"Segurança de rede é um processo dinâmico e o inimigo é humano”, frisou Roger Davis, diretor sênior da Nu Skin International, lembrando que um evento isolado não causa estrago nos sistemas, mas sim a conjunção de processos mal resolvidos. “Por isso as corporações têm que aprender a reconhecer fatores humanos e políticos, para conseguir gerenciar todas as suas áreas de negócios, afetadas constantemente por novas pragas virtuais”, reiterou o executivo, durante a RSA Conference, feira e convenção da área de segurança que aconteceu em meados de fevereiro, nos Estados Unidos.

Apesar de simples, essa pequena lição ainda não está na ponta da língua das empresas. A IDC Brasil estima que o mercado de segurança, serviços apenas, em 2001, tenha sido de US$ 75 milhões. Para 2002 o volume chega a US$ 102 milhões. A fase de aprendizado está presente, mesmo nas companhias de grande porte, e se o tempo é curto, todas estão correndo contra o relógio. O que fazer? Como se proteger rápida e eficazmente?

A regra é clara: antes de qualquer atitude, não deixe o negócio parar e aponte as prioridades dentro da rede para que elas sejam protegidas com vigor, no tempo mais rápido possível. Como dicas básicas, Roger Davis sugere: adote uma política compreensível para todos dentro da empresa e avalie, na planta da rede, todos os pontos que devem ser cobertos por processos seguros. Tendo em mãos a visão geral do mapa corporativo, aja!

Inversão

Historicamente, políticas de segurança sempre foram departamentais e desenvolvidas em pedaços. Hoje, a visão do todo é essencial. “A política deve ser única e as áreas devem trabalhar integradas para que uma não prejudique a outra”, esclarece Gary Loveland, especialista em segurança da PriceWaterhouseCoopers, acrescentando que todos os funcionários devem saber e aprender o que é segurança e com quais ferramentas eles estão lidando no dia-a-dia.

Mais importante que desenhar uma política, é implementá-la. “Estabelecer uma estratégia não faz a empresa mais segura”, frisa Loveland. Então comece a empreitada respondendo as seguintes questões:

1) Quem está acessando os seus sistemas e aplicações?
2) Onde os funcionários têm permissão para ir?
3) O que eles podem fazer dentro da rede?
4) Como e quem provê acesso ou retira a permissão para acessar os sistemas?
5) Quem tem principal acesso às identidades e às informações corporativas?
6) Quais são, na estratégia empresarial em questão, as principais necessidades e considerações para privacidade ?

Muitas companhias acreditam que, com o objetivo de administrar efetivamente a política de privacidade, permissões de acesso deveriam ser dirigidas de acordo com o cargo do funcionário, assim como a forma como o mesmo pode entrar na rede quando está fora do ambiente de trabalho.

“Aspectos culturais também influenciam na forma como a estratégia de segurança é implementada, e pode haver pequenas diferenças quando a corporação está em diversos países”, observa o especialista da Price. Na estratégia aplicada pela própria auditoria, denominada Identity Management (IM), alguns pontos são ressaltados para que as corporações usuárias saibam no que estão apostando.

As barreiras mais relevantes, segundo a IM, são os custos; a conquista do ROI (Return on Investiment) – que é atingida em pelo menos um ano de trabalho –; a justificativa dos gastos, já que as respostas à política de segurança nem sempre são visíveis; a priorização de despesas em outras áreas; a visão de que o antigo estava bom e a crença de que o que está chegando é um exagero para as necessidades da empresa. “Administrar as identidades agiliza o trabalho do funcionário e facilita o gerenciamento da rede”, afirma Gary Loveland.

Pode parecer que a melhor forma de conquistar ambientes seguros é gastando rios de dinheiro em ferramentas. Errado. Hoje, deve-se investir mais na adoção de processos de negócios.

Menos TI

“As empresas estão aprendendo a fazer isso, e observando o todo, de forma que todas as áreas trabalhem integradas em cima da mesma estratégia”, avalia Harry DeMaio, diretor da Deloitte&Touche.

Mas no que se baseia essa estratégia? “Coloque no mesmo balaio atitude para administrar o e-business e pense nas ferramentas depois que sua empresa tiver definido o que pretende com uma política de segurança”, ensina Yogesh Gupta, CTO (Chief Technology Officer) da Computer Associates. Papel e lápis na mão, conheça as diretrizes básicas apontadas pelo executivo:

1) Produtos são importantes, mas não se pode focar apenas neles
2) Integração entre aplicativos e processos de negócios é item vital na adoção da estratégia
3) Mecanismos de controle e visualização devem ser implementados para otimizar a administração da estratégia
4) Integre a arte da defesa (usando produtos) com as políticas de acesso
5) Hoje, parceiros, clientes e funcionários utilizam a mesma base de informações, por isso devem ter restrições de acesso
6) A política de segurança deve fazer parte de todos os processos corporativos, se não, cai a eficácia
7) Segurança nunca é 100%. No mundo real, não se consegue proteger tudo, mas manter a adoção de novas ferramentas e testar novos procedimentos podem tornar o ambiente cada vez mais seguro
8) Algum funcionário precisa assumir responsabilidades únicas, ele será a pessoa de maior importância na estratégia e terá que cuidar da saúde dos sistemas de TI e do acesso aos dados

