardware e pelos seus sistemas de execução, além dos fornecedores que lhes disponibilizam serviços como hospedagem, telecomunicações e suporte, contando ainda com a colaboração de empresas parceiras e seus funcionários, além de contar com as empresas que terceirizaram alguns dos seus trabalhos, com os usuários que fazem parte da organização, e até mesmo, contando com a colaboração do governo.
Processos Operacionais com Segurança
Existe todo um destaque relacionado às várias entidades nas quais as organizações precisam confiar para operar com segurança. Afinal, se eles não confiarem em ninguém, então eles não serão capazes de funcionar. Este é o momento onde nós, como profissionais de segurança, devemos entrar em cena. O nosso papel é garantir que os níveis de confiança que as organizações exigem sejam fornecidos e mantidos. No entanto, em muitos casos, não há um alcance dessa meta. Assim, os executivos acreditam que parte desse problema é porque não há uma permissão para que o negócio seja construído com um nível de confiança consolidado, e também está concentrado na forma como as soluções estão sendo oferecidas para a alavancagem do negócio.
Normalmente - e muitas vezes por motivos bons e autênticos - a função de segurança da informação em muitas organizações, é vista como um fator de bloqueio de negócios ou de atraso com referência em alguns projetos e iniciativas de negócios. Isso resulta no cenário comum, onde a segurança é muitas vezes o último setor a saber sobre uma nova iniciativa de TI que está sendo tomada. Em seguida, vem aquela necessidade de lutar para contribuir com a segurança contra um prazo de negócios que se aproxima. Em muitos casos, este sistema significa que é necessário cumprir um prazo de negócios que foi estipulado, com as questões de segurança ainda pendentes.
Construindo a Confiança nos Relacionamentos
A construção da confiança em relacionamentos leva muito tempo e exige ainda bastante esforço. Ela exige que exista uma constante comunicação entre ambas as partes, para garantir que eles entendam todos os pontos de vista e as posições de cada um, bem como o engajamento honesto de cada partido, quando se trata de delinear as suas expectativas do relacionamento. Um equívoco muito grande nesse contexto, será dizer que a confiança será construída através da apresentação sobre tudo o que foi prometido.
Além disso, ainda de acordo com o que considera Brian, precisamos melhor estreitar os laços com aqueles que estão fora da área de segurança, tanto na parte técnica quanto não técnica. Ele diz também que precisamos, fortemente, melhorar a nossa compreensão sobre as necessidades e sobre a nossa capacidade de demonstrar o que é realmente importante para fazer o negócio com segurança, além de precisar, com uma certa urgência, aceitar e perceber que a segurança não é simplesmente uma questão técnica, mas que se trata de um negócio único. "Como tal, devemos perceber que é a empresa que decide o que fazer, com base no parecer da confiança que recebe de nós", acrescentou o executivo.
Esforços, Compreensão e Iniciativas de Diálogo
Além disso, a empresa deve fazer mais esforços para compreender as as necessidades de seus parceiros e clientes. Se tomarmos esta abordagem, contamos com a outra parte para tomar a iniciativa de abrir o diálogo para começar a construir essa confiança. Se assim não o fizerem, a segurança será sempre de responsabilidade da empresa, e todas as falhas de segurança também. Em face disso, vale ressaltar que a construção de um forte relacionamento baseado na confiança é uma longa jornada. Alguém tem que dar o primeiro passo para que outros possam seguir. Vamos estender a mão para o negócio, e tentar entender melhor o que eles estão tentando alcançar e aprender a melhor forma de ser um conselheiro de confiança.
Sobre o Executivo
Brian Honan é um consultor de segurança independente de Dublin, Irlanda, e é o fundador e chefe da IRISSCERT que é a primeira CERT da Irlanda. Ele é professor adjunto em Segurança da Informação na University College Dublin e tem assento no Conselho Técnico Consultivo para um determinando número de empresas inovadoras de segurança da informação. Além disso, o executivo abordou uma série de grandes conferências, como a RSA Europa, BruCON, IDC, Source Barcelona e muitos outros. Brian é autor do livro "ISO 27001 em um ambiente Windows" e co-autor do livro "As regras de segurança em nuvem", além de contribuir, regularmente, para várias publicações reconhecidas da indústria e serve como um editor europeu de um boletim eletrônico semi-semanal da SANS Institute.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1867&p=2