Tipton: Segurança começa com o usuário
Quando endereçamos problemas de tecnologia de segurança de informação, nós descobrimos que a tecnologia é somente parte da solução. A indústria de TI é especialista em fornecer reparos para vulnerabilidades, mas acaba frequentemente criando um problema novo: muitas tecnologias procurando ser a ?solução final?.
A indústria tem nos profissionais de marketing, peritos em identificar problemas e em oferecer soluções. Nós temos um medo saudável dos ataques que exploram nossas vulnerabilidades, por conta disso somos impelidos a procurar soluções rápidas. Dessa forma não esperamos uma solução arquitetural ampla, que poderia ser aplicada no ambiente como um todo.
Mas essa atitude nos conduz a criar sistemas e redes que não são interoperáveis. Quando nenhuma arquitetura comum existe, as organizações devem investir no treinamento extensivo e caro em uma variedade ampla de soluções. A longo prazo, a segurança dos sistemas de informação é prejudicada e o TCO (total cost of ownership - custo total da posse) vai para o espaço.
Pessoas que usam computadores e os profissionais que mantêm redes e sistemas são a raiz do problema, que significa que treinar todos os empregados é uma etapa essencial em controlar um programa da segurança de TI. Usuários que não são treinados para detectar ataques de phishing ou pharming ou spywares, podem abrir portas perigosas aos hackers. Não se pode manter um ambiente seguro quando os profissionais de TI estão sobrecarregados de atualizações e correções dos ambientes, que operam sem um padrão mínimo de configurações de segurança.
Mas não vamos negligenciar o papel da gerência. Considere o que pode acontecer quando os gerentes deixarem o ambiente de TI para os peritos e olharem para isso simplesmente como sobrecarga administrativa. Sem uma equipe preparada e involvida na gerência, seu programa de TI estará constantemente reagindo às catastrofes e aos pesadelos de orámento. Historicamente, o primeiro item cortado pelos administradores durante uma revisão de orçamento é treinamento. Essa prática deve ser revertida. Necessitamos de profissionais treinados agora, mais do que nunca.
Nós iniciamos uma era em que os gerentes e os proprietários de sistemas devem estar cientes que sua falha em reconhecer os riscos envolvidos nos negócios conduzidos eletronicamente, os deixam sujeitos à responsabilização - nas esferas corporativa e pessoal. Diversas ações judiciais que alegam proteção insuficiente de dados pessoais resultaram em condenação ou acordo judicial.
Ameaças da segurança no ambiente de TI vêm crescendo de forma mais sofisticada, e seu número está expandindo exponencialmente. Especialistas de segurança são frequentemente pegos de surpresa. As infecções são sorrateiras, e podemos não estar certos que limpamos completamente um dispositivo sem refazê-lo ? o mesmo acontece freqüentemente com a rede. Os erros dos usuários hoje têm conseqüências significativas.
A próxima vez que você receber uma mensagem de e-mail de seu chefe dizendo para abrir um arquivo anexado com uma extensão perigosa ou para clicar em um link para baixar um white paper, esteja ciente que o endereço de e-mail de seu chefe pôde ter sido falsamento usado.
Conscientização e treinamento de segurança baseado nas necessidades das funções pode ajudar a reduzir seu risco, porém, cedo ou tarde você estará de frente para um grande problema de segurança. Tenha pronto um plano de ação.