True Access

NOTÍCIAS 23-07-2010 Do perímetro aos processos de negócio

Dentro da realidade que vem se configurando ao longo dos últimos anos, já é notório que a Segurança vem ganhando gradativamente um grau mais elevado de importância na pauta de grande parte das empresas. Porém, na prática, o que se verifica é que em muitos desses casos, essa abordagem ainda carece de uma visão mais estratégica, capaz de acompanhar a evolução das ameaças e dos negócios.

“A segurança perimetral já é uma commodity. Contudo, muitas empresas implementam essas soluções e acham que não precisam mais investir nessa esfera. Isso é um grande engano, porque os hackers se movem. A partir do momento em que a rede está protegida, eles migram suas ações para os ambientes internos da empresa”, opina Pedro Goyn, presidente da True Access.

Diante dessa perspectiva, o executivo chama a atenção para a necessidade das companhias avançarem rumo à adoção de ferramentas mais avançadas, que permitam estender a Segurança aos processos de negócio do usuário. Ao mesmo tempo, ele destaca que essas soluções são muito mais complicadas em termos de implementação.

“Se você pensa em um antivírus, o caminho para a implementação em qualquer empresa é o mesmo. Mas, se você falar em DLP, por exemplo, antes de comprar uma solução desse porte, existe toda uma necessidade de entender as demandas do cliente e classificar suas informações, e esses fatores mudam de um segmento para outro. Os dados críticos de um banco não são os mesmos de um hospital”.

Acesso à nova visão

No caminho de transição para uma nova visão da Segurança, Pedro Goyn aponta sete tecnologias que, aliadas à definição de políticas internas, começam a movimentar a lista de prioridades das corporações. Ele coloca as soluções de Gestão de Identidade no topo da relação, em virtude da crescente preocupação em acompanhar e gerenciar o acesso de usuários internos e externos aos sistemas das empresas.

“Hoje, 70% dos incidentes são causados por funcionários ou terceiros que estão dentro do ambiente corporativo. Assim, a primeira preocupação é definir o que cada um desses agentes pode fazer. Isso é complicado, pois em muitos casos, a organização conta com vinte sistemas e não tem capacidade de acompanhar os perfis de acesso. Um profissional muda de setor e continua acessando dados de seu antigo departamento”.

Goyn ressalta que a Gestão de Identidade vai ao encontro dessas demandas ao oferecer uma ferramenta centralizada que cria uma camada única de controle e gerenciamento do perfil do usuário, e interage com todas as aplicações existentes na empresa de uma vez só, checando a consistência desses recursos.

“Em 2009, tivemos um aumento de 50% no volume de projetos de Gestão de Identidade e a expectativa para esse ano é de um crescimento de no mínimo 30%. É a etapa que está mais doendo nas empresas, pois é difícil segurar a proliferação de sistemas e a questão é um dos requisitos de compliance de mercados como Telecom, Governo e Finanças”.

Prevenção e correlação

O DLP (Data Loss Prevention, na sigla em inglês) é mais uma tecnologia que vem amadurecendo no mercado. Segundo Goyn, as soluções nesse campo já começam a vencer os desafios de custo e das longas implementações, geradas principalmente pela necessidade de levantar e classificar as informações críticas para o negócio, anterior ao go-live de projetos desse porte.

“Hoje você faz um trabalho inicial para saber o que é realmente mais contundente e começa a trabalhar com esses fatores. Depois, você tem a figura de um gestor que vai adicionando regras e políticas, e a própria ferramenta tem inteligência para aprender, o que minimiza o tempo de implementação”, explica.

Quanto aos investimentos necessários, o executivo entende que o DLP está passando pelo mesmo momento que a Gestão de Identidade passou há dois anos, quando a tecnologia não era suficientemente madura e os custos eram proibitivos, sendo que um bom projeto não consumia menos de R$ 5 milhões, cifra que hoje caiu para R$ 1 milhão em média.

