Gerenciamento de Riscos: comece agora e da forma correta
Os astrofísicos e os profissionais de segurança da informação têm algo em comum: Os universos que eles monitoram estão se expandindo em um ritmo inexorável e voltar no tempo nãoé uma opção.

Estamos sendo bombardeados com demandas concorrentes relacionadas à adequação, à regulamentação e à
próxima novidade na área desegurança, enquanto os problemas que combatemos estão causando um impacto maior. Nossos adversários passaram de hackers que invadiam computadores como um passatempo a criminosos organizados; as leis relativas à divulgação e à privacidade de informações continuam ultrapassadas; estão aumentando os custos para uma companhia se recuperar depois de ser atacada. A estratégia reativa aplicada à segurança das informações tem se mostrado ineficiente. Os interesses envolvidos são cada vez maiores em todos os segmentos e este é, claramente, o momento para se realizar uma importante mudança.

Não é preciso ser nenhum cientista especializado para perceber isso:em um mundo com escassez de recursos, a priorização é um componente fundamental para se estabelecer uma agenda de segurança para a TI. Defina quais são os sistemas e os conjuntos de dados mais importantes das organizações e avalie os riscos associados ao ativo.

Identifique quais riscos são aceitáveis, quais deles podem se rreduzido se transferidos. Desenvolva um plano e design e os recursos apropriadamente. Não é fácil e nem existe processo, tecnologia ou abordagem referente à segurança que seja único. Mas, depois de analisar sucessos e fracassos e de conversar com líderes da indústria, nota-se que uma tendência se destaca: as organizações estão mudando daquele sistema binário, antiquado de pensar na segurança da informação considerando apenas aspectos como sim/não, bom/mau, e passando a utilizar uma abordagem pragmática de avaliar os riscos.

É necessário assegurar que uma abordagem de gerenciamento de riscos está integrada em todos os processos, que permanece diligente sobre a seleção de projetos e vai além de apenas "apagar os incêndios". Todos nós estamos saturados de jargões. "Adequação" e "gerenciamento de riscos" parecem ser obrigatórios em todos os posicionamentos relativos a produtos de segurança, e o termo "governança" não fica muito atrás. É questionável especificar quantos produtos realmente acrescentam aspectos como governança, gerenciamento de riscos e adequação como uma filosofia, mas estes dois últimos são absolutamente relevantes.

Desse modo, qual é o fator capaz de unificar? A maturidade. Manter o princípio do gerenciamento de riscos e gerenciar os riscos ativamente não são a mesma coisa. As áreas de gerenciamento de riscos variam em seu grau de maturidade. Contudo, independentemente da profundidade e da base de seu entendimento ou da probabilidade de que você adote uma estrutura formal de gerenciamento de riscos no ambiente de TI, alguns conceitos e ajustes necessários são vitais.

Para o siniciantes,é importante saber quando comunicar um risco,afim de entender o público e o enfoque."Aprendi o modo difícil que resulta no desperdício de esforços direcionados aos aspectos de risco quando percebi que desenvolver projetos de TI em uma companhia que não tem métodos de segurança é uma iniciativa ruim", declara Mike Murray, da área indústria de serviços financeiros.

A terminologia é importante e, historicamente, a TI não tem realizado o melhor trabalho possível nesse setor. Por exemplo, para a TI, a palavra "ativo" pode significar qualquer coisa, desde um item físico (como um drive de USB), um sistema (de registro de pedidos) até conjuntos de dados. Preencher essa lacuna é fundamental para que se tenha discussões produtivas sobre riscos. As equipes progressivas de TI e de segurança têm realizado esses mapeamentos e - provavelmente, tão importante - comunicado as suas correlações.

Os termos "vulnerabilidade" e "ameaça" também são muito importantes para o processo e, freqüentemente, são confundidos. Utilizando uma definição imprecisa, a vulnerabilidade é um estado ou defeito de um ativo, que pode ser explorada para criar perdas ou danos;já aameaça é uma entidade ou ação que pode causar perdas ou danos.

