março 31, 2008

[Segurança] As frases que deixam os profissionais de segurança apavorados

No ano passado foi publicado um artigo bem divertido e interessante na ComputerWorld, chamado "As 10 frases que deixam profissionais de segurança apavorados", sobre as frases que normalmente ouvimos em várias empresas e, de cara, nos fazem ver que teremos problemas pela frente. Como aquele usuário que aparece com o micro pipocando pop-up de propaganda pornô, mas ele jura que nunca acessou nenhum site "estranho"... (e o pior é que, em alguns casos raros, ele não tinha feito nada aparentemente suspeito mesmo).

As frases que achei mais interessantes neste artigo foram:
  • "A segurança de TI é a segurança da informação": Muito corajoso deles levantarem este tópico... é muitíssimo comum ver a segurança da informação nascer dentro da área de TI, com alguém tomando para si uma preocupação inerente a infra-estrutura de TI, mas poucas empresas tem uma área de segurança isolada de TI, com foco interdepartamental, estratégico e inserida no negócio. A área de TI deve sempre estar comprometida com a segurança, e tem papel muito importante nisso, mas jamais deve ser a única a abraçar a causa.
  • "Isso não se aplica ao chefe": hahahahhaha.... esse realmente é um dos grandes desafios da área de Segurança - fazer com que todos sigam as regras e que as excessões somente sejam válidas mediante uma necessidade válida de negócio, não por causa de uma "carteirada".
  • "Nossos executivos tem cópias de todas as senhas": Realmente, um dos grandes desafios de se implantar uma política de senhas é conscientizar todos os funcionários de que eles não devem compartilhar suas senhas de acesso com seus colegas - muito menos com seus chefes ou, pior ainda, com seus subordinados. Qualquer pessoa, mal intencionada, pode utilizar a credencial de acesso de um colega para cometer fraudes sem ser descoberto. E a pessoa que divulgou sua senha só vai descobrir isso quando for tarde demais.
  • "Ei, de onde veio isso?": por mais que criemos padrões de configuração, controles de acesso e normas de segurança específicas, os usuários "mais espertinhos" adoram encontrar novos sofwares ou ferramentas na Internet e insistem em querer instalá-los nos computadores da empresa. Pode ser um dicionário Alemão-Francês, um software que emula uma calculadora científica ou um toolbar (barra de ferramentas) nova para seu Internet Explorer. A criatividade dos usuários não tem limite. Porém, estes softwares "não homologados" podem trazer transtorno para o usuário e para a empresa, se não forem devidamente licenciados (software pirata é crime !!!) ou se causarem problemas no computador do usuário (e, neste caso, coitado do Help Desk que vai receber um chamado de alguém reclamando de um software que eles não sabem o que é, como funciona e para que serve - e, que a propósito, nem deveria estar lá).

Eles esqueceram de citar duas frases muito comuns, que também assombram os profissionais de segurança há anos...
  • "Para que serve esse servidor?": Não tem nada que me cause maiores arrepios na espinha do que descobrir um servidor em produção que ninguém sabe o que roda, para que serve nem quem é a pessoa ou área responsável por ele. Isto pode acontecer facilmente em empresas grandes, onde um servidor de testes é esquecido para sempre em ambiente de produção (o teste acaba mas esquecem de desligar o equipamento) ou quando a pressão por resultados, com prazos curtos, faz que uma determiada área coloque um serviço no ar mas não tenha tempo para documentar isso e envolver as demais áreas de suporte.
  • "O Firewall está barrando meu acesso": Não importa o que esteja acontecendo: a partir do momento em que as pessoas sabem que existem um tal equipamento mágico chamado "firewall" e que este serve para bloquear os acessos que sejam em desacordo com a política de segurança, qualquer problema ne rede ou nas aplicações passam a ser atribuídos a ele. O Servidor parou? O e-mail está fora do ar? Não consegue acessar um website? A rede está lenta? Mesmo que o tipo de acesso não passe por um equipamento de firewall, o usuário vai questionar o administrador de segurança.

Mas, justiça seja feita: não há como concordar com a frase "A marca X é o nosso padrão" indicada no artigo da ComputerWorld. A padronização do parque de TI, principalmente dos servidores, desktops e notebooks permite uma maior agilidade para a equipe de suporte em TI e a equipe de segurança, que pode contar com procedimentos totalmente padronizados para atender os problemas. Dar suporte um equipamento de TI não é coisa simples. Um parque diversificado, com equipamentos de diversas marcas obriga os profissionais a conhecerem toda a gama de hardwares, serem obrigados a manter e suportar diversas versões e configurações de softwares e terem muito mais transtorno para se manterem atualizados.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.