Nunca foi tarefa fácil predizer o futuro. E olha que muita gente já tentou. Imagina então como deve ser difícil tentar predizer o futuro da Tecnologia da Informação, ou correlatos – como é o caso da Segurança da Informação. Na edição de dezembro de 2003, a revista CIO, publicação internacional direcionada aos CIOs, tratava de como será a TI em 10 anos. Será surpresa que a Segurança da Informação tem papel preponderante no cenário tecnológico, servindo como base aos maiores desafios do executivo de tecnologia ao longo deste decênio?
Nem vamos tão longe. Miremos nossas lunetas para 2004. O que vem pela frente, quando o assunto é Segurança da Informação, são mais que meros modismos passageiros. Para este ano surgirão diversos novos desafios, diversas novas ameaças e inúmeras oportunidades através da tecnologia. Oportunidades sugerem novos riscos, que deverão ser estudados com cuidado pelo Security Officer em sua análise de risco. Colaborando com o exercício de antever o que pode acontecer no decorrer deste ano, sintetizei alguns cenários que considero relevantes ao planejamento de qualquer profissional de Segurança da Informação ou tecnologia. São estes:
1. Surgimento de pelo menos um superworm
Acompanhando as estatísticas da indústria do antivírus, podemos verificar a diminuição gradativa no número de novos vírus. Não significa que esta ameaça esteja ultrapassada. Os desenvolvedores de vírus de computador estão sofisticando cada vez mais suas criações, no que chamamos next-generation worms. Poucos, mas com altíssima complexidade, o que diferenciará os novos worms é: (1) sua capacidade de proliferação em velocidade recorde; (2) mecanismos automáticos de propagação utilizando vulnerabilidades em serviços de Internet; (3) complexidade na sua remoção e diagnóstico. A boa interação entre um IDS atualizado em tempo real e o firewall da Internet, poderá definir o sucesso de quem busca uma defesa efetiva contra este tipo de ameaça.
2. Aumento drástico no número de crimes virtuais
O ano de 2003 ficou registrado pelo crescente número de fraudes bancárias, envolvendo recursos não tão sofisticados para interceptação de senhas aliada a inocência de usuários desavisados. Com a Internet tornando-se cada vez mais presente em nosso dia-a-dia, esperamos que um, cada vez maior, contingente de hackers, desenvolva ferramentas que possam prejudicar atividades de negócio e apropriar-se ilegalmente da identidade virtual de correntistas bancários. A lacuna existente na legislação brasileira, quando se trata de concorrência desleal, ameaça virtual e outros crimes da mesma linha, deverá garantir grande vantagem a quem ataca. A nós que estamos em posição de desvantagem legal, cabe apenas preparar uma boa defesa, tentando aliar nossa estratégica de segurança junto às possibilidades jurídicas.
3. Chief Security Officer em posição de Staff
Segurança da informação é responsabilidade estratégica, e deve ser considerada como ponto-chave em se tratando de alcançar os objetivos do negócio. Mais e mais CSOs serão convidados a reportar seus resultados diretamente ao Board. Atender requisitos legais relacionados à manutenção do sigilo e da privacidade da informação deve aproximar os responsáveis pela segurança da informação das decisões estratégicas da organização. A chancela de uma análise de risco deve se tornar condição sine qua non para qualquer tomada de decisão envolvendo informações ou sistemas de informação.
4. Consolidação da norma BS 7799 e ISO 17799 como padrão de mercado
A iminente necessidade da acreditação por uma terceira parte, garantindo a eficiência das empresas em gerir os seus riscos relacionados à informação, fez com que o mercado unisse forças em torno de um objetivo comum, a definição de um padrão internacional de segurança. Apesar do ranço de alguns paises que insistem em adotar padrões nacionais, não restam muitas dúvidas sobre qual será a norma. A norma BS 7799 tem recebido ampla aceitação em paises asiáticos; mais que dobraram o número de certificaçõess no segundo semestre de 2003 na China e no Japão. O guia que referencia às melhores práticas de segurança da informação aqui no Brasil - a ISO 17799 -, já é a segunda norma mais vendida no país, ficando atrás apenas da ISO 9000. Especialistas indicam que futuramente empresas de grande porte exigirão esta certificação de seus parceiros de negócio.
