Decisões sobre tecnologia
A tecnologia certamente desempenha um papel central na segurança da TI, mas, infelizmente, a comunidade tem se sentido um pouco perdida nesse processo. Pensando no passado, é difícil acreditar que “nossas cabeças não estão enfiadas na areia” em muitos níveis, quando de trata de escolher uma tecnologia. Em uma breve recapitulação, podemos nos lembrar que nos primeiros dias do uso dos mainframes, colocávamos muita fé nos nomes de usuários e nas senhas, como mecanismos adequados de controle de acesso. De um modo bem estranho, fizemos as mesmas suposições quando as redes de IPX e IP, assim como a computação cliente-servidor conquistou seu espaço.
Todos nós aprendemos algumas lições difíceis – incluindo que os nomes de usuários e as senhas não podiam nos livrar de todos os perigos. Isto levou à adoção das firewalls como o novo protetor do controle de acesso. Mais uma vez, colocamos nossa fé em uma tecnologia e, novamente, ficamos decepcionados. Dedicamos algum tempo negando as vulnerabilidades dos sistemas operacionais. As equipes corporativas e os fabricantes de produtos no segmento de TI ignoraram o que era óbvio, até que worms, spyware e a exploração do núcleo (stock) de sistemas operacionais tornaram a situação inevitável. Foram realizados enormes investimentos em detecção de vulnerabilidade e gerenciamento de correções.
A jornada continua. Investimos centenas de milhões de dólares em sistemas de detecção de intrusão, sem termos um verdadeiro entendimento de sua efetividade relativa e de seu custo total de propriedade. A “mania” pelos IDS (internal data services ou serviços internos de dados) levou a fazer reinvestimentos em sistemas de prevenção contra intrusão que, mesmo hoje, estão apenas parcialmente habilitados, e a infra-estrutura de chave pública (PKI, na sigla em inglês) ainda não é bem-vinda em muitos círculos de TI. Não faltam decepções em outros setores de produtos. Os desenvolvimentos das suítes de protocolo de internet (IPSs, na sigla em inglês) com base em hosts foram muito difíceis. Todos parecem frustrados com a falta de inovação dos antivírus. Os gerenciadores de informações sobre eventos de segurança estão evoluindo, mas são caros, e os produtos de IPS e as “soluções de segurança de extremidade” raramente duram por muito tempo.
Mas devemos generalizar e declarar que todas as tecnologias de segurança são ruins? Não, e como comunidade, aprendemos com nossos erros: os nomes de usuários e as senhas ainda são utilizados, mas somente quando alguém depende deles como um mecanismo exclusivamente de controle. Atualmente, os processos de correção/atualização são integrados em todos os sistemas operacionais e, mesmo ignorando todo o interesse no controle de acesso a redes, os dispositivos de operações no núcleo (stock) das redes estão cada vez mais capacitadas a oferecer segurança. E a segurança no processo de garantia de qualidade de software comercial está sendo aprimorado, apenas por alguns fabricantes selecionados.
* Greg Shipley é diretor de
tecnologia na Neohapsis e também colaborador da
InformationWeek EUA.
