Insights > Blog

 

 

De quem é a culpa?

 

Dia vem, dia vai e os problemas continuam os mesmos.

Eu como profissional de segurança da informação, tenho visto nos últimos anos uma mudança de FATO GERADOR de problema.
Quem nunca ligou para o HelpDesk e ouviu “a culpa é do sistema” ou “O sistema esta lento”. Independente do porte e segmento da empresa é muito comum receber esse tipo de justificativa.
Depois do advento dos provedores de CLOUD e de infraestrutura que se adapta ao volume – aqueles que permitem aumento ou diminuição de processamento, memória ou armazenamento, ouvir que um sistema está lento é sinônimo de falta de planejamento, investimento ou dimensionamento equivocado o que sabemos é que não é “culpa” do sistema.
Infelizmente, esse tipo de “justificativa” é aceita por muitos usuários e executivos que muitas vezes não tem o conhecimento técnico atualizado, associam esses problemas aos antigos equipamentos que não permitiam nenhum tipo de flexibilização no seu dimensionamento.

Atualmente, depois que cibersegurança vem se mostrando um tema importante para o ambiente corporativo, temos um novo ator que gera outro tipo de justificativas, o HACKER.
Justificativas como essa: “Nossos sistemas estão inoperantes, pois fomos vítimas de Hackers” é muito mais comum do que se imagina.

Novamente o motivador do problema pode não ser exatamente o que se responde ao solicitar apoio. No caso de cibersegurança é bastante claro que HACKERS tem uma grande parcela de responsabilidade na inoperância dos sistemas mas existem muitos outros fatores que os executivos e as áreas de tecnologia – incluindo cibersegurança as vezes desconsideram:

• Falta de investimento e manutenção em softwares, equipamentos e pessoas;
• Profissionais sem capacitação adequada;
• Softwares desatualizados;
• Equipamentos obsoletos;
• Falta de investimento nas áreas de TI, entre muitas outras.

Baseado neste cenário assustador fica muito difícil justificar a realidade nua e crua do que realmente acontece no dia-a-da como por exemplo:

• SMB exposto na Internet, em máquinas quem fazem ponte com a rede interna
• Acessos remotos (“Remote Desktop”, SSH, etc) exposto na Internet e não monitorado
• Senhas padrão, entre outras.

As empresas insistem e continuam contratando profissionais em todos os níveis que de fato não conhecem tecnologia, negócio ou ambos. Temos uma geração de carreira que inicia em estágio até especialista em dois anos. Engenheiros e pentesters sem base técnica, além de muitos gestores da área de segurança, sem experiência ou vivência em SEGURANÇA digital.
Neste contexto, os responsáveis pelos problemas sempre serão: o sistema e/ou os hackers mas tudo isso tem solução:

• Buscar profissionais com carreira sólida e conhecimento comprovado para gerir e executar as atividades diária
• Capacitar profissionais de tecnologia nas ferramentas de uso diária e incentivá-los a conhecer e aprender novas tecnologias;
• Planejar investimentos na área de tecnologia, incluindo cibersegurança em equipamentos, aquisição e atualização de softwares;
• Educar usuários finais para que saibam do risco de clicar num link suspeito por exemplo;
• Contratar fornecedores com capacidade técnica comprovada e que tenham foco na tecnologia que sua empresa escolheu como melhor solução;
• Muitas outras.

Com essas e outras ações sua empresa já pode mudar as justificativas: “ a culpa é do sistema…” ou “fomos vítimas de hackers” e assumir a responsabilidade e o controle dos ambientes tecnológicos das empresas.

 

Autor: Fernando Amatte, diretor de Red Team Services e,

Adaptação: Patricia Teixeira, diretora de Marketing, ambos da Cipher

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics