André Borges

Escolha um dia da semana. Útil. Nessa data, dedique-se em acompanhar a divulgação de falhas de sistemas que invadem os boletins online e a imprensa mundial. Procure saber quais são as novas ameaças cibernéticas daquele dia, suas características, onde agem e de que forma. Dê um passo a mais e mergulhe no emaranhado de soluções de segurança da informação que pipocam a toda hora no mercado, todas com a promessa de resolver os dilemas da sua vida. Se der tempo, olhe também para a sua infra-estrutura de TI.

Lá se foi. Caso decida seguir o conselho acima – se já não o fez – por volta das onze e meia da noite, com otimismo, você chegará à conclusão que todo o seu esforço simplesmente não valeu nada, a não ser pela coleta de pilhas de relatórios, todas recheadas de um estranho sentimento de frustração, uma boa dose de dor de cabeça e, sem dúvida, a sensação de um dia de trabalho perdido.

Nos últimos anos, foi com um misto de vaidade e receio de perder o emprego que muitos diretores de tecnologia e gerentes de segurança decidiram arregaçar as mangas e peitar sozinhos as agruras do vandalismo e do crime digitais. Uma boa intenção, claro, mas em boa parte, desprovida de noção da realidade. “As pessoas estavam acostumadas a enfrentar problemas pontuais, mas para isso faziam uso de soluções pontuais”, diz o gerente de sistemas da Symantec Brasil, Ricardo Costa.

Talvez o que diz o executivo da Symantec explique por que pesquisas feitas pelo CSI/FBI no ano passado revelaram que, embora 99% das empresas tenham aumentado gastos em produtos como firewall e antivírus, 36% delas foram invadidas. É verdade que nos dias de hoje a razão que explica esse contra-senso vem sendo repetida à exaustão por qualquer CIO. “É preciso ter foco no negócio”, diz o mantra.

Mas, efetivamente, não é isso o que a grande maioria dos executivos fez nos últimos anos, pelo menos quando o assunto é segurança da informação. Não que investimentos em ferramentas como antivírus, firewall ou IDS sejam equivocados. Ao contrário. Ocorre que muito dinheiro escorreu ralo abaixo enquanto executivos ficavam de olhos absortos, admirados com o tsunami de falhas e ameaças externas.

Por essas e outras é que, atualmente, qualquer CEO ou diretor financeiro torce o nariz quando alguém bate em sua porta em busca de dinheiro para soluções de segurança. E é bem provável que eles estejam com a razão. “Muitas vezes os problemas ocorrem por simples falta de configuração, de gerenciamento mesmo. As empresas não trabalham com uma política para a configuração dos sistemas que já possuem”, afirma Costa.

Um dos possíveis atalhos para resolver esse tipo de problema podem ser os chamados serviços de análise de riscos. A estratégia, hoje oferecida com diferentes formatos e profundidade por praticamente todos os grandes fornecedores do mercado, vai muito além da tradicional varredura de rede e da atualização de sistemas. Se bem aplicada, esta iniciativa é capaz de direcionar investimentos, avaliar o real impacto de ameaças, medir o tamanho das brechas da empresa e se transformar em um instrumento facilitador de recursos, além de justificá-los.

No quadro da página abaixo, COMPUTERWORLD resume o que alguns dos principais fornecedores de segurança disponibilizam para o mercado. Já o que se tem a seguir é um apanhado das principais questões que norteiam a contratação de análises de risco, sete questões fundamentais que devem orientar as decisões de um gestor de segurança da informação.

1. Dê um voto de confiança
O primeiro passo. Pela criticidade do assunto, muitos executivos de TI ainda relutam em abrir a caixa-preta de suas operações para empresas de fora, sob a alegação de que ficariam vulneráveis. Essa realidade está mudando. “Muitos viam na consultoria uma ameaça, mas agora o mercado está mais maduro, os executivos sabem que precisam de apoio”, diz Marcos Sêmola, diretor de consultoria de segurança da Atos Origin.

