Os profissionais de TI enxergam ameaças vindas de todas as direções. E o cenário é resultado de uma série de situações convergentes: a entrada dos dispositivos móveis no ambiente corporativo, a corrida em direção ao cloud computing (computação em nuvem), a questão dos dados estarem cada vez mais distribuídos, e uma pressão constante por redução de custos.
Assim, até os mais experientes profissionais do setor de tecnologia da informação vivem em um estado de alerta permanente. “E o que mais tira o sono do CIO é aquilo que ele desconhece”, relata o diretor de segurança estratégica da consultoria de TI Solutionary, Jon Heirmel.
Acompanhe os cinco motivos que tiram o sono dos profissionais de TI:
Paranoia número 1: O data center cair
O centro de processamento de dados é o coração pulsante da empresa. Se ele ficar indisponível, pode levar toda a empresa junto. Para muitos profissionais de TI, manter o data center rodando em tempo integral é motivo para que o gestor de TI fique acordado 24 horas por dia, sete dias por semana.
O que pode dar errado? O elenco é vasto. Vai desde desastres naturais até queda no fornecimento de energia, falta de conectividade, servidores entrando em estado de choque por sobrecarga ou sistemas mal configurados, espionagem eletrônica, sabotagem interna, furtos, roubos e outras ameaças que pairam sobre as empresas.
O atual presidente do conselho da Next Generation Data, operadora de data centers que atende a bancos, operadoras e agências governamentais do Reino Unido, Simon Taylor, conhece esses problemas pessoalmente. Ataques terroristas, ocorridos na década de 90, em locais próximos a dois data centers sob sua administração foram completamente devastadores.
Assim, depois da experiência desastrosa, a Next Generation Data construiu suas instalações em uma pequena cidade da Inglaterra, em uma verdadeira fortaleza indestrutível – localizada estrategicamente fora dos limites da cidade, longe de qualquer rodovia ou rota de aeronaves. O perímetro é todo cercado por arame farpado, por vidros à prova de bombas e de balas e por sensores infravermelho.
Os 75 mil metros quadrados do data center também são cercados por barreiras de concreto resistentes a colisões e o acesso dos funcionários só é permitido depois de um exame biométrico da retina. A segurança do local fica a cargo de ex-combatentes das forças especiais britânicas.
Para evitar incidentes com falta de eletricidade, a instalação está ligada a uma subestação distribuidora de energia e tem acesso a 180 mil kVA, “o suficiente para abastecer uma pequena cidade”, ressalta Taylor. Outro benefício: o local está instalado em uma região de clima predominantemente temperado, o que reduz custos com resfriamento, e não está sujeito à incidência de furacões, terremotos, incêndios de grandes proporções ou outros desastres naturais.
Paranoia número 2: Gadgets infectando a rede
Lembra daquele perímetro super seguro que a TI estabeleceu para defender a rede de potenciais invasores? Então, essas medidas já viraram coisa do passado. Isso graças a novos equipamentos que invadem as corporações, como o iPhone, da Apple.
“Os dispositivos móveis vêm entrando em nossas vidas em ritmo super acelerado” afirma o presidente do conselho e fundador do grupo InfoWarCon - que reúne especialistas em segurança -, Winn Schwartau. “E o profissional TI fica intimidado com o possível número de dispositivos móveis que, possivelmente, estão conectados à rede e sobre os quais não sabem nada. Mais do que isso, provavelmente, esses equipamentos fogem das políticas de segurança internas”, acrescenta.
O problema que nesse caso tira o sono dos CIOs e da sua equipe é que aparelhos contendo dados sensíveis podem ser roubados ou perdidos, além de serem passíveis de infecção por malwares. Com isso, da mesma maneira que ocorre com laptops e netbooks, toda a rede pode ser exposta.
E as opções para minimizar o problema não são muitas. “Banir os dispositivos móveis do local de trabalho? Boa sorte!”, brinca Scott Archibald, umd dos diretores da consultoria Bender Consulting. “Queira ou não, esses equipamentos são uma realidade e fazem parte da nossa vidas pessoal e profissional”, ressalta. Ainda de acordo com ele, a melhor forma de lidar com essa situação é permitir o uso para criar regras sobre o uso desses aparelhoes nas organizações.
Distribuir smartphones para todos os funcionários é uma solução? De acordo com Schwartau, além de não impedir que eles usem os próprios aparelhos sempre que puderem, isso é uma alternativa para lá de custosa. O que pode ser feito é implementar sistemas de gestão do tipo BlackBerry BES que contam com criptografia, túneis de acesso seguro pela internet, filtro de conteúdo, firewalls e opções de formatação de memória remota.
“Nenhum dado deve ser armazenado em dispositivos móveis sem estar seguro”, sugere o CTO da empresa Antenna Software, fornecedora de soluções corporativas móveis, Dan Zeck. “O recurso de login com autenticação redundante é altamente recomendado. Preferencialmente um com time-out programado. Assim, os medos de eventuais furtos ou roubos podem ser mitigados”, acrescenta.
Mas, ainda assim, o risco de vazamento de informações permanece. Funcionários podem, de forma inadvertida, compartilhar dados críticos, usando, por exemplo, redes públicas. “O que me tira o sono são as coisas que acontecem todos os dias sem que percebamos”, analisa o diretor de operações globais da Team Cymru, entidade sem fins lucrativos, voltada à pesquisa da segurança de redes, Rob Thomas.
