Por Cláudio Braghini*

Frequentemente nos encontramos sob pressão para que aumentemos a segurança de nossa infraestrutura computacional. Mas o que é aumentar a segurança? Estamos inseguros? Isso é apenas um sentimento ou já é realidade?

Afinal, você pode se sentir seguro, mas, ao mesmo tempo, estar correndo riscos desconhecidos, que fazem com que, na realidade, esteja inseguro. Ou pode estar assustado, com sentimento de insegurança, mas não correndo riscos importantes.

A solução está em aplicar uma política de segurança, o que pressupõe um gerenciamento dos riscos. Essa política deve ser ajustada à realidade da sua organização.

Os riscos de cada organização, bem como o tipo de infraestrutura ou o tipo de informação, são diferentes de empresa para empresa. A política de segurança contém um pacote de providências computacionais e humanas, montadas levando-se em conta a característica do negócio, diretrizes estratégicas da organização, metas e cultura corporativa. Todo colaborador e usuário dessa infraestrutura deve conhecer esse conjunto para desempenhar bem suas atividades correndo somente riscos previamente calculados.

A aplicação de uma política de segurança nos remete a uma troca, seja por dinheiro, conveniência, liberdade ou outra coisa. Tudo isso passa pelos riscos que queremos mitigar e pela agilidade que queremos manter em áreas estratégicas de nosso negócio.

Isso não é suficiente. Precisamos também por tudo isso a prova. É a hora de verificar se nosso gerenciamento de riscos leva em conta a realidade – e não somente nosso sentimento. Para isso, são necessários testes frequentes, seja de situações do comportamento humano ou de vulnerabilidade de nosso ambiente.

As ameaças podem se tornar realidade através de falhas de segurança ou vulnerabilidades, que, na medida do possível, precisam ser identificadas e corrigidas. É importante também que sejam feitos frequentes testes de invasão.

Um teste de invasão deve ser realizado por hackers éticos, simulando ataques externos e/ou internos à infraestrutura, com o objetivo de explorar qualquer vulnerabilidade adicional que possa comprometer a disponibilidade, confidencialidade ou integridade de computadores, serviços e/ou informações.

O CIO consciente se preocupa com tudo isso. Estamos vivendo um momento que, aliadas à negligência e fraudes conhecidas, estão situações como ameaças políticas e terrorismo, que potencializam os riscos citados. Nunca houve tantas ferramentas nas mãos de pessoas que podem ter os mais variados motivos para sobrepor a segurança da sua organização.

Fica a pergunta: você está preparado?

Cláudio Braghini é especialista em tecnologia e processos de negócios, diretor de Relacionamentos e Negócios na Ertech Systems e diretor de Operações na InfoA2 Evolution

* Publicado originalmente no site Dino