Bill Falk é vice-presidente global de vendas da Kaseya

 

Muito se pressupõe sobre segurança. As empresas acreditam que estão protegidas, que as suas redes são seguras, os sistemas estão atualizados e que os dados críticos estão à salvo. Na verdade, as suposições são um perigo porque deixam os administradores acomodados e os usuários complacentes. Pode-se dizer que são prejudiciais, pois causam reações que colocam as empresas, os dados e os usuários em risco.

 

Para evitar surpresas desagradáveis, listamos sete pecados em segurança de Tecnologia da Informação que devem ser evitados: 

 

Pecado nº1: Ignorar o risco

Não há pecado maior do que acreditar que se pode bloquear a invasão das ameaças de segurança no seu ambiente de TI. Em primeiro lugar, as empresas precisam reconhecer que já foram invadidas e que há códigos maliciosos à espreita no servidor, desktop ou dispositivo móvel de algum executivo, prontos para roubar informações ou causar pânico. Detectar essas ameaças é tão importante quanto preveni-las e para isso é necessário adotar estratégias de segurança bem definidas. A conscientização sobre a situação é fundamental. As empresas precisam estar à par da realidade de segurança do ambiente, onde estão as defesas, as vulnerabilidades, se os patches foram aplicados em todos os terminais e se a manutenção está em dia. 

 

Pecado nº2: Despreparo

A maioria das estratégias de segurança é pontual e tem como foco ameaças específicas, seja um antivírus, uma solução para segurança da rede ou para combater phishings, mas os hackers estão cada vez mais sofisticados e vão além das barreiras convencionais. As empresas precisam entender melhor onde está a última linha de defesa e desenvolver um plano de segurança holístico, capaz de proteger as informações e gerar conscientização. Os dados trafegam livremente pelo ambiente de TI, dos sistemas para a rede e para o data center, daí a necessidade de proteger as informações em todos os níveis e todos os estágios. É aí que entram as soluções para gerenciamento dos sistemas de TI (ITSM). Elas têm a estrutura certa para acompanhar os dados por todo o ambiente e a capacidade de adotar um enfoque macro. As soluções ITSM trazem processos prontos para responder a essas questões e oferecer as defesas necessárias.

 

Pecado nº3: Negligência

Embora a varredura seja fundamental para o gerenciamento de vulnerabilidades, ela abrange apenas a avaliação e não o aspecto de remediação da prevenção de ataques. As empresas também precisam de um plano de ação para combater as ameaças e trazer os sistemas e a rede de volta à normalidade. Uma sugestão é o chamado plano PFVA de ação (Planejar, Fazer, Verificar e Agir). 

 

A varredura abrange os aspectos de planejamento e execução, mas as empresas também precisam monitorar desvios no sistema e contar com um plano de ação que os administradores podem usar para sanar problemas. Segundo um estudo realizado pela EMA, as companhias que definem, seguem e adotam políticas de gestão dizem ter a metade das instâncias que necessitam de remediação do que aquelas que não possuem mecanismos de prevenção.

 

Pecado nº4: Falta de visão

Não são todas as empresas que conseguem ser bem-sucedidas. Elas precisam de uma estratégia com visão de futuro que as prepare para confrontar as futuras ameaças à segurança. A natureza dos ataques muda todo dia, basicamente espelhando as mudanças na tecnologia. Imagine que os vírus se disseminavam tendo como veículo os disquetes, depois começaram a se disseminar pela internet e e-mail. Agora o campo de batalha é está concentrado também em dispositivos móveis e celulares.

 

As empresas precisam ter flexibilidade na ação, visão e integração. Ou seja, é preciso ter uma estrutura que permita responder a questões futuras via mudanças de configuração, recuperações e restaurações. As soluções ITSM precisam oferecer visibilidade do seu ambiente de TI e de cada um dos seus sistemas. Além disso, as novas estratégias, políticas e ferramentas precisam poder operar entre si dentro do ambiente. 

 

Pecado nº5: Orgulho

As empresas precisam poder avaliar a segurança usando métricas como a porcentagem dos sistemas cobertos e descobertos, a porcentagem de atualizações bem e mal-sucedidas e a taxa de latência dos patches. Não é fácil coletar essas informações, mas é aí que entra a automação.

 

Além de viabilizar essa automação, as soluções ITSM conseguem auditar a rede para identificar ativos conhecidos e a situação da segurança deles, garantindo que as políticas de segurança estão sendo seguidas em toda a empresa e detectando exposições antes desconhecidas. As tendências podem ser analisadas para demonstrar o andamento e determinar necessidades. 

 

Pecado nº6: Arrogância

É muito perigoso a empresa depositar confiança excessiva no capital intelectual humano quando o assunto é segurança. A vida segue, as pessoas mudam de emprego e esse conhecimento não pode ser substituído. Uma estratégia bem mais consiste e segura é a combinação de tecnologia - automatizando os processos e o gerenciamento da segurança de TI - e os técnicos para planejar, avaliar e consertar. 

 

Pecado nº7: Evasão 

Embora compor uma estrutura de segurança da informação confiável não seja uma tarefa simples, especialmente quando se está falando de grandes ambientes corporativos, também não é impossível. É verdade que você vai precisar de recursos humanos e monetários para comprar, configurar e fazer a devida manutenção na estrutura, contudo há opções por aí para caber em qualquer bolso equipe de TI. As empresas precisam considerar todas as opções com cuidado, inclusive soluções e parceiros nunca antes imaginados e os modelos hospedados e de software como serviço (SaaS). 

 

De uma forma geral, as empresas deveriam concentrar seu foco na criação de estratégias de segurança abrangentes, inovadoras e flexíveis por meio de uma visão holística do service desk, pelo qual os administradores tenham um único console centralizado para proteger, monitorar, detectar e responder a ameaças de segurança de forma eficiente.