A área de Segurança de Informação ou Segurança de TI é uma das áreas com maior peculiaridade dentro das empresas, pois é ela quem define os controles e mecanismos físicos e lógicos que devem ser adotados pela empresa para mitigar ameaças e reduzir riscos, estes muitas vezes diretamente associados ao negócio.

Essa situação se agrava ainda mais por conta das inúmeras soluções existentes no mercado, cada vez mais especializadas para tratar ameaças específicas. O budget da área normalmente é curto para adequar todo ambiente, e os todos os representantes de soluções de segurança dizem ter a “Solução Milagrosa” para todos os problemas.

Frente a este cenário, aparecem aquelas dúvidas: Qual tipo de solução é mais adequado para meu ambiente? Qual o fabricante mais indicado? O que devo priorizar?

Primeiramente, é importante ressaltar que a maturidade do ambiente de TI é gradativa e envolve tecnologias, pessoas e processos, ou com outra abordagem,  diagnóstico, correção e monitoração.

Anos atrás, as empresas mais “modernas” implementavam soluções de proteção de perímetro de rede, principalmente firewalls e proxy reverso. Em seguida, vieram as soluções de detecção de intrusos (IDS), seguidos pelos sistemas de prevenção de intrusos (IPS). Pouco depois, essas soluções e um pouco mais (ou menos) foram empacotadas em uma caixa e nomeado de UTM – Unified Threat Management, hoje encontrado de diversas marcas, modelos, com funcionalidades diferentes, inclusive, com designs e cores para todos os gostos.

De lá para cá, a camada de rede amadureceu e os erros nesta camada passaram a ser mais controlados. Eis que as aplicações Web evoluem, surgem sistemas de alçada, Internet Banking, Extranet, homebrokers, SOAP, Web Services, e as ameaças subiram de camada. Novos ataques começam a causar alarde, como o SQL Injection, Cross-site Scriping (XSS), e com isso uma nova geração de soluções também: firewalls de aplicação (WAF), monitores de banco de dados, etc.

Com todas essas soluções, surge a necessidade por monitorar tudo isso de forma centralizada, e aí é que se encaixam os gerenciadores e correlacionadores de logs (SIEM), soluções anti-fraude, Data Loss Prevention (DLP), totalmente necessárias para saber o que está acontecendo no ambiente de TI e mitigar possíveis incidentes de forma adequada.

E qual o problema com essas soluções?

Nenhum. O problema não está nas soluções, mas sim da forma em que elas são comercializadas.

Com essa vasta lista de soluções específicas para cada caso, entender os limites de cada uma delas e se o ambiente está com maturidade suficiente, não é tão simples quanto parece. Requer conhecimento técnico considerável sobre tecnologia, segurança e como as soluções de mercado se encaixam.

Em conversa com um amigo Security Officer de uma empresa de médio porte, ficou claro para mim que compradores não sabem o que precisam e vendedores não sabe o que estão vendendo.

O cliente estava preocupado com a integridade de seu negócio e precisava de uma solução que pudesse detectar fraudes e comportamentos anômalos na rede. Um certo comercial ofereceu a ele uma solução de prevenção de ataques em aplicação (WAF – Firewall de Aplicação). A primeira vista, pode até parecer que a solução oferecida pelo comercial estava adequada, uma vez o WAF bloqueia a execução de ataques contra aplicações. No entanto, esta solução está limitada a “enxergar” somente a aplicação, sem olhar o restante do ambiente, como as interações com outras aplicações e as requisições ao banco de dados, acessos provenientes da rede corporativa.

Esse é somente um dos casos em que a aquisição de solução ou serviço de segurança, que muitas vezes é difícil de ser concretizada, acaba sendo um investimento inadequado: a solução adquirida não entrega o que o cliente requisitou inicialmente, da forma como ele imaginou, e isso só vai ser realmente entendido quando a solução estiver sob a “prova de fogo” em produção.

Adquirir uma solução de segurança é uma decisão que muitas vezes envolve grande parte do budget disponível para o período, além de muito convencimento. Por isto, essa decisão deve ser suportada por uma prova de conceito imparcial, que possa validar e certificar qual é a solução e fabricante certo para seu negócio. Assim, quando você for cobrado pelos resultados, índices e “entregáveis” da solução, poderá mostrar algo real e não ficar “sabonetando” por não ter o que falar ou dizer que foi um investimento inapropriado. Uma decisão desinformada pode custar caro, causar impactos negativos, e não é só de dinheiro que estamos falando, do seu emprego também.

Por isso, precisando de suporte para escolher a solução de segurança adequada para o atual momento de seu ambiente de TI, entre em contato com a iBLISS Segurança & Inteligência.