Imagine três pilares de mesmo tamanho, apoiando-se um nos outros para suportar um peso muito maior. Em tecnologia, esse tripé é composto por Tecnologias, Processos e Pessoas. Quando levado à Segurança da Informação, no entanto, ele atinge outro patamar de relevância por envolver uma gama muito grande de soluções de inúmeros fornecedores.

O maior perigo para uma empresa, em relação à proteção de seus dados é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente numa estrutura incapaz de impedir o surgimento de problemas. É perigoso ter a impressão de que não existem vulnerabilidades quando, na realidade, as brechas estão por todo lado e disponíveis aos fraudadores interessados. Por isso, a segurança precisa envolver Tecnologias, Processos e Pessoas num trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

A primeira parte trata do mais óbvio: tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a internet atualmente. Dos antivírus para cuidar dos vírus, trojans e worms, passando pela estrutura contra invasões de Firewall e IPS (Intrusion Prevention System), chegando ao controle do inimigo interno

---

Dentre os pilares citados pelo colega Alexandre,pessoas é o elo mais fraco, por isso, temos que focar em treinamento e conscientização.
Leciono segurança da informação e observa-se que as pessoas tem pouco conhecimento de SI. Acham que o propósito da segurança é bloquear seus acessos, quando essa atividade é uma das muitas existentes em SI, recentemente trabalhei em um banco, em reuniões muitos assuntos relacionava-ve a SI, no entanto as pessoas nem imaginavam que fazia parte da área.
Deve-se fazer planos de conscientização, apresentar as atividades de SI para que os colaboradores venham reportar incidentes de SI, dessa forma mostrar que SI é uma atividade de negócio assim como as demais da organização.

Abraços a todos

Waldir

---

As Tríplices da Segurança da Informação

http://www.salomao.adm.br/Triplices.html

Pessoas: conscientização (porque fazer); educação (o que fazer) e treinamento (como fazer). Já virou jargão no ramo da segurança: o elo mais fraco da corrente da segurança são as pessoas. É nas pessoas que começa e termina a segurança, basta que uma, na cadeia de processos, não esteja preparada para que o risco de incidente aumente consideravelmente.

Processos: estes devem ser flexíveis até o ponto que não afete a segurança das informações, a partir daí devem ser tratados de forma rígida e metódica. Processos não podem ser engessados pelos controles e tecnologias, pois acabaria por causar a perda da agilidade e dinâmica da empresa, mas estas não devem ser mantidas em detrimento da segurança. O equilíbrio deve ser buscado sempre.

Tecnologias: A tecnologia só deverá ser aplicada onde puder suportar a Política de Segurança das Informações, as Normas e os Processos definidos para cumprimento da estratégia de segurança, e para reforçar o elo mais fraco da corrente, as pessoas. Se a norma diz que a estação de trabalho deve ser bloqueada na ausência do usuário, aplica-se a tecnologia para que o bloqueio seja automático em caso de falha humana (esquecimento do Ctrl+Alt+Del B %3 Bloquear Computador), por exemplo.

---