Total Security - totalsecurity.com.br
Tendências 2007: segurança ainda é prioridade
Há muito que a segurança da informação é uma prioridade de investimentos na área de tecnologia, cenário que não tende a mudar tão cedo. Afinal, qualquer executivo tem calafrios ao imaginar o tamanho do prejuízo, financeiros e para a marca, que terá de arcar se a corporação ficar indisponível por causa de um ataque ou, pior ainda, se dados críticos caírem nas mãos algum concorrente.
Dados da IDC apontam que, na América Latina, a segurança é a segunda prioridade de investimento em 2006, com 16% das empresas afirmando que investiriam no tema durante o ano. Há, ainda, um estudo mundial do Gartner sobre as intenções de investimentos nas corporações que coloca, também, a segurança da informação como a segunda prioridade.
Há, inclusive, quem defenda que nunca mais as empresas poderão deixar de colocar o assunto no topo de suas atenções. Assim, confira, a seguir, as sete principais tendências sobre o tema em 2007 segundo os especialistas e gestores de segurança ouvidos pelo COMPUTERWORLD.
1 - Gestão de risco
Muitas vezes nascendo em segurança, mas com uma atuação muito mais abrangente, a gestão de risco vem conquistando destaque há algum tempo e deve se manter na agenda dos gestores de segurança para 2007.
Antes da definição de uma política de segurança, antes de conscientizar os funcionários, antes mesmo de escolher as soluções a serem adotadas, é preciso conhecer os riscos que a empresa corre. Só assim as decisões estratégicas para os negócios podem ser tomadas com mais tranqüilidade e, acima de tudo, com a criação de planos de ação para o caso de algo dar errado.
O paradigma do risco – analisar a possibilidade de determinado acontecimento tendo em vista ao seu dano potencial – permite definir ações em segurança mais eficazes.
Para Fernando Fonseca, diretor de comunicação da ISSA (Information Systems Security Association), capítulo Brasil, a maturidade na visão sobre segurança leva obrigatoriamente para a gestão de risco. “A média das empresas brasileiras, no entanto, ainda vê segurança como a compra de alguma ferramenta tecnológica. E isso as deixa completamente vulneráveis”, alerta.
“Com o cenário cada vez mais hostil, a preocupação com o risco vai dar um salto em 2007, sendo parte fundamental no processo de entender a segurança como um fator de negócios”, aposta Fonseca. “Ainda é cedo para falar em mudança no organograma corporativo, mas essa tendência já é realidade e vai crescer bastante no próximo ano”, resume Marcelo Romano, coordenador de segurança da informação e de risco da Imprensa Oficial do Rio de Janeiro.
2 - O gestor de segurança
Outra tendência importante diz respeito ao profissional de segurança, que passa por uma transição de um especialista apenas técnico para um gestor, que compartilha a visão de negócios e o conhecimento da área, sendo importante para a tomada de decisões e para o planejamento estratégico. Os especialistas prevêem uma redução lenta, mas consistente, no número de administradores de rede que acumulam a função de proteção para dar lugar a profissionais sênior. Em empresas maduras o suficiente, o gestor de segurança aparece chefiando uma unidade de negócios.
“Há o amadurecimento da percepção do valor da segurança nos principais setores da economia. Isso reflete na renovação dos profissionais, caindo aqueles com perfil muito técnico, ligados exclusivamente a TI e focados na infra-estrutura, por experientes CISO que possuem uma visão integrada da técnica e do negócio”, esclarece Marcos Sêmola, diretor de operações de riscos da Atos Origin no Reino Unido. Para ele, a nova função abre a possibilidade de ter um profissional que tenha outro histórico além da TI, permitindo até que consultores externos atuem na posição.
Há uma discussão sobre o título que a função deve levar. Existe uma parte de especialistas que adota o CSO (Chief Security Officer), enquanto outros preferem descriminar o cargo como CISO (Chief Information Security Officer). Independente do título, Romano é cético com a adoção em larga escala da função dentro do organograma corporativo em 2007. “Vamos ver movimentações, mas ainda não é a explosão. No próximo ano, vejo uma mudança lenta e gradual na diretoria executiva sobre o tema”, complementa.