Para oficializar a confidencialidade da operação, a maioria dos fornecedores de mercado costuma trabalhar com contratos de não-divulgação, os chamados NDA (non-disclosure agreement). Esta é uma maneira eficiente de proteger o sigilo tanto de quem contrata quanto de quem presta o serviço.

2. Resolva problemas reais
Dimensionar a quais riscos a empresa realmente está exposta tem sido, de longe, uma das principais dificuldades de qualquer gestor. Antes de olhar para as ameaças, a análise de risco se volta para a avaliação do risco potencial interno, envolvendo o tripé infra-estrutura, processos e pessoas. Esse mapeamento mede, por exemplo, o impacto que uma eventual pane da TI traria ao produto ou serviço finais da companhia.

Na IBM, por exemplo, os serviços de consultoria de segurança utilizam a metodologia norte-americana Octave para analisar riscos, valor e privacidade dos dados. “Dessa forma, podemos entender os processos críticos dos negócios. Com a seleção dos pontos mais importantes criamos análises qualitativas e quantitativas”, explica Leonardo Scudere, executivo-sênior da área de gestão de riscos e segurança da IBM Brasil.

3. Invista corretamente
Gasta-se muito e resolve-se pouco. O gerente de suporte da McAfee Brasil, José Matias Neto, lembra que a maior parte dos investimentos em segurança ainda se baseia na compra de produtos. “É uma visão limitada”, diz. Não por acaso, a própria McAfee tem investido pesado no treinamento de suas revendas para que estas entreguem serviços adicionados às suas ferramentas.

O comportamento de muitos gestores de segurança explica por que tantos ainda têm de recorrer à estratégia terrorista do Fud (sigla em inglês fear, uncertainty and doubt) para convencer seus diretores de que, caso se neguem a abrir a carteira, a casa vai cair. As experiências revelam que usar de sensações como medo, incerteza e dúvida realmente podem funcionar no curto prazo, mas com o tempo não se comprovarão como a melhor estratégia. “Os problemas de segurança tendem a ser infinitos, mas o orçamento é finito. A análise de riscos dá a dimensão certa do problema e uma visão qualitativa”, comenta o diretor de consultoria da Atos Origin, Marcos Sêmola.

4. Olhe para a prioridade
Em algumas situações, pode ser que a análise de riscos não seja a melhor opção para empresa. Como se trata de um processo que pode custar meses, o gestor de TI deve se cercar de ações objetivas e práticas. De outra forma, corre o risco de paralisar a empresa. Em outras palavras: se sua empresa está com um problema, elimine-o imediatamente.

“Você não precisa fazer análise de risco para descobrir que precisa de proteção contra incêndio. Isso vale para segurança da informação. Fazer avaliações complexas e só depois investir em segurança é um erro. Já vi muitos executivos se darem mal por causa disso”, alerta Marcelo Bezerra, diretor técnico da Internet Security Systems América Latina.

5. Amplie as motivações
Ainda são raros os casos em que um projeto de segurança é implementado com o objetivo de precaução. A maioria das ações ainda é reativa, isto é, corre-se atrás do prejuízo. Acontece que muitas estratégias de negócios ou mesmo exigências legais podem ser fortes motivadores para adoção de serviços de análise de riscos. Trilhar esse caminho é, muitas vezes, a melhor alternativa para se prevenir de uma auditoria interna, por exemplo. Em algumas situações, essa avaliação torna-se essencial. É caso das companhias brasileiras que estão na mira da lei norte-americana de responsabilidade fiscal, a Sarbanes-Oxley.

Antes de exigência, um mapeamento qualitativo de segurança também pode se transformar em carimbo de qualidade frente aos parceiros de negócios. Em alguns casos, o serviço funciona como um atestado de compromisso, principalmente para empresas que trabalham com concentração de poucos fornecedores.

6. Dissemine a cultura
Muitas empresas contam com profissionais e departamentos para analisar riscos de áreas financeiras, operacionais, jurídicas, entre outras. Ainda são poucas as que possuem uma divisão para analisar riscos de informações. A partir da análise de riscos, fica mais fácil atribuir responsabilidades que permeiem cada funcionário da empresa, além de verificar se a política de segurança de fato está sendo cumprida.

