É cada vez maior o
número de corporações que desenvolvem seus negócios
baseados em novas tecnologias de informação, como
E-Commerce, ERP e CRM. Porém, na mesma proporção,
estão aumentando os custos operacionais para a manutenção
da infra-estrutura de Tecnologia da Informação (TI)
protegida contra vírus, invasões pela Internet e atos
de espionagem e sabotagem, fazendo com que muitos
investimentos não atinjam o retorno esperado. Este
artigo pretende apresentar a importância das soluções
integradas de segurança no ambiente das redes corporativas.
Soluções Integradas
Os investimentos na
área da segurança computacional têm se mostrado um
fator decisivo para a redução dos custos operacionais
e para a garantia da qualidade dos serviços e produtos
nas corporações onde o negócio é fortemente dependente
do desempenho da Tecnologia da Informação (TI).
Falhas na rede de
comunicação, perda de informações por motivos diversos,
disseminação de vírus e roubo de informações pela
Internet, sabotagem, espionagem industrial, entre
outros, são fatores que os profissionais da área de
segurança corporativa precisam observar, definindo
estratégias de atuação e implantando medidas de recuperação
eficazes.
Soluções de segurança
devem ser combinadas para permitir a criação de um
fluxo de informações entre os diversos níveis funcionais,
possibilitando a integração dos recursos computacionais
de forma mais eficiente e segura, o que poderá possibilitar
aumento na produtividade, melhorias da qualidade dos
serviços internos, agilização nas transações e aumento
da competitividade de um modo geral.
Neste contexto, devem
ser escolhidas ferramentas eficazes e sintonizadas
com o negócio, buscando sempre a maximização dos investimentos
na área de TI. Tais ferramentas devem prover condições
que permitam uma abordagem ampla dos problemas e oferecer
soluções que vão desde o planejamento estratégico
até a implantação e gestão dos sistemas computacionais.
As soluções devem
ser eficazes, preferencialmente de baixo custo e de
rápida implantação, abordando as seguintes áreas principais:
Programa de Planejamento
e Gestão em Segurança
Um programa de planejamento
e gestão em segurança deve ser considerado, objetivando
a análise das necessidades da corporação como um todo
(Empresa e profissionais) e utilizando como metodologia
o estudo intensivo das normas e padrões para a integração
do conhecimento relativo aos diferentes segmentos
envolvidos.
Um dos objetivos do
programa é desenvolver junto aos profissionais envolvidos
habilidades em planejamento, implantação, análise
e gestão da segurança, para que estes possam identificar
e solucionar os problemas relacionados com a infra-estrutura
de TI, bem como a inserção de questões tecnológicas
e administrativas de segurança no processo de tomada
de decisões estratégicas da corporação.
Outro objetivo do
programa deve ser o de garantir um compromisso permanente
com soluções de custo acessível e alta qualidade,
sempre focando a melhoria da competitividade através
da redução de riscos de invasão, roubos e perdas de
informação, redução de custos operacionais, aumento
de eficiência dos procedimentos internos e otimização
da infra-estrutura computacional e de comunicação
de dados.
Plano Diretor de
Segurança Corporativa
A definição de um
Plano Diretor de Segurança Corporativa - PDSC - (Enterprise
Security Planning) é essencial para a integração do
esforço de proteção da infra-estrutura de TI no âmbito
gerencial e financeiro da corporação. Ele resume todas
as decisões tecnológicas, administrativas e operacionais,
representadas através da descrição de políticas de
segurança, análise de riscos e vulnerabilidades, investimentos,
definição de prazos e objetivos, considerando os diferentes
cenários tecnológicos e comerciais.
Um Plano Diretor de
Segurança Corporativa deve incluir os seguintes elementos
principais:
- Plano de Investimentos
em Segurança;
- Política de Segurança;
- Arquitetura do
Sistema de Segurança;
- Organização do
Conselho de Segurança;
- Catálogo de Procedimentos;
- Manual de Segurança
Corporativa;
- Plano de Reação
a Incidentes de Segurança;
- Plano de Capacitação
de Segurança;
- Plano de Auditoria
de Segurança
Pode-se concluir,
portanto, que o PDSC é o ponto de partida para a aprovação
do Programa em Segurança e uma referência para todas
as ações que interferem na segurança na organização.
Planejamento e Visão
de Conjunto
Planejamento e visão
de conjunto são imprescindíveis para se atingir o
sucesso quando a solução envolve segurança, pois possibilitam
uma abordagem ampla das questões de segurança corporativa
e a integração das soluções propostas em ambientes
computacionais heterogêneos, envolvendo redes, protocolos
de comunicação, gerenciadores de banco de dados e
desenvolvimento de soluções de middleware.
Um programa de segurança
deve apresentar uma abordagem ampla das questões,
envolvendo planejamento estratégico, análise e gestão
da segurança no ambiente corporativo e também focar
a aplicação efetiva das tecnologias de controle, visando
desenvolver a capacidade dos profissionais para atuarem
como especialistas na aplicação dos recursos tecnológicos
disponíveis para suas redes de comunicação. É importante
ressaltar que estes profissionais devem estar aptos
para proceder a uma análise crítica do ambiente corporativo,
propondo alternativas factíveis que reduzam efetivamente
os riscos operacionais e seus custos associados, melhorando
desta forma a competitividade e a qualidade dos produtos
e serviços nas corporações.
Conclusão
Uma solução eficiente
em segurança corporativa envolve conhecimento do negócio
do cliente, tecnologia e, principalmente, conscientização
e capacitação dos profissionais. O mais importante
é que se reconheça a importância do elemento humano
nos ambientes computacionais, uma vez que o ser humano
é invariavelmente o elo mais fraco da cadeia de segurança
e sobre ele devem recair os principais cuidados durante
as fases de especificação, implantação e gestão de
sistemas de segurança. Tal cuidado poderá possibilitar
o desenvolvimento de uma cultura de prevenção sistemática
dos problemas, valorização dos princípios éticos e
de responsabilidade no trabalho, além da própria disseminação
da importância do conhecimento sobre o tema segurança.