Inovação e segurança em uma só direção – Por Rodrigo Santos

Compartilhar

Houve um tempo em que inovação e segurança eram temas distintos, tratados de formas diferentes por equipes diferentes dentro das empresas. De um lado, um time era responsável por inovar, por oferecer à empresa novas formas de se diferenciar no mercado, e isso poderia envolver ou não tecnologia. De outro, havia outro time, responsável por garantir a segurança dos processos e das informações da empresa, e isso também poderia envolver tecnologia, ou não.

Estamos em meio a segunda década do século XXI e estamos assistindo a uma mudança nesse paradigma. As ações de inovação caminham para uma proliferação cada vez maior da TI, tendo a mobilidade e a internet das coisas como plataformas do futuro e como vetores de novos desafios para a segurança.

Acha que não? Só o Brasil tem hoje 82 milhões de internautas com mais de dez anos de idade. Isso representa um contingente enorme de potenciais usuários de equipamentos móveis, aplicativos e de cloud computing. É possível imaginar os impactos que isso deve ter na segurança das empresas.

Quando falamos em corporações, não se discute mais a segurança física – aquela que podia utilizar a tecnologia, ou não – mas a segurança 360 graus, que deve ser uma premissa básica de toda a empresa. O ponto é que isso só se consegue com uma forte parceria entre todas as áreas, de negócios e de TI, o que exige ganhar sinergia em toda a cadeia colaborativa. Só assim será possível levar a segurança para todos os níveis da companhia.

Do lado da TI, além da aproximação com as áreas de negócio, um dos grandes focos da segurança daqui para frente serão os ambientes em nuvem. Se mal administrados, eles podem sim implicar em brechas de segurança da informação, trazendo riscos associados ao compartilhamento de recursos computacionais, sendo isso válido tanto para ambientes de nuvem privados quanto públicos.

Daí a necessidade de se realizar investimentos na proteção e manutenção de isolamento das informações entre clientes, em todas as camadas de infraestrutura, com especial atenção ao processamento e armazenamento de informações. Mais que isso, a forma de olhar a segurança em ambientes de data centers deve obrigatoriamente passar por segurança física, pessoas, plataformas e processos.

Em segurança física, são necessários perímetros bem definidos que delimitem o acesso às instalações, de forma a permitir somente acessos necessários e quando necessários. Todo os controles devem ser auditados regularmente e deve haver monitoração de todos os perímetros em tempo real.

Com relação a pessoas e processos, é preciso treinamentos, políticas e auditorias regulares que direcionem e controlem todas as ações de funcionários, políticas de acessos físicos e lógicos, controles de segurança etc. Cada funcionário deve contar com permissão lógica e física restrita apenas para a execução de suas atividades, e, em casos específicos, pode haver ainda dupla custódia no fornecimento dos acessos, que seriam concedidos de forma temporária e somente com autorização prévia e revogados após o término da execução. Sobre plataformas, as empresas devem contar com todos os elementos de segurança necessários para proteção lógica em todas as camadas.

Isso tudo é necessário porque, quando falamos em computação em nuvem, é preciso adotar padrões para sistemas operacionais, bancos de dados, redes e firewalls, entre outros elementos. Isso faz com que eventuais vulnerabilidades nestes sistemas tragam riscos. Daí a necessidade de contar com soluções que garantam a segurança em todas as camadas, para que estas vulnerabilidades sejam bloqueadas e não possam ser utilizadas para acessos indevidos.

Além disso, outras ameaças estão relacionadas a perda ou vazamento de informações. Este é um aspecto pouco explorado ainda pelos clientes, mas é fundamental a escolha de um provedor que tenha o devido foco não somente no tratamento das informações, mas que também tenha regras rígidas relacionadas a privacidade destas. Só assim processos e estrutura terão a segurança mínima necessária para que a empresa possa inovar e se diferenciar no mercado.

*Rodrigo Santos é head de Computing Services & Solutions (CSS) da T-Systems Brasil.