Eleve a sua segurança a um novo nível

By 11/09/2017

De vez em quando, convidamos os líderes da indústria a compartilhar suas opiniões e ideias sobre as tendências tecnológicas no blog. As opiniões expressas são próprias e não refletem necessariamente a posição da IBM.

Quem ataca sempre tem a vantagem no campo de batalha de segurança da informação. É possível testar os ataques várias vezes, assim como Luke Skywalker e a Aliança Rebelde fizeram com a primeira Estrela da Morte. Embora a Estrela da Morte tivesse um sistema de defesa profundo, sua própria complexidade (e uma única falha fatal) provocou sua destruição.

A segurança de TI não é diferente. Nós operamos infraestruturas complexas com uma infinidade de entradas e saídas que permitem aos usuários fazerem seu trabalho. Os desenvolvedores de aplicações e administradores de sistemas devem acompanhar quem realiza os ataques para evitar a próxima violação.

A defesa torna-se muito mais fácil quando pessoas, processos e tecnologia trabalham em conjunto. É mais fácil falar do que fazer:

  • Pessoas ainda clicarão em e-mails de phishing, independentemente da quantidade de treinamento que elas recebam.
  • Processos sempre serão contornados quando estiverem entre um empregado e uma solução para o cliente.
  • A tecnologia sempre terá vulnerabilidades.

Para muitas organizações, é necessária uma nova estratégia para lutar com esse problema: tornar a segurança invisível. Isso parece ótimo no papel, mas o que significa na prática?

Pessoas

Os seres humanos inevitavelmente cometerão erros. George Bernard Shaw disse uma vez: “O sucesso não consiste em nunca cometer erros, mas em nunca fazer o mesmo pela segunda vez”. Todos devemos aprender com nossos erros, mas mesmo o primeiro deslize pode levar a um incidente de segurança. Se uma empresa de 500 pessoas permite que cada um cometa um erro relacionado à segurança, isso pode sair muito caro.

E se houvesse uma maneira de evitar que alguém se colocasse em posição de cometer um erro?

Processo

Em muitas empresas, simplesmente dizer a palavra “processo” esvaziará uma sala. As organizações usam os processos para reduzir o risco e a variação. Processos excessivos criam encargos para os funcionários e, eventualmente, conseguem encontrar um meio de contorná-los. Isso sempre me lembra a famosa fala do Dr. Malcolm no filme Jurassic Park: “A vida, uh, encontra um caminho”.

Tecnologia

Não é segredo que dependemos da tecnologia durante cada momento de nossas vidas modernas. A tecnologia nos dá flexibilidade em nossa vida, mas também é a arma mais rígida que temos em nosso arsenal para a segurança. Não estou afirmando que ser rígido é igual a ser seguro, mas ser rígido significa que um mais um é sempre igual a dois. Nossa tecnologia faz o que está programada para fazer – nada mais e nada menos.

Podemos impor processos com tecnologia e impedir que os usuários estejam em condições de cometer um erro. A carga do processo não desaparece, mas torna-se mais clara e aplicável. Como podemos reduzir o fardo, mas manter o processo? Com o que é chamado de seguro por padrão.

Cada vez mais tecnologias adotam a estratégia de segurança por padrão. Nossos celulares geralmente possuem criptografia habilitada por padrão, confiamos em mais fatores de autenticação e o navegador Chrome coloca cada guia em sua própria caixa de proteção. Essas camadas de segurança protegem os usuários de ameaças conhecidas e desconhecidas sem o conhecimento deles.

Os desenvolvedores precisam de uma maneira de implantar aplicativos de forma segura, mas muitas vezes eles não são especialistas em segurança. A tecnologia deve fornecer uma maneira para um desenvolvedor de aplicativos entregar seu software para um sistema e ter esse sistema operando de forma segura.

As tecnologias de virtualização, especialmente os containers, estão envolvidas por outras tecnologias que oferecem controles de segurança fortes por padrão. Os sistemas Linux aplicam automaticamente restrições de capacidade, isolamento do namespace e controles de acesso obrigatórios para essas instâncias virtualizadas. Esses controles oferecem benefícios de segurança desde o início e permitem customização a qualquer momento.

Em resumo, a tecnologia funciona melhor quando impede que as pessoas estejam sempre em condições de cometer um erro. A tecnologia bem sucedida impõe processos sem colocar uma carga sobre as pessoas que o utilizam. Estou sempre ansioso para encontrar tecnologias que vão além disso e diminuam o risco ao mesmo tempo em que permitem que os usuários sejam mais produtivos.

Saiba mais sobre como proteger sua marca com a segurança do LinuxONE.

[autopilot_shortcode]