Por Network World

3- Análises de riscos são uma ameaça aos fornecedores.

As empresas de segurança querem que os clientes comprem o que eles vendem, por isso empurram produtos que bloqueiam ameaças específicas. NAC, por exemplo, pode resolver um problema real. Mas se o problema não tem um impacto significativo em uma das três maiores prioridades da companhia, provavelmente não é uma necessidade. Avaliações de riscos devem determinar que melhorias nos processos de negócios ou configurações mais rígidas da estrutura existente pode ser tudo o que se precisa. “É preciso entender o ambiente e as maiores prioridades”, afirma Corman.

4- Risco vai além de vulnerabilidades de software.

Fornecedores tendem a ser insistentes em relação a vulnerabilidades de software, mas essas falhas não representam a origem de sucessivas façanhas. Senhas fracas, configurações mal feitas — especialmente configurações de fábrica — e pessoas pouco capacitadas são problemas maiores, segundo Corman. “Mesmo que os software fossem perfeitos, ainda teríamos vírus e Trojans, que não precisam de falhas em sistemas para funcionarem”, relata o especialista.

5- Compliance ameaça a segurança.

Estar em conformidade com padrões de segurança estabelecidos por governos, como HIPAA, ou indústrias, como PCI, não é ruim, mas não é suficiente para manter as redes seguras. O problema é que as regulamentações criam um conflito de objetivos e recursos entre o que é preciso para estar em conformidade e o que os executivos realmente acham que devem fazer para manter a segurança do negócio. Estar em conformidade também mostra para potenciais invasores quais as defesas da companhia. “Se o padrão PCI diz aonde estão as barreiras, os invasores começam a procurar outras áreas”, explica Corman.

6- Pontos cegos em sistemas de segurança permitiram a proliferação da praga Storm.

Defesas corporativas que checam comportamentos de dispositivos de rede podem apontar máquinas seqüestradas pela rede zumbi, mas não há a mesma proteção para redes comerciais. Antivírus baseados em comportamento para usuários finais e sistemas de detecção de anomalias também funcionam, mas não para quem não possui esse tipo de proteção. “A Storm reconheceu os maiores pontos cegos em antivírus e os explorou, e a praga emprega uma forte engenharia social”, diz o estrategista.

7- A segurança melhorou após o “faça você mesmo”.

Fornecedores tentam convencer seus clientes que segurança é tão complexa que não pode ser gerenciada sem ajuda, mas as necessidades das empresas são tão individuais que apenas escolher um produto não é suficiente. “Não basta ter a ferramenta certa, é preciso instalar e configurar o sistema da maneira correta para o ambiente. E isso pode ser melhor conduzido pela equipe de TI da empresa”, afirma Corman.