O que pode acontecer
Identificar ativos, vulnerabilidades e ameaças nos leva ao infame estágio da probabilidade. Infelizmente, esta é outra área na qual o gerenciamento de riscos de TI precisa de aperfeiçoamento. Deixando de lado os princípios básicos do gerenciamento de riscos, eis em que aspecto reside o verdadeiro avanço: aprender a deixar mais "a situação caminhar por si só". Quando se conversa com os tradicionalistas do setor de segurança da informação, o pensamento que vem à mente depois de "risco identificado", geralmente, é "mitigar", sendo que o conceito de "transferência de riscos" raramente é considerado e que a "aceitação de riscos" é freqüentemente muito contestada. A aceitação, por outro lado, é algo que certamente compreendemos e efetuamos freqüentemente, embora, geralmente, apenas nas áreas consideradas como sendo de baixo risco. Mas será que a aceitação deveria ocorrer com maior freqüência? Aceitamos riscos suficientemente e nas áreas certas?

Colocadas no contexto das iniciativas táticas de segurança, será que as falhas na prevenção de worms e vírus são mais importantes do que a necessidade de criptografar informações pessoalmente identificáveis? Se considerarmos a opção entre proteger tudo inadequadamente e proteger efetivamente uma parte dos ativos, o que a TI deveria escolher? A história sugere que preferimos a primeira opção; mas a segunda alternativa pode resultar no melhor caminho a seguir.

Sem um método efetivo para avaliar e comunicar os riscos, não podemos esperar obter uma conversa eficaz sobre esse assunto; muito menos, tomar decisões bem orientadas. Conseguir compreender os termos referentes aos riscos, utilizando-os de modo consistente para comunicá-los, desenvolvendo um processo formal para identificar e quantificar os riscos e relaciona resses riscos a ativos em termos que façam sentido para os profissionais corporativos e também para os de TI dará às equipes de TI melhor oportunidadede priorizar, de modo que atenda às necessidades de todos os níveis da organização.

Fique atento
Quando se trata de iniciativas de segurança, o mantra "Seja pró-ativo, não reativo!" já vem sendo disseminado
há algum tempo. Infelizmente, se percebe que muitas organizações continuam a definir suas prioridades com
base nos incidentes que já ocorreram.

Reagir aos eventos do mundo real não é uma má idéia, nem tampouco o envolvimento corporativo - na verdade, isso deveria ser encorajado. Mas tome cuidado para não permitir que sua agenda de segurança seja definida pela tirania do medo resultante de algum incidente. Dois riscos notáveis estão em desequilíbrio entre as iniciativas táticas e estratégicas e o problema de estar consistentemente alguns passos atrás das crescentes ameaças.

Como fazer para romper com esse ciclo? Integrar mais abordagens centradas no gerenciamento de para a ti, a palavra "ativo" pode significar qualquer coisa. preencher esta lacuna é fundamental para se ter discussões produtivas sobre riscos certamente pode ajudar a evitar situações problemáticas e propiciar um processo mais racional, metódico e defensível para a tomada de decisões. Outra ferramenta consiste em assegurar que existe um plano para equilibrar todos os exercícios táticos de resolução de problemas com seu equivalente estratégico. Por exemplo, as principais vulnerabilidades de sistemas operacionais e de serviços - que freqüentemente são a causa-raiz dos worms, dos danos causados e do ocasional roubo direcionado a dados - podem ser resolvidaspelomodernoprocessodegerenciamentode vulnerabilidade, embora as questões sobre segurança de aplicativos sejam bem menos compreendidas.

Muitas organizações começaram suas iniciativas de segurança de aplicativos somente nos últimos 12 a 24 meses, e a maioria delas ainda está em sua "infância". Os esforços típicos incluem o uso de scanners de aplicativos na web; testes de penetração de aplicativos, análises de código realizadas por companhias de consultoria especializadas; e investimentos em tecnologias paliativas. Embora essas iniciativas sejam etapas na direção certa, sem seus equivalentes estratégicos, as equipes de segurança continuam a tratar os sintomas, enquanto ignoram sua causa.

Decisões sobre tecnologia
A tecnologia certamente desempenha um papel central na segurança da TI, mas, infelizmente, a comunidade tem se sentido um pouco perdida nesse processo. Pensando no passado, é difícil acreditar que "nossas cabeças não estão enfiadas na areia" em muitos níveis, quando de trata de escolher uma tecnologia. Em uma breve recapitulação, podemos nos lembrar que nos primeiros dias do uso dos mainframes, colocávamos muita fé nos nomes de usuários e nas senhas, como mecanismos adequados de controle de acesso. De um modo bem estranho, fizemos as mesmas suposições quando as redes de IPX e IP, assim como a computação cliente-servidor conquistou seu espaço.

