O perímetro das organizações está a ser definido pelas pessoas, com o formato de uma nuvem de pontos interligados em rede, tornando imperativo capacitá-las para haver maior cibersegurança, sustenta Pedro Almeida, gestor de operações de segurança na Claranet Portugal.
A segurança do ecossistema das TI e dos dados por estas alojados, transformados e reportados assentava maioritariamente – e até há relativamente pouco tempo – no largo pilar da Tecnologia. Sucessivas camadas de protecção conferiam, no seu conjunto, um nível de segurança que permitia a Administradores de Sistemas e Responsáveis de Negócio verdadeiras noites de sono descansado.
Fechando utilizadores em contentores de equipamentos, redes, aplicações e sistemas corporativos, com locais e canais de comunicações bem definidos e seguros era assegurada, ao Negócio, alguma garantia de segurança e não-permeabilidade dos dados.
Quando existia um problema de segurança, havia certamente uma violação do perímetro. E reforçava-se o perímetro: nova e mais avançada Tecnologia, alguma revisão de Processos e as Pessoas… ficavam protegidas.
O boom tecnológico e a massificação de tecnologia de ponta e a preços acessíveis transformaram os utilizadores em elementos de forte pressão para a utilização desta tecnologia de consumo em ambiente empresarial. E o problema evidenciou-se de forma significativa quando aqueles com mais fácil acesso a toda a nova tecnologia de consumo eram os decisores.
Estes não queriam alternar entre tecnologias diferentes ou mesmo equipamentos diferentes aquando da movimentação entre ambiente pessoal e empresarial. As organizações passaram assim a ter que lidar, inevitavelmente, com o Bring Your Own Device.
Aqui algumas tentaram (e possivelmente ainda tentam) proteger o seu ecossistema “proibindo” – desde tecnicamente a processualmente, com sanções inclusive – a ligação de dispositivos alheios.
Outras apostaram forte nos Processos, adoptando soluções Tecnológicas de validação de postura (é do domínio? tem anti- vírus? e firewall? e as actualizações de sistema? de que forma se intersectam os conjuntos de aplicações instaladas e autorizadas? quem está ligado?) que aproximavam os equipamentos e utilizadores ligados e “conformes” dos diversos conjuntos de recursos ou afastavam-nos para zonas de remediação para se colocarem em conformidade.
A segurança do posto e quem nele se encontra ligado define as zonas do ecossistema por onde se consegue navegar, baseando-se em regras muito bem definidas e alinhadas com o Negócio. E, claro, houve aquelas organizações (a grande maioria) onde nada aconteceu.
Seja qual a forma, de facto, o “posto” de trabalho ganhou ubiquidade, demarcando-se muitas vezes do equipamento de uso exclusivamente corporativo. Mais recentemente, os próprios dados – pessoais ou corporativos, com maior ou menor autorização – receberam o mesmo dom da ubiquidade, abrindo-se a época da cloud.
Esta independência da localização dos dados, das aplicações vem conceder às organizações o “trunfo” de ter utilizadores que trabalham da mesma forma, com os mesmos dados, usando as mesmas aplicações, em qualquer lugar e, claro, a qualquer hora. E perante tal vantagem na produtividade, estando transposta a “barreira do impedimento ao trabalho”, não existe retorno.
Assim, e de forma definitiva, estamos num período no qual o perímetro da maioria das organizações se encontra colapsado, estendendo-se muito para além da tecnologia que estas controlam. Vivemos a era das Pessoas, onde são os utilizadores definem o novo “perímetro”, com o formato de uma nuvem de pontos interligados em rede.
Torna-se imperativo capacitar todos estes “alvos” que é inexequível proteger na totalidade, por mais Tecnologia e Processos que se apliquem, devido ao seu número e dispersão. Cada utilizador tem agora uma chave do castelo – que anteriormente se encontrava fechado atrás de uma muralha tecnológica – abrindo um leque de portas espalhadas em serviços “na nuvem”.
Não é necessário dar cursos intensivos de TI a todos os utilizadores, mas sim dotá-los das boas práticas ao nível da segurança, tornando-os cientes dos riscos existentes associados aos novos paradigmas da informação e capacitados para o reconhecimento das ameaças e a reacção adequada às mesmas.
Em cenários onde as técnicas avançadas de phishing e outros métodos de Engenharia Social proliferam, iludindo a Tecnologia e contornando os Processos de formas cada vez mais engenhosas, é necessário que a primeira reacção seja a da avaliação, da prudência e da sensatez. Esta primeira reacção perante uma ameaça, ou mesmo já perante um incidente de segurança em curso, irá ditar o desenlace de uma situação potencialmente desastrosa.
A sensibilização de todos os utilizadores para a ciber-higiene e para as boas práticas de segurança é o primeiro e mais importante passo para evitar uma intrusão, uma fuga ou perda de dados, a indisponibilidade de serviços críticos ou um qualquer outro evento de segurança com potencial de impacto irreparável na continuidade de negócio. Quanto mais críticos os utilizadores, quanto a mais informação ou privilégios possuem acesso – e informação é, verdadeiramente, poder – mais vital se torna a sua protecção e o seu papel.
E mais capacitados devem ser. Sejam executivos, financeiros, informáticos, gestores de processo ou despenhando qualquer outra função – num cenário onde cada utilizador é um soldado, não é necessário entregar cursos de TI para que sejam fornecidas as armas adequadas para a defesa deste castelo descentralizado.
Assim, com capacitação e treino é possível transformar os utilizadores em elos mais fortes, efectivos num todo interligado, ganhando-se uma estrutura mais sólida e resiliente, trazendo melhores noites de sono a Administradores de Sistemas e Responsáveis de Negócio.
About Pedro Almeida