Os profissionais de segurança somos por natureza conservadores. Atuamos em uma área na qual inovações trazem, líquido e certo, novas vulnerabilidades que podem afetar todo um trabalho de segurança e prevenção. No entanto essa mesma área, TI, é a mais dinâmica e inovadora de todas. O conflito é óbvio, assim como as pressões sobre a área de segurança também. No fundo todos gostariamos que redes sociais, comunicação instantânea, computação em nuvem, virtualização, web 2.0 e wireless estivessem bem longe de nossas empresas. Mas não, muito pelo contrário, e precisamos manter os negócios seguros e as informações protegidas, apesar delas.
Citei algo que não é novidade, wireless, de propósito. As redes wireless davam uma enorme dor de cabeça há alguns anos atrás em termos de segurança, e não raro sua utilização era negada. No entanto, mesmo sem evoluir muito em termos de tecnologia de proteção, passou a ser adotada e hoje o seu uso é comum. A imprensa falava o tempo todo das vulnerabilidades e riscos, mas hoje o assunto é outro, e não se comenta mais nada. O que ocorreu? Achou-se um ponto de equilibrio ou a área de segurança abriu a guarda? Ouso dizer que os dois, e as empresas nas quais se abriu a guarda estão hoje vulneráveis a invasões.
Na minha opinião as áreas de segurança não devem se opor às inovações, sob o risco de serem atropeladas por elas, mas tampouco devem permitir que sejam adotadas sem um estudo criterioso e medidas preventivas. Conheci uma empresa de grande porte que trabalha muito bem esse equilibrio. Nela há politicas muito claras para a utilização de cada ferramenta, mas nenhuma tecnologia é proibida, até pelo contrário, novas ferramentas como redes sociais são até estimuladas, porém de uma determinada maneira. Todos os anos cada funcionário assina (digitalmente) um termo dizendo que segue as políticas, e cada gerente assina outro termo dizendo que seus funcionários realmente as seguem. Nas auditorias ele será coresponsável pelos desleixos de sua equipe. Ao mesmo tempo um software instalado em cada PC fiscaliza o mínimo recomendado para configuração do Windows e personal firewall. Há regras específicas para conectar equipamentos à rede cabeada, e controles para o acesso à rede sem fio. Aqueles que querem conectar outros equipamentos ou necessitam de tipos de acesso não previstos recebem um tratamento especial. Podem até instalar um pequeno segmento de rede, porém sem conexão à rede corporativa. Há claro um custo para isto, em pessoal e software, e a autorização para acessos ou conexões pode demorar. Por outro lado a área responsável pelas políticas é dinâmica e ágil em acompanhar as tendências.
Essa necessidade de achar um ponto de equilibrio só tende a crescer. Há especialmente duas ondas que estão vindo. Nenhuma é nova, mas as ondas virão com mais força a partir de 2010. Uma é a da virtualização e consolidação de datacenters. É um fato que o modelo de servidores e redes mudou. E quem não virtualizar acabará migrando para estruturas compartilhadas de computação em nuvem. O oposto da virtualização é a segmentação física de rede e serviços. Para que fique claro, segmentar será sempre mais seguro que virtualizar. Diferentes equipamentos permitem um nível de segurança maior que um equipamentos com múltiplas instâncias. Mas há dois fatores que estão contribuindo para a adoção da consolidação/virtualização: (1) Os produtos de consolidação e virtualização evoluiram e fornecem um nível de segurança muito próximo ao dos equipamentos individualizados; e (2) Consolidar/virtualizar reduz custos, o que hoje é uma necessidade. Não é um cenário aceitável para um executivo que os servidores cada vez mais se concentrem enquanto os de segurança continuam individualizados. No exterior até que cunhou um termo para isso: "appliance sprawl", ou proliferação de appliances. Então temos que seguir a onda. Primeiro protegendo a informação onde ela está. Se está virtualizada, então que se proteja os servidores virtuais. Segundo, virtualizando e consolidando também a segurança. A diferença se dará em como será realizado essas duas tarefas.
A outra onda, e essa é mais preocupante, é o fenômeno das redes sociais e comunicação instantânea nas empresas. A comunicação instantânea preocupa mais porque já é um problema real. Colaboradores de empresas já usam infraestruturas públicas, portanto fora do controle de suas empresas e sem garantias explícitas de segurança, para realizar negócios. Não raro trocam informações confidenciais de negócios. Mas já existem software e serviços privados. Adotá-los ou não é uma questão de análise de custos. O ideal é que a empresa adote um serviço privado. Se não quiser, ou não puder, que instrua seus funcionários a como utilizar serviços públicos da melhor maneira.
Já as redes sociais nas empresas ainda é uma tendência. Por um lado as redes sociais podem ser um grande instrumento para melhorar produtividade e compartilhar informação, e até fazer negócios. Imagine o sujeito que diz em seu perfil que está trabalhando, digamos, com o software tal; e um de seus contatos está justamente procurando empresas com aquela experiência. Mas, pelo outro lado, o Twitter foi invadido no ano passado por conta de informações de um funcionário pesquisadas em redes sociais. Os hackers estão se aproveitando do fato que a confiança é algo implícito nas redes sociais. Estamos lá para compartilhar e acessar o que é compartilhado. É uma pena que a Internet é feito por pessoas, que são as mesmas fora e dentro da rede, e que esta é um ótimo refúgio para hackers, criminosos ou não. Nesse cenário, em que o campo de batalha é transferido ao computador pessoal, torna-se cada vez mais importante o treinamento de conscientização de funcionários e colaboradores. Afinal a decisão acaba mesmo sendo deles.