Todos nós aprendemos algumas lições difíceis - incluindo que os nomes de usuários e as senhas não podiam nos livrar de todos os perigos. Isto levou à adoção das firewalls como o novo protetor do controle de acesso. Mais uma vez, colocamos nossa fé em uma tecnologia e, novamente, ficamos decepcionados. Dedicamos algum tempo negando as vulnerabilidades dos sistemas operacionais. As equipes corporativas e os fabricantes de produtos no segmento de TI ignoraram o que era óbvio, até que worms, spyware e a exploração do núcleo (stock) de sistemas operacionais tornaram a situação inevitável. Foram realizados enormes investimentos em detecção de vulnerabilidade e gerenciamento de correções.

A jornada continua. Investimos centenas de milhões de dólares em sistemas de detecção de intrusão, sem termos um verdadeiro entendimento de sua efetividade relativa e de seu custo total de propriedade. A "mania" pelos IDS (internal data services ou serviços internos de dados) levou a fazer reinvestimentos em sistemas de prevenção contra intrusão que, mesmo hoje, estão apenas parcialmente habilitados, e a infra-estrutura de chave pública (PKI, na sigla em inglês) ainda não é bem-vinda em muitos círculos de TI. Não faltam decepções em outros setores de produtos. Os desenvolvimentos das suítes de protocolo de internet (IPSs, na sigla em inglês) com base em hosts foram muito difíceis. Todos parecem frustrados com a falta de inovaçãodosantivírus.Os gerenciadores de informações sobre eventos de segurança estão evoluindo, mas são caros, e os produtos de IPS e as "soluções de segurança de extremidade" raramente duram por muito tempo.

Mas devemos generalizar e declarar que todas as tecnologias de segurança são ruins? Não, e como comunidade, aprendemos com nossos erros: os nomes de usuários e as senhas ainda são utilizados, mas somente quando alguém depende deles como um mecanismo exclusivamente de controle. Atualmente, os processos de correção/atualização são integrados em todos os sistemas operacionais e, mesmo ignorando todo o interesse no controle de acesso a redes, os dispositivos de operações no núcleo (stock) das redes estão cada vez mais capacitadas a oferecer segurança. E a segurança no processo de garantia de qualidade de software comercial está sendo aprimorado, apenas por alguns fabricantes selecionados.

Devemos continuar a aprender com os erros e adotar estratégias inovadoras. Para os principiantes, é preciso estar atento à consolidação dos conjuntos de produtos. À medida que a funcionalidade da segurança se torna um fator de diferenciação para os principais produtos de TI, é preciso continuar a fazer a seguinte pergunta: "Isto é um produto ou um recurso?". Considere a completa criptografia de discos (FDE, na sigla em inglês). Com um assustador número de divulgações de dados, resultantes de laptops perdidos ou roubados, não é surpresa que as iniciativas de FDE estejam em plena atividade. Embora a maioria das organizações tenha investido em suítes de FDE independentes, estão começando a surgir opções em importantes produtos de TI.

Olhe para o futuro
A tecnologia e os produtos sempre representarão seu papel na segurança, mas a maioria das iniciativas se beneficiará de uma abordagem mais equilibrada. Será que a "mania" pela central de acesso a redes (NAC, na sigla em inglês) terá prioridade em relação à tarefa menos atrativa de assegurar que toda a mídia de backup está criptografada? As iniciativas que irão implementar a detecção de anomalias de comportamento de redes terão melhores resultados na redução do perfil de riscos da organização do que, digamos, a garantia de que os processos de abastecer e desabastecer os usuários são estritamente sólidos? A formulação de uma estratégia proteção de dispositivos móveis poderá ter um melhor uso de seu tempo do que tentar detectar as fontes de eventos gerados por IDS e IPS?

Não existe nada de errado com nenhuma dessas tecnologias, mas se você não fizer essas perguntas poderá cair em armadilhas que já surpreenderam profissionais de TI. Pensando no futuro, todas as organizações devem adotar processos mais formais de gerenciamento de riscos. Na verdade, o papel de um diretor de gerenciamento de riscos (CRO, na sigla em inglês) já está se definindo nas organizações mais conscientes desse problema. Uma coisa é certa: os profissionais de TI irão evoluir para se tornar melhores gerenciadores de riscos ou outros profissionais irão avançar e realizar essa função.

* Greg Shipley é diretor de tecnologia na Neohapsis e também colaborador da InformationWeek / EUA.

Texto extraído da InformationWeek Brasil