As respostas ao inquérito do The Register...

... do mês passado1 já foram recolhidas, processadas e publicadas online. A realçar:

  1. Existe uma preocupação crescente na utilização de equipamentos móveis e acesso remoto à informação das organizações;
  2. A pressão exercida por regulamentações, e pela expectativa dos clientes sobre privacidade e segurança, começa a surgir no horizonte; começa a ser um driver;
  3. Os elementos mais envolvidos na segurança das organizações continuam a ser os mesmos: os especialistas técnicos. Mas o nível da gestão já despertou, pela consciencialização da importância da segurança nos riscos de negócio, e o balanço está a mudar; e
  4. Os principais factores destacados para reforçar a segurança nas organizações foram... a formação, sensibilização, e comunicação com os colaboradores e os elementos responsáveis pelas áreas de negócio.

Estas foram as ideias que, na minha opinião, se destacaram — a mobilidade dos acessos e da informação, os regulamentos, o mindshift na gestão, e a necessidade de formar e informar os colaboradores.

(Vou aproveitar este mote para fazer uma pequena reflexão, motivada por este inquérito, e por uma discussão em que participei há pouco tempo. Em seguida, nos próximos parágrafos)

Curiosamente, há um aspecto que me parece igualmente relevante, e que se realça pela pouca importância que foi dada pelos inquiridos: a utilização de máquinas pessoais para aceder e manipular a informação das organizações. Pergunto-me 'porquê?' quando a tendência, hoje, e cada vez mais no futuro, será essa. E só tende a aumentar na mesma medida em que aumentam os controlos de segurança, a acessibilidade dos equipamentos terminais, e a ubiquidade do acesso à Internet.

Quantos de vós já encontraram colaboradores com a máquina do negócio e, lado-a-lado, um netbook ou um portátil pessoais? E porquê? Porque querem manter o acesso aos recursos que utilizam em casa, em todo o lado. E os controlos internos limitam-lhes essa capacidade. Os controlos internos e, em alguns casos, o desempenho das estações de trabalho corporativas. Quanto tempo até os documentos migrarem para o computador pessoal? Seems like a no-brainer to me.

No futuro, esta última questão vai ganhar uma importância muito maior. Acho eu. Aceitando o risco de falhar redondamente, parece-me que a tendência, no futuro, vai ser a utilização de equipamentos-cliente tal como utilizamos, hoje, as canetas: cada um irá ter a sua, a que bem escolher, com a personalização e o acesso aos recursos que lhe derem maior vantagem — que se revelem mais úteis. Nesse modelo, a segurança vai ter que readaptar-se: assumir que os equipamentos terminais estão fora do seu controlo (tal como já assumem hoje em relação aos clientes na Internet), reforçar os mecanismos de autenticação, o registo das operações e a monitorização activa. Finalmente, parece-me inevitável a canalização do esforço no sentido de reforçar (ainda) mais a segurança aplicacional na web e a protecção dos dados nos repositórios.

Neste modelo, torna-se imprescindível garantir que os acessos e as transacções não são repudiadas. A autenticação das pessoas, das transacções, e dos registos, tem que sair reforçada. A correlação entre os eventos, a análise heurística, e a monitorização permanente, tornam-se ainda mais importantes.

Os mecanismos para satisfazer alguns destes requisitos já existem há muito tempo; outros estão numa fase embrionária. O que faltou, até agora, foi a necessidade. Mas, correndo o risco de falhar em toda a linha, parece-me que não vai ser assim para todo o sempre.

Food for thought.

1 Vide The Register: Um inquérito sobre a segurança no IT.