Por que precisamos mais do que sistemas de prevenção de ataques?


Por Rodrigo Antão*

Em eventos, happy hours, reuniões de negócio que tenho feito com profissionais de segurança da informação tenho me deparado com um número cada vez maior de profissionais muito confortáveis com suas estruturas de prevenção de incidentes.

Trabalhando com soluções de resposta a incidentes e forense computacional há algum tempo acabo passando por arauto do mau agouro. Sempre tento contemporizar as conversas com os fatos recentes, amplamente divulgados na mídia, dos ataques contra empresas e governos do mundo todo. Quando levanto essas situações os profissionais de segurança e TI sempre trazem números e estatísticas que mais parecem vir da boca de analistas de mercado financeiro: “...tantos por cento de block..”, “... tendência de queda...”.

A solução que mais tenho ouvido sobre defesas grandiosas é o DLP (Data Loss Prevention) ou Prevenção a Vazamento de Dados. Tive algumas experiências com diretores e vice-presidentes de grandes empresas brasileiras que me deram aulas de DLP, com todos os argumentos de venda da solução (ponto pro time de marketing deles). Em vários casos parece que eles me chamaram – um cara de reação e defesa – para confirmar a boa escolha que fizeram.

Nas primeiras reuniões quase me convenci que o mundo havia realmente virado uma réplica do Éden e que agora todos as informações estavam para sempre a salvo dos incautos fraudadores internos.

Estive um dia desses numa grande empresa do ramo financeiro em São Paulo, fui falar com o Diretor de Riscos e Compliance. Para cada item da apresentação que eu fazia ele apontava uma das funcionalidades do DLP que estava implementando, tipo: “Isso eu faço com DLP Data in Motion, aquilo eu faço com DLP Data at Rest, aquilo outro eu coloco um agente no servidor e resolvo...”. Confesso que fiquei muito feliz, há anos não via tamanha defesa tecnológica por parte de um cliente. Sinal de maturidade e desejo real de entender o que precisa ser feito para mitigar os problemas internos por meio da tecnologia. Mas algo ali ainda não estava certo.

Essas situações me remetem à palestra de Bruce Schneier, o papa da segurança da informação, no TED - Ideas Worth Spreading: “The Security Mirage”. Schneir diferencia a sensação de segurança com a realidade e alerta: “Você pode se sentir seguro, mesmo que não esteja; e você pode estar seguro, mesmo que não sinta”.

Você pode se sentir seguro quando tranca a porta da sua casa, mas você está realmente seguro? Você pode se sentir seguro quando protege os ativos de sua empresa com soluções de prevenção, mas você realmente está seguro ou é só uma sensação de segurança? O debate está posto. Posicione-se. Opine. Coloque o seu ponto de vista.

* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).




Comentários