IoT, BYOD, cibercrime, Shadow IT, compliance, atualizações, estrangulamento de redes, nuvem. Em meio à avalanche de demandas e desafios de TI, o CIO – Chief Information Officer assume uma posição estratégica para a proteção dos dados de negócios nas organizações, que estão cada vez mais conectadas.
Hoje, um dos seus principais desafios é gerir a política de segurança de modo a permitir liberdade e produtividade aos negócios – com operações ágeis, custos reduzidos, resultando em crescimento dos rendimentos. Nesse contexto, a tecnologia não pode ser inimiga e, por isso, a mobilidade cresce exponencialmente no cotidiano corporativo.
A urgência desse modelo tem suas vantagens e desvantagens. Desde os serviços em nuvem, o uso da mobilidade permite o acesso aos dados em qualquer lugar e hora. No entanto, em diversas ocasiões, a praticidade cresce em demérito da segurança.
Proteger a informação em perímetros controlados, como redes locais, já é um grande desafio para os especialistas. Agora, garanti-la neste modelo de flexibilidade e acessibilidade é uma tarefa ainda mais complexa.
E nesse cenário cresce também o número de ameaças envolvendo os CIOs. Isso acontece em consequência do perímetro de segurança pelos quais estes executivos são responsáveis diretos, mas frequentemente deixaram de atender com todas as políticas e os ferramentais necessários.
Não importa onde o executivo esteja. Ele quer acesso a seu ERP, acessar seus e-mails, aprovar um trabalho no sistema de colaboração. Esses acessos são feitos em seus dispositivos pessoais (seja notebook, tablet ou smartphone), muitas vezes em hotéis, cafés e, se possível, gratuitamente. Então, quem garante a proteção dos dados?
Esta necessidade é prática. E é o próprio CIO que deve afiançar a resolução. Seus dispositivos estão livres de ataques de malware? Os diversos pontos de conectividade utilizados estão seguros?
Muito investimento vem sendo feito ao longo dos últimos anos, e a urgência de acessibilidade não pode desequilibrar esse cenário. Embora segurança não ande necessariamente lado a lado com facilidade, é necessário alcançar o ponto de equilíbrio para criar um resultado produtivo para a necessidade de cada empresa.
Por outro lado, o monitoramento eficaz dos ambientes de rede e a criação de políticas de segurança é e continuará sendo fundamental. Em especial, porque o fator humano é um gatilho frequente em episódios de contágio ou perda de dados e carece de avaliação permanente.
A conscientização dos funcionários para os temas de proteção de dados precisa fazer parte da cultura da empresa. Como na segurança física, não adianta colocar uma porta de aço e deixá-la aberta. A maioria dos ataques, dos mais simples aos mais avançados, começa com a “ajuda” de um colaborador desavisado.
Mitigar riscos virtuais tem grande semelhança no mundo físico. Afinal, precisamos controlar a entrada e saída em nossas empresas, usar câmeras de monitoramento e manter funcionários bem informados, assim como precisamos controlar tráfego de rede, requisitar identidades, identificar brechas nos sistemas e analisar os comportamentos de usuários que possam comprometer a segurança da informação.
O primeiro passo é planejar uma política de segurança completa. É importante prever o uso de aplicações que bloqueiem acesso a conteúdos impróprios, sites sinalizados como potencialmente perigosos por terem certificados de segurança desatualizados, ou mesmo por hospedar arquivos maliciosos que possam conter vírus e malware.
O controle gerenciado de atualizações também é uma prioridade, o que vem se confirmando com a ocorrência e extensão de ataques recentes, como o WannaCry e o Adylkuzz. Neste sentido, é preciso controlar não apenas o sistema operacional, mas todos os software e hardware em uso pela empresa.
Uma das ferramentas chave do dia-a-dia corporativo, o e-mail deve ser objeto de segurança especial, pois é uma das maiores portas de entrada de malware, com o phishing. Existem criminosos especializados em estudar o comportamento de usuários para aumentar a eficiência de ataques a partir desta técnica. Por isso, uma camada importante na segurança das empresas é o firewall de e-mail.
E, finalmente, quando o CIO pretende promover mobilidade para que todos os colaboradores sejam produtivos em qualquer lugar, o número de dispositivos gerenciados é um fator fundamental. Administrar um ou mil pontos de acesso configura desafios diferentes. Por isso, é importante ter gerencia de todos os dispositivos da empresa, sendo capaz de aplicar configurações de segurança e conformidade como aqueles em uso em perímetros seguros – estejam eles no ambiente de rede ou em condições de mobilidade.
Quando o CIO encontra ferramentas que garantem a segurança integrada e automatizada, com a certeza de que seu negócio está bem protegido, é possível focar esforços em questões de maior relevância estratégica.
* Edison Figueira é diretor de R&D da BLOCKBIT