As avaliações auxiliam ainda na nomeação de parceiros para o gerenciamento de infra-estrutura e processos. O resultado desse esforço pode ser decisivo na criação de um departamento dedicado exclusivamente àquele que hoje é um dos maiores bens de qualquer corporação: o seu conhecimento.

7. Faça uma gestão contínua
Está claro que testes de invasão não se resumem a listas de vulnerabilidades. É necessário que haja, como gostam de dizer os especialistas do setor, uma “visão holística de segurança”. Um método desenvolvido na década de 30, conhecido como PDCA (do inglês plan, do, check e act) – muito aplicado em conceitos de qualidade no Japão – pode ser uma boa alternativa para estruturar ações. “Existe uma realidade da qual não se pode fugir, que é a de que as mudanças ocorrem em vários níveis. Esses métodos ajudam a manter a qualidade de processos, são as fases do que precisa ser feito, é um caminho cíclico”, explica o diretor de consultoria da Atos Origin.

A regularidade com que deve ser feita a análise de riscos, explica Ricardo Costa, da Symantec, muda conforme as características de cada empresa e do mercado em que atua. “Em casos onde a área de TI não tem impacto direto no negócio, essas avaliações podem ser feitas a cada seis meses, por exemplo. Já em um banco ou uma operadora de telecom esse prazo cai para 90 dias”, diz.

Embora não haja uma norma rígida, padrões de segurança como a metodologia britânica BS 7799 sugerem que, independente do setor, a análise dever ser feita pelo menos uma vez por ano. Mas, independente da escolha e da capacidade de cada um, é preciso ter em mente que se trata de um processo contínuo, por isso exige cautela nas escolhas.

Como qualquer outro projeto, a análise de riscos também pode se tornar uma armadilha para o gestor de segurança. Não é raro encontrar empresas que, mesmo com limitações financeiras para tecnologia, decidem descarregar uma bateria de investimentos pesados numa única avaliação ou fornecedor, e logo depois se vêem desarmadas para se protegerem. Em casos como esse, vale lembrar, não serão apenas os vírus polimórficos as grandes ameaças. Certamente, também estará na faixa de risco uma eventual promoção profissional ou, quem sabe – para não abrir mão do Fud – o próprio emprego.

QUEM FAZ O QUÊ
Alguns fornecedores de serviços e soluções de análise de riscos e testes de vulnerabilidades

3Com
Trabalha com serviços de consultoria para análise de riscos em gerenciamento de rede. Se necessário, a fornecedora também auxilia no desenvolvimento de políticas de segurança.

Atos Origin
Trabalha especificamente com consultoria de segurança. A empresa faz a avaliação de riscos, indica processos para correção e recomenda a adoção de produtos de diversos fornecedores.

Cisco
Oferece uma equipe de consultoria para fazer avaliações de risco. Seus serviços estão mais direcionados à infra-estrutura de redes. Para demais avaliações que envolvam política de segurança, conta com parceiros como a IBM. 

Computer Associates
Fornece ferramentas de análise e consultoria. Serviços também podem ser prestados por revendas treinadas.

Cybercyte
Por meio de metodologia de seu produto CISA (CyberCyte Information System Audit), oferece serviços de consultoria e auditoria de segurança.

IBM
Com uso de software de código aberto, soluções próprias e de parceiros, faz avaliações quantitativas e qualitativas de segurança, demonstrando número de falhas de sistemas, processos e redes, além de vulnerabilidades mais críticas.

Internet Security Systems 
Possui um conjunto de ferramentas para análise de riscos, mas não oferece serviços de consultoria diretamente, apenas por meio da rede de canais e parceiros.

McAfee
Vende ferramentas de avaliação de riscos, mas não tem serviços. Assim com a ISS, a consultoria fica por conta dos canais, treinados para realizar a implementação de seus produtos.

Symantec
Atua com serviços de gerenciamento e implementa soluções próprias, de proteção por perímetro a processos internos.

|Computerworld - Edição 418 - 06/10/2004|