Em época de crise, gerentes e coordenadores de TI precisam fazer verdadeiros milagres com o orçamento pequeno e equipe reduzida. No cotidiano, tenho visto gestores abrirem mão da segurança, reduzir equipes inteiras, mudar de produto apenas motivado pelo fator preço, etc. Quando se fala em infraestrutura a coisa ainda fica pior. Já presenciei situações de redução de custos em que, assim como falamos no interior de São Paulo: "querem tirar o pneu do carro em movimento" esperando-se obter os mesmos resultados.
Os ambientes de TI atuais são tais que sua complexidade é usualmente proporcional às funcionalidades que tal ambiente provê à organização, ocupando quase todo o esforço da administração de sistemas ao seu monitoramento e manutenção.
O aspecto da segurança neste ambiente típico acrescenta a este esforço da equipe as tarefas de agir proativamente prevenindo ataques, além de coletar, analisar e correlacionar eventos de segurança gerados (em maior ou menor grau) por sistemas operacionais, elementos ativos, serviços e aplicações.
Identificar de forma abrangente e contínua as vulnerabilidades do ambiente efetuando as correções necessárias, coletar, tratar, analisar, correlacionar e responder adequadamente a uma grande quantidade de eventos de segurança, incluindo logs e alertas, gerados por estes elementos muitas vezes de fabricantes diferentes (e usualmente com funcionalidades, interfaces, sintaxe e semântica distintas),
requer uma equipe especializada e dedicada exclusivamente a esta tarefa. Este problema é geralmente potencializado pela diversidade e quantidade de elementos a serem administrados numa rede heterogênea de médio ou grande porte.
Quando se acrescenta a este cenário as ferramentas de segurança típicas como firewalls, detectores de intrusão, autenticadores, antivírus, antispam e entre outros, a quantidade e natureza dos dados gerados continuamente a ser tratada e analisada, além dos procedimentos e intervenções necessários e decorrentes, normalmente
torna a tarefa impraticável para a equipe. O que vemos são ambientes "largados", com políticas e produtos desatualizados, equipe sem treinamento. Infelizmente, a realidade da maioria dos setores de nosso país.
Diante de tal quadro os gestores de tais ambientes tentam controlar a situação pela instalação e configuração de ferramentas de produtividade que prometem milagres, centralizando a análise e correlacionando dados, de forma a eliminar parte dos logs e alertas.
Tal abordagem é bastante comum e, quando bem administrada, implementa geralmente somente algumas políticas de contenção (defesa perimetral) e detecção de intrusão, normalmente não contemplando a identificação de vulnerabilidades e a posterior eliminação/limitação destas, ou seja: não há proatividade. Assim diagnósticos e análises de vulnerabilidades tornam-se necessárias, de forma a prover características proativas ao modelo.
Coletar e analisar conjuntos de dados distintos gerados por ferramentas de segurança distintas não dão automaticamente a visão do conjunto, integrada, que trate completamente o clico de vida de um evento de segurança (log, alerta, etc). Normalmente este ciclo se inicia com a coleta dos dados das várias ferramentas, seguido de análise e correlação, sem esquecer dos procedimentos e intervenções necessários e próprios para resolver o assunto (por exemplo, a eliminação ou limitação da vulnerabilidade).
Uma etapa leva necessariamente à outra e as ferramentas e análise (mesmo que conjunta /eou automatizada), se os procedimentos e intervenções posteriores, fazem o problema permanecer, permitindo novos alertas iguais quando de novas ocorrências de mesma natureza. O procedimento posterior é, portanto, fundamental.
Ferramentas, mesmo integradas, só conseguem algum nível de resposta automatizada ou procedimento posterior satisfatório para os casos mais simples. Resposta e procedimentos mais complexos, como por exemplo as vulnerabilidades das cada vez mais comuns aplicações desenvolvidas pelo próprio cliente, exigem expertise que não é próprio de qualquer ferramenta de mercado.
É necessário um trabalho unificado, com equipe e ferramentas trabalhando em conjunto, alinhados com a estratégia de negócios da empresa. Talvez minha visão seja conservadora, mas creio que nada substitui o olhar e esforço humano.
Sendo assim, por experiência que tenho no atendimento em mais de 100 empresas neste período de 15 anos de carreira nesse setor, posso afirmar que é que é possível reduzir custos, mas manter ou até superar a qualidade do atendimento dos depto. de TI e Segurança da Informação através de uma solução:
um contrato de serviços gerenciados.
É importante buscar um parceiro comprometido e que entenda o momento atual da empresa, ramo de negócio e mercado.
Nós da
NETDEEP, criamos uma oferta de serviços gerenciados, voltados para Pequenas e Médias empresas, nos mais diversos seguimentos. Oferecemos todos os produtos e serviços através de um único contrato mensal, com condições agressivas, produtos diferenciados e equipe capacitada.
Saiba mais sobre essa solução
aqui.
Um abraço e até o próximo post! :D