3 - Gestão centralizada de segurança
“Nos próximos dois anos, no máximo, você vai ter uma ferramenta centralizada de segurança”. Fernando Fonseca, da ISSA Brasil, defende sua declaração se baseando em argumentos como as facilidades que esse modelo oferece, menor custo de manutenção, de aquisição e a maior flexibilidade oferecida à organização.
A movimentação do mercado, inclusive, corrobora esse pensamento. A grande maioria das corporações fornecedoras de segurança da informação se movimentou no sentido de adquirir outras tecnologias de empresas menores para oferecer um produto mais completo para seus clientes.
Agora, quase nenhum fabricante é fornecedor exclusivo de uma solução pontual, como firewall ou antivírus, mas comercializa uma suíte que inclui diversas funcionalidades de proteção combinadas e gerenciadas de um único ponto.
Definindo o movimento como facilitador, Romano, da Imprensa Oficial do Rio de Janeiro, destaca a simplicidade de lidar com um menor número de fornecedores. “Não há como negar que essas suítes geram uma economia de tempo e, aparentemente, de custos”, revela.
4 - Foco nas pessoas
A imagem dos castelos medievais não pode ser mais clara: um fosso profundo com jacarés famintos, muros gigantescos e um bom punhado de arqueiros prontos a disparar. De nada adianta toda essa estrutura se, no momento do confronto, alguém de dentro da fortaleza resolve abrir a porta. Em segurança da informação, a lógica é a mesma. Em 2007, nenhuma empresa vai esquecer de conscientizar seus funcionários.
“As tecnologias mais avançadas e caras, quase perfeitas, não protegem a empresa se as pessoas estão trabalhando contra”, define Romano, da Imprensa Oficial do Rio de Janeiro. Comentando sua experiência diária, o executivo complementa: “Fazer as pessoas entenderem o valor da segurança é um dos maiores desafios do gestor. É preciso que todos trabalhem juntos”.
Marcos Sêmola, por sua vez, destaca as conseqüências do foco no fator humano. “A tendência é muito forte. Só com a adoção de processos formais e corporativos de conscientização, com gerenciamento de mudanças e treinamento continuado dos usuários da cadeia produtiva é possível reduzir riscos por falha, negligência ou ingenuidade”, garante o executivo.
5 - Certificação digital
A certificação digital é um tema controverso: tem defensores ardorosos, mas, na prática, registra uma adoção tímida. Especialmente se imaginado em relação ao sonho que colocava a solução nas mãos de todas as pessoas que utilizam serviços eletrônicos – de e-mail ao banco online. Com ela, seria possível saber se a pessoa na outra máquina é realmente quem ela é. Afinal, como o tema vai se comportar em 2007?
Para Marcelo Romano, a roda da certificação digital dá indicações que, finalmente, vai começar a andar. “O papel da Receita Federal nesse processo é enorme, os usuários que utilizam o certificado digital ganham vantagens muito interessantes”, afirma. Citando a experiência da própria Imprensa Oficial do Rio de Janeiro, o executivo conta: “usamos certificação digital para o envio de material para ser publicado no Diário Oficial do estado.
Conseguimos reduzir os erros de reprodução, além de economizar sensivelmente em custos de papel”. Segundo ele, as instituições de outros estados, incluindo aquela responsável pela comunicação oficial do País, estão estudando a solução.
Fernando Fonseca, da ISSA Brasil, ressalta que, ainda assim, não será o momento da adoção em massa. “Mesmo com os benefícios, ainda não vamos ver a explosão, mas uma consolidação gradual. O problema é que – como sempre – o valor da tecnologia não é tudo”, completa.
6 - Planos de continuidade de negócios
A continuidade de negócios ganhou escala e foi desenvolvida nas empresas antes até da área de segurança da informação. A tendência, contudo, é que esses planos comecem a envolver segurança cada vez mais, cuidando de que a companhia continue produzindo e, caso ocorra uma parada inesperada, o plano de contingência entre em ação com o apoio de diversas áreas – segurança incluída.