5. Aumento da preocupação em torno da rastreabilidade (trilhas de auditoria)
A maior preocupação relacionada à segurança girava em torno de não permitir que usuários sem autorização obtivessem acesso determinado conteúdo, pasta ou informação. A evolução natural desta preocupação dá-se também a capacitar sistemas a identificar, dentre os usuários autorizados, quem fez isso ou aquilo, configurando o conceito de accountability (conseguir relacionar determinada ação a determinado usuário). Neste contexto deve ocorrer uma busca por ferramentas de IAM – Identity and Access Management, sofisticados leitores de logs (registros) e a corrida pela implementação de trilhas de auditorias em sistemas proprietários que até então foram focados apenas na premissa da produtividade.
6. Surgimento de Novos Entrantes no mercado de Segurança da Informação
O que também pode ser uma ameaça, se considerarmos que durante 2003 surgiram dezenas de empresas atuando na área de segurança da informação, mas muito poucas conseguiram sobreviver. Seguindo uma corrente natural, empresas de tecnologia estão oferecendo produtos e serviços para suprir o mercado de segurança da informação, principalmente no que diz respeito a hardware e software. O Security Officer deve ficar alerta aos pequenos entrantes que visualizam o mercado de segurança apenas como uma oportunidade momentanea.
Na hora de escolher o seu parceiro de segurança, seja para implementação de tecnologia ou para consultoria em segurança, sugere-se tomar todas as referências possíveis, é muito comum pequenas empresas não suportarem a demanda de grandes projetos, e por não possuírem ativos reais como garantia, acabarem engordando a estatística das empresas que fecham em seu primeiro ano.
Estas são apenas algumas das previsões para o ano que recem está começando. Não são predições de difícil assimilação, até porque seguem o movimento da tendência observada no mercado internacional, e por tabela, nacional. Por mais desafiador que seja o cenário – e é muito difícil contar histórias bonitas quando o assunto é segurança -, o vencedor da batalha será o CIO ou CSO que estiver alinhado às oportunidades de negócio, e conseguir armar um exército talentoso capaz de antecipar riscos e utilizar controles de segurança como diferencial estratégico.
Nem vamos tão longe. Miremos nossas lunetas para 2004. O que vem pela frente, quando o assunto é Segurança da Informação, são mais que meros modismos passageiros. Para este ano surgirão diversos novos desafios, diversas novas ameaças e inúmeras oportunidades através da tecnologia. Oportunidades sugerem novos riscos, que deverão ser estudados com cuidado pelo Security Officer em sua análise de risco. Colaborando com o exercício de antever o que pode acontecer no decorrer deste ano, sintetizei alguns cenários que considero relevantes ao planejamento de qualquer profissional de Segurança da Informação ou tecnologia. São estes:
1. Surgimento de pelo menos um superworm
Acompanhando as estatísticas da indústria do antivírus, podemos verificar a diminuição gradativa no número de novos vírus. Não significa que esta ameaça esteja ultrapassada. Os desenvolvedores de vírus de computador estão sofisticando cada vez mais suas criações, no que chamamos next-generation worms. Poucos, mas com altíssima complexidade, o que diferenciará os novos worms é: (1) sua capacidade de proliferação em velocidade recorde; (2) mecanismos automáticos de propagação utilizando vulnerabilidades em serviços de Internet; (3) complexidade na sua remoção e diagnóstico. A boa interação entre um IDS atualizado em tempo real e o firewall da Internet, poderá definir o sucesso de quem busca uma defesa efetiva contra este tipo de ameaça.
