Total Security - www.totalsecurity.com.br
Segurança
Quinta - 16 de Fevereiro de 2006 às 18:35
Por: escritor

    Imprimir


O medo mais comum em tecnologia hoje tanto para empresas quanto para consumidores comuns é ser atingido por vírus. O segundo medo mais comum é o de ter identidade ou dados roubados e sofrer prejuízo financeiro. Os dois temores fazem com que até os iniciantes em computação recorram a duas ferramentas básicas de segurança, que podem ser encontradas gratuitamente: antivírus e firewall. Para pequenas e médias empresas, o risco de prejuízos é ainda maior que para o profissional ou consumidor. No entanto, a maioria também depende só destas ferramentas. Uma pesquisa divulgada pela Kaagan Research Associates revelou que elas nem sempre são suficientes. Mas saber quando o investimento em segurança deve aumentar e quais as tecnologias que se pode buscar são apenas alguns desafios que essas empresas têm de enfrentar.

Procurar soluções de segurança com especialistas atualmente é pior do que ir a um mecânico. Escutar que “falta IPS na sua empresa” ou que “só com IDS você pode resolver esse problema”, bastando apenas “ligar um black box em algum ponto da sua network” pode despertar o horror em qualquer dono de pequena empresa.

Na América Latina

A pesquisa realizada pela KRA, a pedido da Cisco e IBM, entrevistou 203 especialistas na América Latina, incluindo a Argentina, Chile, Brasil, Colômbia, Venezuela e México. A pesquisa mostrou que, nas pequenas empresas, é menor a probabilidade de todos os funcionários estarem conectados na internet. Em 40% das organizações pesquisadas, dois a três funcionários respondem por segurança da informação. Um número bastante alto de empresas, no entanto, (19%), possui apenas um funcionário para a função. Apenas nas grandes empresas a segurança da informação obtém mais destaque na contratação de pessoal.

No Brasil, apenas 29% dos especialistas afirmam que a alta gerência de sua empresa classifica a segurança como prioridade "muito alta". A maioria (52%) dos entrevistados em geral afirmou que o modo de lidar com problemas da área pode ser classificado como "moderadamente eficaz". A pesquisa aponta que a falta de confiança das empresas no departamento responsável por segurança é maior.

Para melhorar o panorama, ainda é preciso muita mobilização. Em apenas 34% das empresas, as políticas de segurança da informação são aprovadas por um conselho diretor. A situação é um pouco melhor no Brasil, onde o número sobe para 58%.

A maior dificuldade é o orçamento para segurança. Aproximadamente 56% das empresas dedicam entre 3% e 15% do orçamento à segurança da informação, E só 27% dedicam 16% do orçamento ou mais. Ainda assim, o investimento tem aumentado desde 2003, 2 em cada 3 entrevistados (67%) disseram que a participação de segurança "aumentou consideravelmente" ou "aumentou significativamente" nos últimos dois anos. É nas pequenas empresas que a probabilidade de diminuição do orçamento de TI é maior, de acordo com a pesquisa.

Apesar do aumento do investimento, os problemas continuam a acontecer. Cerca de 38% dos entrevistados disseram que sua empresa sofreu uma violação de segurança de tecnologia em 2004. A origem da maioria dos incidentes é externa. A pesquisa afirma que, quanto maior a prioridade dada à segurança, menor a probabilidade de ocorrer um incidente de origem externa.

Os especialistas concordam que os riscos de segurança aumentaram nos últimos três anos, principalmente no Brasil, onde os entrevistados apontaram um "aumento significativo" do risco. Mais da metade dos entrevistados afirmou ter uma confiança moderada na eficácia da proteção tecnológica para sua empresa. Nas pequenas empresas, a confiança nas soluções de segurança na empresa é ainda menor.

É possível entender por que as pequenas empresas se sentem menos seguras, já que a maioria dos profissionais afirma que limites de orçamento são o maior desafio no confronto às ameaças de segurança. Cerca de 42% dos entrevistados consideram financiamento um "problema importante". Preocupadas com geração de capital e investimento, as pequenas empresas dão menos ênfase à segurança e o resultado são os orçamentos restritos que geram ainda mais problemas.

Ainda assim firewalls são comuns na maioria das empresas, mas o conjunto completo de ferramentas de segurança é encontrado apenas na minoria. O uso de antivírus já é prática padrão e atualizações automáticas são procedimento comum na maioria das empresas.

Provar a necessidade de mudar a proteção tecnológica da empresa foi classificado como um problema importante para 38% dos entrevistados. A falta de treinamento e fornecedores são alguns dos obstáculos que os profissionais de segurança enfrentam.