Paranoia número 3: A chegada da cloud
As nuvens pairam sobre o horizonte e muitos não estão preparados para elas. E se, por um lado, a cloud computing (computação em nuvem) pode reduzir dramaticamente os investimentos em TI e terceirizar funções menos estratégicas, por outro lado, esse modelo oferece riscos únicos. Para o diretor de serviços da tecnológicos de alto risco da auditoria Proviti, Scott Gracyalny, mesmo que o provedor seja altamente seguro, há várias instâncias nas quais podem ocorrer falhas. Um exemplo disso são a alocação de dados e a segregação de informações. Além disso, questões como o suporte, a recuperação e a investigação são áreas bastante sensíveis.
“Às companhias cabe realizar um profundo exame da real demanda por essas soluções e contratar uma avaliação de riscos de uma empresa terceirizada”, recomenda Gracyalny. “Existe um contingente enorme de pontos de contato, em que a interface com todo esse novo universo com que você acaba de se conectar, pode dar errado”.
O vice-presidente de operações da Shavlik Technologies, Rob Juncker, afirma que “operar na nuvem representa uma mudança em todos os aspectos, desde a gestão do software até a autenticação de usuários.” E tudo se resume a um ponto de vulnerabilidade: o browser.
“Capaz de executar praticamente qualquer código que por ventura baixe, os nossos browsers se tornaram plataforma para entrega de aplicativos aos quais os administradores de rede têm de prestar atenção em dobro”, afirma Juncker, que completa: “Será que a publicação incessante de atualizações e correções de segurança de aplicativos como o Internet Explorer, o Firefox e outras interfaces com a internet podem deixar você tranquilo?”
Na perspectiva de Scott Gracyalny, aos profissionais de TI resta pouco a fazer, igual acontece no caso dos dispositivos móveis. “Uma implementação de plataforma na nuvem bem executada pode transformar alguém em herói”, ressalta ele. “Em contrapartida, qualquer migração realizada de maneira menos planejada e executada sem eficiência total, pode acarretar um prejuízo de centenas de milhões de dólares”, completa.
Paranoia número 4: Vazamento de dados
Todo mundo no departamento de TI sabe da necessidade de vigiar os dados contidos nos discos rígidos da empresa. A paranoia maior é referente aos outros lugares de onde podem vazar as informações.
De acordo com um estudo realizado pelo instituto Ponemon, 70% dos vazamentos de informações ocorrem a partir de máquinas não conectadas à rede. Isso não se resume aos PCs, mas inclui flash drives (pendrives), dispositivos móveis, fitas de backup, inclusive as memórias contidas em impressoras e copiadoras antigas.
Um exemplo disso ocorreu em abril, quando a rede de notícias norte-americana CBS reportou a existência de um armazém em Nova Jersey (Estados Unidos), onde mais de 6 mil copiadoras usadas estavam guardadas. Várias delas eram munidas de discos rígidos e neles havia registros médicos, números de seguro social, extratos de pagamento e outras informações de cunho confidencial.
Segundo o CEO da empresa Remtech, especializada na recuperação e na destruição dos equipamentos de TI, Bob Houghton, o perigo se esconde onde as pessoas menos desconfiam.
Até mesmo os departamentos de TI, crentes de terem feito um bom trabalho de remoção de informações dos equipamentos pecam por não verificar se restou algum dado importante ou não nas máquinas. Uma em cada quatro máquinas que chegam à Remtech, ainda contém algum tipo de dado importante residual.
“Acontece que a maioria das pessoas não atenta para esse fato”, diz Houghton. “Elas simplesmente seguem uma rotina sem verificar os resultados. Elas irão dizer que fizeram tudo de acordo com o procedimento, mas o resultado raramente é auditado para averiguar a eficiência. Se você for um gerente de TI, isso deverá mantê-lo acordado”.
Paranoia número 5: Os diretores jamais compreenderão sua importância
O CIO trabalha 40, 50 e até 60 horas por semana; mantém tudo funcionando e – eventualmente – precisa atender a pedidos insólitos. E o que ele leva de tudo isso? Na melhor das hipóteses, continua invisível.
“Boa parte dos profissionais de TI está preocupada com o futuro profissional e aos recursos destinados ao departamento”, informa o consultor em tecnologia da informação, Scott Archibald. E a situação só piora com o fato de que os demais departamentos da organização dificilmente expressam uma opinião positiva sobre o trabalho do CIO e de sua equipe.
A consultora em carreira da empresa Azzarello Group, Patty Azzarello, afirma que os profissionais de TI enfrentam três grandes problemas: os demais executivos não entendem seu trabalho; a tecnologia está sempre na lista de itens que precisam ser cortados; e existe o que Patty classifica como 'amnésia comercial'. Para explicar esse último conceito, a especista cita que quando a TI implementa um projeto que traga resultados para as vendas, os resultados são comemorados por três meses e, após esse período, todos esquecem do que aconteceu.
“Nesse esquecimento também entra o fato de a TI ter de pagar pela manutenção do sistema que proporcionou o crescimento na receita”, pontua Patty.
Mas, em alguns casos, o departamento de TI é responsável por esse esquecimento. Cabe a ele mantra o farol aceso e deixar evidente que trata-se de uma área essencial e indispensável, na visão do CEO da empresa de recrutamento Eliassen Group, Dave MacKeen.
Fonte: Computerworld