A complexidade gerada pelo acúmulo de soluções perimetrais também está no centro do crescimento do interesse pelas soluções de Gerenciamento de Eventos e Informações de Segurança, terceiro tópico citado por Goyn, recursos que coletam e fornecem elementos para a análise, em tempo real, dos alertas de Segurança gerados pelos sistemas.

“Essas ferramentas correlacionam todos os incidentes que, isoladamente, muitas vezes não representam nada, mas que dentro de um contexto, podem indicar um fator de atenção. É uma fase mais sofisticada da Segurança, mas já estamos sentindo uma resposta mais consistente do mercado nesse sentido”.

O próximo passo

Outras tecnologias que começam a ganhar força e que estão entre as apostas da True Access são aquelas ligadas ao conceito de Governança, Risco e Conformidade (GRC), iniciativas que, segundo Goyn, podem ser definidas como a evolução das políticas de Segurança da Informação implementadas pelas empresas.

“Depois de investir em sistemas, é preciso demonstrar para o board que realmente a companhia está bem protegida e que todo mundo está respeitando as regras impostas. Isso acontece especialmente em mercados altamente regulados, onde existe uma demanda grande para se demonstrar que a organização está em compliance”.

O presidente da True Access frisa que GRC na verdade é 10% de produto e 90% de serviço, pois você coleta toda a política da empresa e, ao mesmo tempo, alimenta a plataforma com todos os dados gerado pelas soluções do seu ambiente. Paralelamente, a ferramenta vai identificando todos os gargalos que a companhia em questão possui.

Ao lado desses quatro segmentos de Segurança, Pedro Goyn elenca ainda mais três vertentes que devem nortear os investimentos das empresas: Firewall de Aplicação/Banco de Dados; Hardware Security Module; e Autenticação por novos dispositivos, expressa na evolução dos recursos de autenticação forte.

Novo mercado

A partir desse cenário de tendências e demandas de Segurança, a True Access colocou a comercialização dessas sete tecnologias em seu mapa de prioridades para 2010 e definiu três grandes vertentes a serem trabalhadas dentro das suas estratégias no Brasil.

Com expectativa de crescimento de 35% em relação a 2009, o primeiro objetivo da empresa é buscar mercados para essas soluções. Para isso, além do foco em Governo, Finanças e Telecomunicações, segmentos em que já conta com forte atuação, a companhia ampliará suas estratégias junto às verticais de Saúde, Construção Civil e Serviços.

Os outros dois pontos trabalhados pela True Access serão o reforço do investimento em parcerias e também na capacitação de seus profissionais. “Eu não consigo implementar todas essas tecnologias sem ter um corpo técnico capaz de lidar com esse desenvolvimento e entender as reais necessidades de negócios do cliente”.

Com esse direcionamento, Goyn acredita que o fato da Segurança da Informação estar cada vez mais ligada aos processos de negócios gera uma nova fatia de mercado a ser explorada, onde terão bons resultados as empresas que souberem identificar os desafios dos clientes para auxiliá-los com propriedade nessa necessária mudança de abordagem.

“Além de ser mais sofisticada, a implementação dessas tecnologias é uma grande barreira para as empresas que não têm processos bem definidos. Nós pretendemos ir ao encontro dessa demanda, abrir essa outra esfera de atuação e aproveitar para crescer em um segmento que ainda não conta com muitos players”, conclui.

Por Moacir Drska, Risk Report

Outras notícias

Como manter a segurança da informação

A mobilidade e a proteção de dados

Fraudes: novos caminhos da prevenção

Segurança da informação: Mobilidade e o novo paradigma da proteção de dados

Fusões: desafios vão desde as regulamentações ao gerenciamento do capital humano

O perigo que vem das redes sociais

True Access Consulting aposta em serviços consultivos de segurança

Momento requer mais segurança para TI

Eficiência em segurança da informação ajuda empresa a se projetar, diz especialista.

Sigilo na saúde

Segurança em 2010

Perigo dentro de casa. Previna-se