Mais que isso, as empresas devem ter esse passo-a-passo em mente para o que já faz parte do ambiente e pensar nas novas aplicações que virão. Permitir que a política de segurança cresça dá à corporação a chance de evoluir. “Para adotar serviços Web, por exemplo, a companhia precisa saber exatamente o que eles são, como eles vão se desenvolver e quais elementos de infra-estrutura precisam ser adotados para que esses serviços sejam oferecidos com segurança”, explica Anil Pereira, vice-presidente sênior da divisão

Enterprise and Service Provider da Verisign. Alguns procedimentos básicos devem ser seguidos para a chegada dos serviços Web. Entre os mais importantes – e para os quais devem ser aplicadas as ações de segurança – estão a construção da aplicação Web para uso interno, a escolha de parceiros, as comunidades nas quais aquela aplicação vai rodar e a estratégia de colaboração entre todos os envolvidos. “Quanto mais standards e tecnologia comuns forem selecionados, maior a produtividade”, frisa Anil Pereira.

Entendido o conceito, o que fazer? Quais ferramentas utilizar, depois de definida a política de segurança corporativa? Há muitos fornecedores no mercado, assim como empresas especializadas na construção e implementação de estratégias.

Ação

Inicialmente, “adote uma solução de identificação de usuários e dispositivos”, explica Bill McQuaide, vice-presidente sênior de marketing da RSA Security.

Não esqueça! Lembre-se sempre dos processos abaixo. Considerados básicos, também pela Novell, eles podem garantir um ambiente mais seguro: Avalie o ambiente corporativo Identifique os usuários Administre as contas de email Proteja as senhas Cuide bem das workstations – hoje essas máquinas têm mais informações que os servidores cinco anos atrás Fique atento ao dados utilizados e/ou armazenados Administre o acesso à Internet

Devem estar na lista de compras itens específicos para personalização e administração dos acessos, garantia de integridade das informações e finalmente, das transações. “Isso pode ser resumido como autenticação, gerenciamento de acessos, encriptação e assinaturas digitais”, destaca o executivo, lembrando que todas essas ferramentas são vitais para permitir a colaboração entre as empresas, assim como o florescimento do comércio eletrônico.

Entrando um pouco mais fundo no que se deve fazer, ainda em relação aos produtos, Anil Pereira, da Verisign, dá as dicas. O passo um é por ele nomeado de “identidade e endereçamento”. Nele incluem-se o provisionamento e a administração de processos, identidades, além da localização de todos os pontos da rede. No mesmo item está o registro dos produtos e serviços disponíveis. “No segundo passo estão autenticação e autorização, que envolvem a criação, validação, cancelamento e certificação de chaves digitais. Definir autorização e privilégios para o acesso dos usuários da rede fecham esse ciclo”, garante o especialista da Verisign.

Por fim está a conquista de transações seguras, que envolvem a aplicação de protocolos de segurança como SSL (Secure Sockets Layer) e assinatura e/ou encriptação XML (Extensible Markup Language). “Dessa forma as corporações conseguem realizar transações seguras e administrar o ambiente”, conclui Anil Pereira.

Checklist Avalie sua infra-estrutura de TI antes de adotar uma política de segurança. Os itens abaixo são sugeridos pela Novell. Mantenha seu atual diagrama de arquitetura de rede e utilize-o para determinar onde e como usuários externos podem acessar a planta. Teste os sistemas da corporação utilizando ferramentas específicas contra invasões e aponte as vulnerabilidades na rede Crie uma lista de todos os servidores e sistemas críticos para a empresa, assim como aponte a data em que foram instalados, quem realizou o trabalho e desenvolveu as aplicações. Visite Web sites de segurança relacionados para atualizar os programas de segurança Desenvolva uma lista de políticas para todos os administradores de rede seguirem. A primeira – e mais importante – é que dispositivos de segurança recentes estejam instalados para os programas que estão em operação. A determinação de quem são os responsáveis por cada sistema e as informações presentes em cada um deles também devem ser listados Crie uma política para os funcionários que explique a forma adequada de uso das informações corporativas. Por exemplo, liste os passos que devem ser tomados quando há a suspeita de infecção na rede ou no desktop. Determine também como os funcionários devem lidar com suas senhas e se eles podem ou não deixar as estações ligadas quando saírem – para evitar a exposição dos dados internos a pessoas não autorizadas Avalie quantos dados estão armazenados e que volume deles é acessado com freqüência. Seu sistema de emails é seguro? Há informações confidenciais armazenadas na rede local, e sem backup? Se há dados encriptados em um dispositivo de storage, eles podem ser recuperados se houver qualquer problema? Se um notebook é roubado, há alguma maneira de recuperar as informações que estavam na máquina? Determine o impacto que sua empresa pode sofrer caso haja a necessidade de derrubar todo o acesso, interno ou externo, à Internet Se houver um desastre, ou um incêndio em algum ponto da rede, quais são as alternativas imediatas para salvar dados críticos ? Pense na possibilidade de doença ou falecimento de um funcionário chave para a corporação. O que a falta dessa pessoa pode causar ? Estabeleça um auditoria eletrônica que monitore todas as atividades da companhia nos diretórios e servidores