2. Aumento drástico no número de crimes virtuais
O ano de 2003 ficou registrado pelo crescente número de fraudes bancárias, envolvendo recursos não tão sofisticados para interceptação de senhas aliada a inocência de usuários desavisados. Com a Internet tornando-se cada vez mais presente em nosso dia-a-dia, esperamos que um, cada vez maior, contingente de hackers, desenvolva ferramentas que possam prejudicar atividades de negócio e apropriar-se ilegalmente da identidade virtual de correntistas bancários. A lacuna existente na legislação brasileira, quando se trata de concorrência desleal, ameaça virtual e outros crimes da mesma linha, deverá garantir grande vantagem a quem ataca. A nós que estamos em posição de desvantagem legal, cabe apenas preparar uma boa defesa, tentando aliar nossa estratégica de segurança junto às possibilidades jurídicas.
3. Chief Security Officer em posição de Staff
Segurança da informação é responsabilidade estratégica, e deve ser considerada como ponto-chave em se tratando de alcançar os objetivos do negócio. Mais e mais CSOs serão convidados a reportar seus resultados diretamente ao Board. Atender requisitos legais relacionados à manutenção do sigilo e da privacidade da informação deve aproximar os responsáveis pela segurança da informação das decisões estratégicas da organização. A chancela de uma análise de risco deve se tornar condição sine qua non para qualquer tomada de decisão envolvendo informações ou sistemas de informação.
4. Consolidação da norma BS 7799 e ISO 17799 como padrão de mercado
A iminente necessidade da acreditação por uma terceira parte, garantindo a eficiência das empresas em gerir os seus riscos relacionados à informação, fez com que o mercado unisse forças em torno de um objetivo comum, a definição de um padrão internacional de segurança. Apesar do ranço de alguns paises que insistem em adotar padrões nacionais, não restam muitas dúvidas sobre qual será a norma. A norma BS 7799 tem recebido ampla aceitação em paises asiáticos; mais que dobraram o número de certificaçõess no segundo semestre de 2003 na China e no Japão. O guia que referencia às melhores práticas de segurança da informação aqui no Brasil - a ISO 17799 -, já é a segunda norma mais vendida no país, ficando atrás apenas da ISO 9000. Especialistas indicam que futuramente empresas de grande porte exigirão esta certificação de seus parceiros de negócio.
5. Aumento da preocupação em torno da rastreabilidade (trilhas de auditoria)
A maior preocupação relacionada à segurança girava em torno de não permitir que usuários sem autorização obtivessem acesso determinado conteúdo, pasta ou informação. A evolução natural desta preocupação dá-se também a capacitar sistemas a identificar, dentre os usuários autorizados, quem fez isso ou aquilo, configurando o conceito de accountability (conseguir relacionar determinada ação a determinado usuário). Neste contexto deve ocorrer uma busca por ferramentas de IAM – Identity and Access Management, sofisticados leitores de logs (registros) e a corrida pela implementação de trilhas de auditorias em sistemas proprietários que até então foram focados apenas na premissa da produtividade.
6. Surgimento de Novos Entrantes no mercado de Segurança da Informação
O que também pode ser uma ameaça, se considerarmos que durante 2003 surgiram dezenas de empresas atuando na área de segurança da informação, mas muito poucas conseguiram sobreviver. Seguindo uma corrente natural, empresas de tecnologia estão oferecendo produtos e serviços para suprir o mercado de segurança da informação, principalmente no que diz respeito a hardware e software. O Security Officer deve ficar alerta aos pequenos entrantes que visualizam o mercado de segurança apenas como uma oportunidade momentanea.
Na hora de escolher o seu parceiro de segurança, seja para implementação de tecnologia ou para consultoria em segurança, sugere-se tomar todas as referências possíveis, é muito comum pequenas empresas não suportarem a demanda de grandes projetos, e por não possuírem ativos reais como garantia, acabarem engordando a estatística das empresas que fecham em seu primeiro ano.
Estas são apenas algumas das previsões para o ano que recem está começando. Não são predições de difícil assimilação, até porque seguem o movimento da tendência observada no mercado internacional, e por tabela, nacional. Por mais desafiador que seja o cenário – e é muito difícil contar histórias bonitas quando o assunto é segurança -, o vencedor da batalha será o CIO ou CSO que estiver alinhado às oportunidades de negócio, e conseguir armar um exército talentoso capaz de antecipar riscos e utilizar controles de segurança como diferencial estratégico.