Como já é de conhecimento da maioria, tecnologia de segurança da informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não esta só em tecnologia, mas também no fator humano.
Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa e geralmente junto com esses produtos é preciso um analista que na verdade é um administrador de um produto. Bem como de costume surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado e logo a sua empresa vai precisar se atualizar e adaptar-se as novas tendências de mercado, e é nessa hora que os gestores de SI tem mais um custo que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto.
Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança e sim de operação e administração eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.
O profissional de SI não deve ser administrador de um produto, na verdade ele precisa ser o que chamamos de “especialista-generalista”, ou seja, ter sólidos conhecimento de SI e possuir conhecimentos suficientes em tecnologias e não em produtos.
A área de SI esta cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra , sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões, políticas, ou seja, exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.
Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa identificando as ameaças e vulnerabilidades que ameaçam o negócio.
Para sermos mais específicos vamos dar um exemplo que esta presente em 99% das empresas: os usuários e seus sistemas – imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente, ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos e sim com análises, processos e fomentação de cultura de SI.
A área de SI deve também contar com um apoio/suporte externo onde geralmente é uma empresa que possui um foco de análise técnica em segurança que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados, que na verdade, serão demandas para as áreas de infra e sistemas.
Alinhar essa nova visão num setor onde o cotidiano esta muito operacional não é tarefa simples, o gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.