Marcelo Duarte
No futebol, os times são escalados de acordo com a estrutura do clube e a linha de pensamento de seus dirigentes, incluindo o técnico e seus auxiliares. O mesmo se passa nas empresas em relação à Segurança da Informação.
Todos gostaríamos de contar com o talento de um craque. Mas será que temos a estrutura necessária para fazê–lo render bem? Todos gostaríamos de usar os melhores produtos e práticas de mercado. Mas será que temos condições? Principalmente, será que precisamos?
Dizem que no Brasil existem 180 milhões de técnicos de futebol. Imaginem quantos times diferentes poderiam ser escalados com os excelentes profissionais que temos à disposição. Porém, antes de começar a escalar seu time dos sonhos, tenha bem claro suas limitações e intenções, para escalar o time que vai torná–lo campeão.
Qual a diferença entre um time campeão e o último colocado de um campeonato? Apenas os jogadores? Geralmente, não. Método de treinamento, estrutura do clube, treinador, trabalho nas divisões de base, equipe de auxiliares e dirigentes. Esses são alguns dos vários “ingredientes” para que um time se torne campeão.
Para escalarmos nosso time de segurança não podemos fazer diferente. Além dos produtos e tecnologias, não devemos esquecer as metodologias, treinamentos, equipe, procedimentos operacionais e todos os fatores necessários à Gestão da Segurança da Informação.
A minha escalação. Na defesa, para não tomarmos gols, ou seja, para não sermos invadidos ou sofrermos com algum incidente de segurança, escalei:
– Como goleiro, a retaguarda de segurança da sua empresa: se passar pela defesa é quem deve se esforçar para que o time adversário não atinja seu objetivo. Um bom goleiro dá uma segurança maior à equipe.
Na defesa, dois produtos que já viraram commodity: firewall e antivírus. Ah, não se esqueça dos reservas. Se não gostar desses jogadores, escale outros.
– Como líbero, escalo o Sistema de Detecção de Intrusos (IDS). Responsável por tentar se adiantar à jogada, agindo antes dos atacantes chegarem à área adversária. Muitas vezes também pode sair jogando/direcionando os demais jogadores.
– No meio de campo, para organizar a equipe e criar as jogadas de ataque, escalei: planejamento e estruturação da “área” de segurança; uso de metodologias, políticas, adequação às leis e melhores práticas do mercado; análise e gestão dos riscos inerentes ao negócio da empresa; sistema de gerência, monitoramento e auditoria de logs para ajudar na prevenção, detecção e planejamento das ações.
– No ataque, para garantir o maior retorno e visibilidade para a Gestão da Segurança da Informações, não pode faltar:conscientização da empresa; capacitação da equipe.
Seja você um profissional de segurança ou não, provavelmente sua escalação será diferente da minha, tamanhas são as opções disponíveis no mercado. Apenas para listar alguns tópicos, temos:
Software anti–spam e anti–trojan
Sistema de monitoramento de email
Teste de Invasão
Plano de continuidade de negócios
Serviço de monitoramento de sites
Software de filtro de conteúdo de email e web
Terceirização de segurança
Certificação digital
Segurança no desenvolvimento de aplicações
SLA com fornecedores de segurança
Ferramentas de análise de vulnerabilidades
VPN, Backup, Controle de acesso, Autenticação, …
Software livre
Assim como a discussão sobre software livre e software proprietário, sinta–se à vontade para escolher o que for melhor para sua empresa. Se possível, e apesar de também ser uma fonte de muitas discussões, faça uma análise do retorno sobre o investimento (ROI) em segurança e direcione suas ações para garantir o maior nível de confidencialidade, disponibilidade e integridade de suas informações.
Em alguns times, um único jogador bate escanteio, corre para cabecear e, ainda, volta para defender. Isso, claro, depende do tamanho e estrutura do time (empresa), importância do campeonato, entre vários outros aspectos.
Se você quer participar da primeira divisão do campeonato, não descuide da segurança da sua empresa. Faça parte de um time campeão. [Webinsider]