“A segurança protege os ativos de informação, mas cuida, acima de tudo, da disponibilidade da organização, para que ela se mantenha produzindo”, sintetiza Fonseca. Para ele, em 2007, o número de companhias que vão adotar um PCN envolvendo diretamente a equipe de segurança da informação vai crescer sensivelmente.
Marcos Sêmola, da Atos Origin, concorda e acrescenta: “As estratégias de continuidade serão formalizadas em 2007 por que são vistas cada vez mais como um componente crítico do negócio”. Segundo o executivo, isso abre espaço para criar e manter planos viáveis para mitigar impactos via gerenciamento de crise, recuperação de desastres e continuidade operacional. “A figura do especialista em continuidade tende, também, a ser formalizada no organograma de empresas de setores sensíveis.”
7 - A segurança da informação como um processo contínuo
Pode parecer óbvio, mas segurança da informação é diferente de tantas outras ondas que passaram por tecnologia, levando investimentos pesados e belos discursos para, hoje, quase ninguém tocar mais no assunto. Ao contrário, a proteção veio para ficar e não tem final previsto no horizonte. Uma das tendências em 2007 está em ver o tema como um processo contínuo, fundamental para a saúde da companhia.
Um ponto em que todos os especialistas ouvidos pela COMPUTERWORLD concordam é que existe um desafio cultural muito grande. Criar as condições para que os diretores e, especialmente, o CEO da companhia percebam essa realidade será um dos maiores desafios para o próximo ano. “É um caminho obrigatório.
Hoje, todos são alvos, de usuários finais a corporações de qualquer nicho. Não é possível ignorar isso”, acredita Fonseca, da ISSA Brasil. “De nada adianta a segurança ser vista agora como um fator fundamental e ganhar um investimento pesado se, no ano seguinte, a torneira fechar.”
A pergunta final, contudo, persiste: mas como convencer o time executivo da necessidade da continuidade dos investimentos? “Se alguém tiver a fórmula mágica, pode falar comigo que eu estou interessado”, brinca Romano, da Imprensa Oficial do Rio de Janeiro.Fonte: COMPUTERWORLD
Dados da IDC apontam que, na América Latina, a segurança é a segunda prioridade de investimento em 2006, com 16% das empresas afirmando que investiriam no tema durante o ano. Há, ainda, um estudo mundial do Gartner sobre as intenções de investimentos nas corporações que coloca, também, a segurança da informação como a segunda prioridade.
Há, inclusive, quem defenda que nunca mais as empresas poderão deixar de colocar o assunto no topo de suas atenções. Assim, confira, a seguir, as sete principais tendências sobre o tema em 2007 segundo os especialistas e gestores de segurança ouvidos pelo COMPUTERWORLD.
1 - Gestão de risco
Muitas vezes nascendo em segurança, mas com uma atuação muito mais abrangente, a gestão de risco vem conquistando destaque há algum tempo e deve se manter na agenda dos gestores de segurança para 2007.
Antes da definição de uma política de segurança, antes de conscientizar os funcionários, antes mesmo de escolher as soluções a serem adotadas, é preciso conhecer os riscos que a empresa corre. Só assim as decisões estratégicas para os negócios podem ser tomadas com mais tranqüilidade e, acima de tudo, com a criação de planos de ação para o caso de algo dar errado.
O paradigma do risco – analisar a possibilidade de determinado acontecimento tendo em vista ao seu dano potencial – permite definir ações em segurança mais eficazes.
Para Fernando Fonseca, diretor de comunicação da ISSA (Information Systems Security Association), capítulo Brasil, a maturidade na visão sobre segurança leva obrigatoriamente para a gestão de risco. “A média das empresas brasileiras, no entanto, ainda vê segurança como a compra de alguma ferramenta tecnológica. E isso as deixa completamente vulneráveis”, alerta.
