|
A responsável pela segurança de informação da Sun oferece conselhos sobre como equilibrar o acesso e o controle
Inner Circle Subscriber Center
Get the content that meets your interests and needs:
Not a member?
|
Manter a rede simultaneamente aberta para aqueles que deseja incluir nela e fechada aos que deseja excluir dela é a árdua tarefa da maioria dos responsáveis pela segurança de informação. E num mundo que exige agora acesso total a comunidades externas, como sites de redes sociais, esta questão torna-se mais premente ainda. Leslie Lambert, responsável pela segurança de informação da Sun, oferece aos leitores do Inner Circle conselhos sobre como proteger a sua empresa através de políticas fortes e a prática de dizer aos funcionários "como" em vez de "não".
P: Qual o papel do responsável pela segurança de informação?
R: Sou responsável pela proteção da informação em forma digital. Isto inclui os ativos de informação da empresa, tais como propriedade intelectual, dados de clientes, sigilos comerciais, código de origem e quaisquer informações confidenciais sobre a nossa rede, os nossos servidores ou o armazenamento. Não sou responsável pela segurança física de sites, que abrange edifícios, crachás e responsáveis de segurança de saguões de entrada.
P: Como você gere o paradoxo de manter a rede aberta aos que deseja que tenham acesso e fechada aos que deseja excluir?
Usamos práticas de "controle de acesso" padronizadas, estabelecidas há muitos anos. Sabemos muito bem quem tem autorização para acessar a rede de área ampla da Sun, sejam eles funcionários ou façam parte de uma grande família de pessoas ou entidades associadas à Sun, tais como empresas contratadas, consultores, fornecedores, parceiros, fabricantes externos, revendedores, etc.. Utilizamos todos os bons métodos antigos de controle de acesso, incluindo gerenciamento de identidade, acesso de gestão, o papel de gestão, e outros.
A nossa cultura empresarial é relativamente aberta, mais parecida a uma universidade do que a um ambiente empresarial, porque usamos e suportamos ativamente tecnologias e redes sociais baseadas na Internet. A Sun é fornecedora de TI para muitas dessas empresas baseadas na Internet, por conseguinte, nós facilitamos não apenas o seu crescimento, mas as suportamos também com nossas ações.
P: Quais são as maiores ameaças de intrusão que existem atualmente?
R: As maiores ameaças continuam sendo várias formas de malware. Antigamente, a criação de vírus, worms e botnets era isolada, limitando-se a indivíduos que trabalhavam a partir de suas garagens. Atualmente existem grandes "indústrias" em certos países do mundo, que se acredita serem muito bem financiadas por grupos de crime organizado e que ganham fortunas com a destruição que semeiam. Se os intrusos conseguirem explorar uma vasta lista de números de cartões de crédito e se a sua taxa de sucesso for alta, terão alcançado um excelente retorno sobre o seu investimento em termos de tempo para criar a infecção. Os botnets podem espalhar-se por uma rede, infectar vários computadores e controlar todo o poder de processamento coletivo desses computadores para fazer o seu trabalho pernicioso. Meu conselho é manter atualizados os seus programas de anti-vírus e anti-spyware, não só na empresa mas também nos sistemas individuais.
P: Qual o aspecto principal que os executivos devem ter em conta ao limitar o acesso às suas empresas?
R: Devem saber quem deve ter acesso e quem não deve. Essa é a regra principal. A segunda regra mais importante é estabelecer mecanismos e processos eficientes para poder implementar controles. Podem-se seguir as estruturas industriais como ISO 27001 ou 27002 ou outras normas de boas práticas no que diz respeito a segurança. Depois, isso precisa ser apoiado com um nível de automação. Fazer as coisas manualmente não funcionará, dada a magnitude e a velocidade com que temos de operar. Os produtos de gerenciamento de identidades e de controle de acesso são essenciais para gerenciar serviços de controle de acesso.
Aconselho o seguinte: se você autorizar o acesso a essas ferramentas, tenha diretrizes claras e documentadas para o seu uso correto e incorreto.
P: O que é mais arriscado para as empresas, deixar os funcionários acessar os sites de redes sociais ou proibi-lo?
R: Tem havido muita preocupação quanto à questão de permitir que os funcionários acessem sites de redes sociais. Esse foi o tema de um debate recente da indústria da segurança em que eu participei. Eu partilhava a visão da Sun quanto a abertura e contato através de redes sociais e fiquei sentada ao lado de um CSO de uma empresa de produção que proíbe totalmente qualquer acesso por parte dos funcionários. Os nossos ambientes são muito diferentes. Mas toda essa questão de redes sociais e de comunicação, colaboração e compartilhamento entre as pessoas é o que estamos fazendo há muitos anos. No passado, usávamos ferramentas com outros nomes, como grupos de discussão, quadros de avisos ou sessões de chat. O aparecimento de sites de acesso fácil, como o Facebook, MySpace ou LinkedIn, é simplesmente uma extensão dessas ferramentas. Ninguém se lembraria de colocar os seus segredos comerciais em um quadro de avisos ou grupo de discussão. Da mesma forma, temos de conscientizar e orientar os funcionários para que se comportem da mesma maneira atualmente, para evitar que divulguem segredos empresariais, dados de clientes ou propriedade intelectual em sites de redes sociais que qualquer um pode acessar.
Proibir o acesso a essas ferramentas, na minha opinião, é uma batalha perdida. Não existe nenhuma forma de impedi-lo, salvo encerrando a rede, desligando a eletricidade e removendo todos os computadores. As pessoas atualmente têm acesso pelos seus telefones e PDAs e usarão a sua criatividade para chegar a essas coisas. Além disso, se, como a Sun, você contrata graduados universitários e pessoas da geração dos millenials, essas são ferramentas e serviços que eles esperam poder acessar. Você precisa disponibilizá-los se deseja continuar sendo uma entidade empregadora relevante e competitiva no campo da tecnologia de informação
Aconselho o seguinte: se você autorizar o acesso a essas ferramentas, tenha diretrizes claras e documentadas para o seu uso correto e incorreto. Na Sun, temos políticas e diretrizes que os funcionários conhecem para que possam usar essas ferramentas da melhor forma em nome da empresa. Cada funcionário é responsável por conhecer e respeitar as políticas. As políticas incluem informações sobre o que acontece no caso em que ocorra uma violação (termo, gerenciamento de desempenho, aplicação da lei, etc.). Presumir que os funcionários não acessarão esses sites é extremamente arriscado na minha opinião, porque você não estará lá pessoalmente com políticas e formação.
P: Você tem alguns bons conselhos quanto a senhas. Quer compartilhar isso?
Você precisa decidir qual o seu gosto pelo risco e criar políticas de segurança correspondentes. Se um parceiro não usa o mesmo rigor nas práticas de segurança, talvez seja melhor reavaliá-lo como parceiro.
R: Você precisa decidir qual o seu gosto pelo risco e criar políticas de segurança correspondentes. Se um parceiro não usa o mesmo rigor nas práticas de segurança, talvez seja melhor reavaliá-lo como parceiro. A verdade é que, se eles se arriscam demasiado em seu próprio nome, isso afetará você. Nós partilhamos as nossas práticas de proteção com os nossos parceiros e pedimos que eles as usem também. Se fazemos negócios contratualmente, pedimos aos parceiros que satisfaçam determinadas diretrizes. Há dois anos atrás, as pessoas poderiam ter encarado este requisito como penoso. Hoje em dia estão muito mais cientes. Sabem que poderão ter de pagar o preço para negociar com certas empresas.
P: Você tem alguns bons conselhos quanto a senhas. Quer compartilhar isso?
Sim. Adivinhar senhas é uma maneira comum de obter acesso a sistemas e as senhas mal escolhidas podem ser descobertas em poucos minutos. Eu aconselharia o seguinte:
- Não use informações pessoais. Não deve usar nenhuma parte do seu nome, endereço, aniversário, nome do cachorro, do gato, de amigos ou da família, números de identificação pessoal ou qualquer informação que seja fácil de obter.
- Nunca use palavras que podem ser encontradas em um dicionário, em qualquer língua. Não combine palavras de dicionário, não use repetições como aaaaaa, nem combinações simples como qwerty, abcde ou 12345.
- Não use substitutos comuns de números por letras para formar palavras. As substituições familiares, como o número 1 pela letra i, o 3 pela letra e ou o 0 pela letra o, são tão comuns que são sempre experimentadas nos ataques para adivinhar a senha.
- Crie uma "pass phrase", que é uma combinação de palavras e caracteres Tome as primeiras letras de cada palavra de uma frase ou expressão favorita (pode ser o título de um livro, canção ou citação) para criar uma cadeia de caracteres que não existe no dicionário, de que você possa se lembrar e usar de novo.
- Adicione diferentes tipos de caracteres. Use letras maiúsculas, numerais ou caracteres especiais para criar um prefixo e um sufixo únicos para a sua "pass phrase". Adicione até ter um comprimento mínimo de 8 caracteres. O comprimento é muito importante.
- Quando criar dicas de senhas, não use respostas fáceis de adivinhar. As senhas mais complexas são muito fáceis de roubar se as suas dicas forem fáceis de adivinhar.
|
