A Tecnologia da Informação teve uma grande expansão nas últimas décadas, focada em aumentar produtividade e competitividade das empresas e das pessoas. Para isso exigiu, e ainda exige, dos profissionais da área, capacidade de criar soluções para problemas complexos. Entretanto, assim como todo crescimento competitivo, chega um momento em que é preciso organizar e amadurecer padrões – sejam eles processos, atividades ou protocolos. Neste contexto, as operações de segurança da informação são as que mais sofreram com a necessidade de crescimento desenfreado e que, por isso, requerem mais trabalho e uma visão de atuação bem diferente do que a TI tradicional.
As equipes de TI
Uma equipe de desenvolvimento de software sob pressão e sem processos bem definidos produz softwares de baixa qualidade. Com a evolução da empresa, começam a ter mais planejamento, pensar na arquitetura da solução, definir padrões e realizar testes de qualidade (QA). Passado mais um tempo, notam a importância de adotarem práticas de DevOps em projetos nos quais precisam da ajuda da operação e da infraestrutura de TI.
O time que cuida da instalação e manutenção de servidores, redes e serviços básicos de TI (ou seja, infraestrutura e operações) em empresas que pensam no crescimento rápido também sofre com recursos e tempos limitados e têm que se virar em soluções para a TI. Com a evolução da empresa, também começam a ter mais planejamento, controle e definir padrões, além de participarem dos projetos com a equipe de desenvolvimento de software. Entretanto, não se pode esquecer da segurança da informação nestas atividades.
Hoje ainda é difícil ver um profissional focado em segurança da informação em uma empresa que trabalha com DevOps. Mas é necessário? Um profissional de desenvolvimento ou operação e infraestrutura conseguiria atender essa demanda? A questão é que o modo de pensar e ver as coisas é bem diferente do que os profissionais mencionados anteriormente. Como dito, estes atuam em criar soluções. O profissional de segurança foca em mitigar ou eliminar os riscos.
O profissional de segurança da informação trabalha para mitigar riscos de eventos que possam comprometer a disponibilidade, integridade e confidencialidade de informações. Ele não precisa ser um expert em TI, mas ter alguns conhecimentos específicos nesta área para entender como proteger dados. Por exemplo: este analista deve saber sobre teoria de redes de computadores, seus protocolos e suas boas práticas; assim como deve saber também sobre sistemas operacionais e como funcionam, além do contínuo aprendizado sobre novas formas de comprometimento de informações e como evitá-las.
Prevenção e proteção
Segurança da informação está relacionada à prevenção de perda de dados e cibersegurança à proteção contra ataques externos. Neste último, a visão é de constante defesa e aprendizado sobre o inimigo para tomar medidas de prevenção. Neste processo, o profissional de segurança costuma criar laboratórios para testar e estudar a fundo ameaças e novas potenciais soluções, evoluindo seu aprendizado e ajudando sua empresa, seus clientes e a sociedade a se protegerem com mais efetividade.
DevSecOps, ou ainda SecOpsDev, são termos que surgem para explicar a necessidade de incluir atividades de segurança da informação nos projetos comuns à infraestrutura e desenvolvimento de software. Neste caso, por exemplo, estamos falando de garantir:
- Confidencialidadedos dados com criptografia em nível aceitável para o negócio de informações críticas armazenadas e/ou transmitidas, tais como login, senha, servidores ed dados de clientes
- Disponibilidade do produto final com redundância, balanceamento de carga e proteção à ataques de negação de serviço (DoS)
- Integridade dos dados com controle de permissão de acesso aos dados, evitando alterações indesejadas e garantindo que não sejam também perdidos.
A preocupação que leva à adoção e investimento nestas medidas é explicada em um vocabulário de segurança da informação. Para melhor entendimento:
- Vulnerabilidade: ponto fraco na configuração de TI
- Exposição: a existência de uma vulnerabilidade no ambiente
- Risco: probabilidade de um evento ocorrer e o impacto disto para a organização
- Ameaça: algo que representa perígo à segurança da informação
Um exemplo: um sistema operacional sem os últimos patches instalados pode ter uma vulnerabilidade na versão instalada de um protocolo de rede,sendo uma exposiçãopara a empresa, que passa a ter riscos de ameaças por um agente mal-intencionado, cibercriminoso ou um malware. O objetivo deste ator é a exploração destes recursos que pode ter como impacto, por exemplo, a obtenção e respectivo uso da identidade de alguém para fins ilegais, como a transferência de dinheiro, ou a obtenção de segredos industriais para chantagem, entre outros. É um assunto bastante extenso, e não atoa ainda parece um pouco obscuro para algumas pessoas.
Conclusão
Todos os profissionais de TI mencionados neste artigo são importantes para uma empresa: um complementa o outro. Dessa forma, é importantíssimo que trabalhem juntos. Enquanto alguns focam em criar soluções para ajudar nos processos empresarias, os profissionais de segurança focam em evitar riscos de comprometimento dos dados. Portanto, sem equipe de TI não há equipe de segurança, e sem equipe de segurança não há equipe de TI que se sustente.
André Duarte, coordenador de Operações do Arcon Labs.