“Com o cenário cada vez mais hostil, a preocupação com o risco vai dar um salto em 2007, sendo parte fundamental no processo de entender a segurança como um fator de negócios”, aposta Fonseca. “Ainda é cedo para falar em mudança no organograma corporativo, mas essa tendência já é realidade e vai crescer bastante no próximo ano”, resume Marcelo Romano, coordenador de segurança da informação e de risco da Imprensa Oficial do Rio de Janeiro.
2 - O gestor de segurança
Outra tendência importante diz respeito ao profissional de segurança, que passa por uma transição de um especialista apenas técnico para um gestor, que compartilha a visão de negócios e o conhecimento da área, sendo importante para a tomada de decisões e para o planejamento estratégico. Os especialistas prevêem uma redução lenta, mas consistente, no número de administradores de rede que acumulam a função de proteção para dar lugar a profissionais sênior. Em empresas maduras o suficiente, o gestor de segurança aparece chefiando uma unidade de negócios.
“Há o amadurecimento da percepção do valor da segurança nos principais setores da economia. Isso reflete na renovação dos profissionais, caindo aqueles com perfil muito técnico, ligados exclusivamente a TI e focados na infra-estrutura, por experientes CISO que possuem uma visão integrada da técnica e do negócio”, esclarece Marcos Sêmola, diretor de operações de riscos da Atos Origin no Reino Unido. Para ele, a nova função abre a possibilidade de ter um profissional que tenha outro histórico além da TI, permitindo até que consultores externos atuem na posição.
Há uma discussão sobre o título que a função deve levar. Existe uma parte de especialistas que adota o CSO (Chief Security Officer), enquanto outros preferem descriminar o cargo como CISO (Chief Information Security Officer). Independente do título, Romano é cético com a adoção em larga escala da função dentro do organograma corporativo em 2007. “Vamos ver movimentações, mas ainda não é a explosão. No próximo ano, vejo uma mudança lenta e gradual na diretoria executiva sobre o tema”, complementa.
3 - Gestão centralizada de segurança
“Nos próximos dois anos, no máximo, você vai ter uma ferramenta centralizada de segurança”. Fernando Fonseca, da ISSA Brasil, defende sua declaração se baseando em argumentos como as facilidades que esse modelo oferece, menor custo de manutenção, de aquisição e a maior flexibilidade oferecida à organização.
A movimentação do mercado, inclusive, corrobora esse pensamento. A grande maioria das corporações fornecedoras de segurança da informação se movimentou no sentido de adquirir outras tecnologias de empresas menores para oferecer um produto mais completo para seus clientes.
Agora, quase nenhum fabricante é fornecedor exclusivo de uma solução pontual, como firewall ou antivírus, mas comercializa uma suíte que inclui diversas funcionalidades de proteção combinadas e gerenciadas de um único ponto.
Definindo o movimento como facilitador, Romano, da Imprensa Oficial do Rio de Janeiro, destaca a simplicidade de lidar com um menor número de fornecedores. “Não há como negar que essas suítes geram uma economia de tempo e, aparentemente, de custos”, revela.
4 - Foco nas pessoas
A imagem dos castelos medievais não pode ser mais clara: um fosso profundo com jacarés famintos, muros gigantescos e um bom punhado de arqueiros prontos a disparar. De nada adianta toda essa estrutura se, no momento do confronto, alguém de dentro da fortaleza resolve abrir a porta. Em segurança da informação, a lógica é a mesma. Em 2007, nenhuma empresa vai esquecer de conscientizar seus funcionários.
“As tecnologias mais avançadas e caras, quase perfeitas, não protegem a empresa se as pessoas estão trabalhando contra”, define Romano, da Imprensa Oficial do Rio de Janeiro. Comentando sua experiência diária, o executivo complementa: “Fazer as pessoas entenderem o valor da segurança é um dos maiores desafios do gestor. É preciso que todos trabalhem juntos”.
Marcos Sêmola, por sua vez, destaca as conseqüências do foco no fator humano. “A tendência é muito forte. Só com a adoção de processos formais e corporativos de conscientização, com gerenciamento de mudanças e treinamento continuado dos usuários da cadeia produtiva é possível reduzir riscos por falha, negligência ou ingenuidade”, garante o executivo.
