October 20, 2005 – 11:16 am
Uau, uma notícia sobre opiniões vindas do Gartner que vale a pena comentar (comentários intercalados):
Gartner: segurança se faz com melhores processos
Quinta-feira, 20 outubro de 2005 - 08:31
COMPUTERWORLD
O conceito de que uma empresa só poderá reforçar a segurança de suas operações com investimentos vultosos não é necessariamente verdadeiro. Pelo menos, na visão do Gartner.
Augusto: Depende do estágio de segurança da empresa. Uma empresa com uma organização de segurança atrasada vai ter que fazer investimentos “vultuosos” se quiser resolver o problema em curto prazo. Empresas que negligenciaram o assunto por muito tempo e que agora estão sendo pressionadas por clientes e orgãos reguladores são um bom exemplo.
Analistas do instituto explicaram nesta quarta-feira (19/10) durante do Gartner Symposium ITxpo, realizado nos EUA, que quando tecnologias, forças organizacionais e mercados múltiplos se combinam, o custo total da segurança da informação pode ser reduzido.
Até 2010, quando tais elementos continuarão a trabalhar juntos, apenas uma em dez ameaças de segurança necessitará da aplicação de uma tática específica ou solução pontual para ser dizimada. O resultado é bem inferior ao verificado em 2005, quando oito em cada dez ameaças exigem essas soluções.
Augusto: Produtos mais robustos e tecnologias agregadas (como vem acontecendo com as funcionalidades de segurança em equipamentos de conectividade e com os produtos da Microsoft) com certeza farão com que caixinhas mágicas para cada tipo de ameaça não sejam mais necessárias. Alias, algum dia elas foram? Ou era só p/ matar a ansiedade dos desesperados?
A consolidação e a convergência de funções em plataformas de segurança terão um grande efeito em termos de redução de custos totais ao longo do tempo. No entanto, a tecnologia é apenas uma parte da história. Coletivamente, a melhoria dos processos e a disciplina de organização da TI ocuparão a segunda colocação em reduzir custos e aumentar a segurança das empresas.
“À medida em que as ameaças de segurança e as tecnologias para lidar com elas amadureçam, tais atividades deverão se tornar parte da organização de TI de uma companhia. A organização da segurança da informação deve ser focada nas novas ameaças e nas tecnologias”, aponta John Pescatore, vice-presidente e analista do Gartner.
Já na avaliação de Neil MacDonald, também integrante da organização, as empresas devem focar nos processos e não nos produtos, a fim de tornarem-se mais seguras e gastar menos. Entre os principais processos que devem garantir o sucesso da segurança de uma companhia estão: controle de acesso a redes, prevenção de ataques e gerenciamento de vulnerabilidades e interfaces.
Augusto: Aqui está a parte interessante. Para quem vêm trabalhando com CMM, Sarbanes-Oxley, ITIL ou outras metodologias/regulamentações/frameworks/modelos da moda sabe que implementar processos não é algo barato. Pode (e provavelmente vai) trazer benefícios (ROI??) no futuro, mas implementá-los é caro e pode exigir aumento de headcount e aquisição de ferramentas que os suportem. Logo, devagar com o andor, ou vai ter muito executivo negando investimentos em segurança pois, afinal, “basta criar processos”. Eu já vi uma empresa fazer isso, e o nível de segurança dela hoje, comparando com o de 3 anos atrás, é praticamente o mesmo (ruim).