Sopa de letras

Mesmo que mudar atitudes com relação à segurança não seja nada fácil, também é difícil para o profissional de TI saber em que tecnologia investir. Para Maurício Gaudêncio, gerente de novos negócios para segurança da Cisco, “a proliferação de ofertas de produtos é cada vez maior, os profissionais não sabem em quem acreditar”.

Pior ainda é saber o significado da sopa de letras. “Saber a diferença entre um IPS e um firewall é muito difícil”, afirma Gaudêncio. O IPS (Intrusion Prevention System – Sistema de Prevenção a Intrusos) é um conceito que pode mudar dependendo do produto, mas normalmente une um hardware (black box ou caixa preta) e um software. O hardware é instalado na rede da empresa e auxilia na prevenção a ataques de origem externa. A outra sigla da vez em segurança, IDS (Intrusion Detection System – Sistema de Detecção de Intrusos), complementa o IPS atuando na reação às intrusões nos sistemas da empresa. As soluções IDS e IPS são complementadas por pacotes por assinatura para atualização.

Não basta apenas comprar uma caixa preta para ficar tranqüilo com segurança. “O preço do hardware não significa muita coisa, geralmente uma solução é composta de 30% em software e hardware, 20% em logística e 20% em gerenciamento”, afirma Gaudêncio.

A aprovação de leis que forçam as empresas a adotarem providências de segurança como a lei Sarbannes-Oaxley nos EUA, tem guiado as empresas. “Os equipamentos no mercado têm como padrão estar em conformidade com as regras de segurança”, afirma Homero Palheta Michelini, gerente estratégico de soluções em segurança da IBM Brasil.

Estimar o preço da solução de segurança que a empresa precisa e a necessidade de partir para produtos mais apurados é essencial para o profissional de segurança. Apesar da falta de orçamento para essa tecnologia, os problemas, pelo menos no Brasil, só tendem a aumentar.

Como tomar a decisão certa

O vice-presidente mundial da Cisco, Charlie Giancarlo, apresentou algumas dicas para empresas que desejam trilhar novos caminhos em investimentos para segurança no Cisco CIO Summit 2006, em Miami. Em entrevista exclusiva à PC Magazine Brasil, Giancarlo deu dicas mais específicas para pequenas empresas.

Como o sr. vê hoje o panorama da segurança de tecnologia em pequenas e médias empresas?

Falar de pequenas e médias empresas é um pouco complicado pois um número muito grande de companhias se enquadram nessa faixa. Há empresas que realmente podem continuar usando apenas antivírus e firewall. Mas a maioria precisaria sim de soluções mais sofisticadas. Quem utiliza muito e-mail deve procurar ter filtros para a correspondência e VPNs também são um risco. Mas geralmente é aí que a maioria das providências em segurança pára. Muitas pequenas e médias empresas não têm profissionais de segurança dedicados nem o tempo para treiná-los. Elas precisam ter a habilidade de fazer isso.

Delegar sua solução de segurança para um fornecedor de serviços é uma alternativa que deve ser considerada. Fazer a segurança com pelo menos um equipamento de hardware que pode ser gerenciado remotamente e atualizado por assinatura é uma opção.

A segurança nas pequenas e médias empresas deve ser deixada a cargo do usuário?

Idealmente não. Quando eu vou para casa, não espero que corpos estranhos estejam presente na água que eu uso para tomar banho. A responsabilidade pelo saneamento básico é da empresa que gerencia a água da minha cidade. Do mesmo jeito, se sou funcionário de uma companhia, espero que os gerentes de TI desse local cuidem das ameaças para mim. O usuário não quer e não pode se preocupar com a segurança nas empresas, ele já tem seu próprio trabalho para fazer.

O que deve ser mais importante na hora de decidir investir em segurança?

Tomar a decisão de investir deve levar em conta alguns pontos específicos:

1 - Investir em segurança depende do tamanho e da sofisticação da empresa.

2 – É preciso avaliar se a informação é algo valioso ou não para a empresa. Se uma empresa não se importa de ter sua rede afetada e perder dados, provavelmente não verá por que investir em informação. Se acha que tem um sistema de back up infalível e se não há problemas que suas informações sejam roubadas por concorrentes, não tem por que investir em segurança.

3 – Avalie a importância da disponibilidade da rede da empresa. Uma empresa que tem que estar sempre online não pode sofrer ataques DoS e ficar indisponível.

4 – Considere custos. Remediar um problema de segurança irá custar muito mais do que lidar com a prevenção.




Fonte:www.pcmag.com.br




Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/1181/visualizar/