5 - Certificação digital
A certificação digital é um tema controverso: tem defensores ardorosos, mas, na prática, registra uma adoção tímida. Especialmente se imaginado em relação ao sonho que colocava a solução nas mãos de todas as pessoas que utilizam serviços eletrônicos – de e-mail ao banco online. Com ela, seria possível saber se a pessoa na outra máquina é realmente quem ela é. Afinal, como o tema vai se comportar em 2007?
Para Marcelo Romano, a roda da certificação digital dá indicações que, finalmente, vai começar a andar. “O papel da Receita Federal nesse processo é enorme, os usuários que utilizam o certificado digital ganham vantagens muito interessantes”, afirma. Citando a experiência da própria Imprensa Oficial do Rio de Janeiro, o executivo conta: “usamos certificação digital para o envio de material para ser publicado no Diário Oficial do estado.
Conseguimos reduzir os erros de reprodução, além de economizar sensivelmente em custos de papel”. Segundo ele, as instituições de outros estados, incluindo aquela responsável pela comunicação oficial do País, estão estudando a solução.
Fernando Fonseca, da ISSA Brasil, ressalta que, ainda assim, não será o momento da adoção em massa. “Mesmo com os benefícios, ainda não vamos ver a explosão, mas uma consolidação gradual. O problema é que – como sempre – o valor da tecnologia não é tudo”, completa.
6 - Planos de continuidade de negócios
A continuidade de negócios ganhou escala e foi desenvolvida nas empresas antes até da área de segurança da informação. A tendência, contudo, é que esses planos comecem a envolver segurança cada vez mais, cuidando de que a companhia continue produzindo e, caso ocorra uma parada inesperada, o plano de contingência entre em ação com o apoio de diversas áreas – segurança incluída.
“A segurança protege os ativos de informação, mas cuida, acima de tudo, da disponibilidade da organização, para que ela se mantenha produzindo”, sintetiza Fonseca. Para ele, em 2007, o número de companhias que vão adotar um PCN envolvendo diretamente a equipe de segurança da informação vai crescer sensivelmente.
Marcos Sêmola, da Atos Origin, concorda e acrescenta: “As estratégias de continuidade serão formalizadas em 2007 por que são vistas cada vez mais como um componente crítico do negócio”. Segundo o executivo, isso abre espaço para criar e manter planos viáveis para mitigar impactos via gerenciamento de crise, recuperação de desastres e continuidade operacional. “A figura do especialista em continuidade tende, também, a ser formalizada no organograma de empresas de setores sensíveis.”
7 - A segurança da informação como um processo contínuo
Pode parecer óbvio, mas segurança da informação é diferente de tantas outras ondas que passaram por tecnologia, levando investimentos pesados e belos discursos para, hoje, quase ninguém tocar mais no assunto. Ao contrário, a proteção veio para ficar e não tem final previsto no horizonte. Uma das tendências em 2007 está em ver o tema como um processo contínuo, fundamental para a saúde da companhia.
Um ponto em que todos os especialistas ouvidos pela COMPUTERWORLD concordam é que existe um desafio cultural muito grande. Criar as condições para que os diretores e, especialmente, o CEO da companhia percebam essa realidade será um dos maiores desafios para o próximo ano. “É um caminho obrigatório.
Hoje, todos são alvos, de usuários finais a corporações de qualquer nicho. Não é possível ignorar isso”, acredita Fonseca, da ISSA Brasil. “De nada adianta a segurança ser vista agora como um fator fundamental e ganhar um investimento pesado se, no ano seguinte, a torneira fechar.”
A pergunta final, contudo, persiste: mas como convencer o time executivo da necessidade da continuidade dos investimentos? “Se alguém tiver a fórmula mágica, pode falar comigo que eu estou interessado”, brinca Romano, da Imprensa Oficial do Rio de Janeiro.Fonte: COMPUTERWORLD
URL Fonte: https://totalsecurity.com.br/noticia/1605/visualizar/
Comentários