Enfrente os desafios de segurança e conformidade

Enfrente os desafios de segurança e conformidade

O aumento do cumprimento das regulamentações e a elevação da segurança significam que as empresas devem adotar uma abordagem estratégica de Gerenciamento de Riscos em segurança.

A situação mudou. Durante anos, as empresas trataram a segurança de maneira tática. A TI detectava as vulnerabilidades e ameaças e reagia aos ataques. Mas hoje, as empresas percebem que não podem proteger-se de maneira econômica contra cada uma das ameaças à segurança. O aumento da pressão das regulamentações governamentais significa que as organizações devem demonstrar as medidas tomadas para reduzir os riscos. As empresas devem decidir por um nível aceitável de risco que atenda suas necessidades de negócios e garanta a conformidade às normas.

"As organizações de segurança de TI devem abandonar o modelo antigo da maior proteção possível da empresa com a verba disponível e adotar o novo modelo de gerenciamento de riscos, em que escolhas conscientes são feitas de acordo com as necessidades", aconselha o Gartner Research no seu relatório "Abordagem de Avaliação de Riscos para Gerenciamento de Riscos em Segurança de TI", publicado em janeiro de 2006. "As empresas devem aceitar o fato de que não podem se proteger contra tudo. Portanto, precisam decidir sobre qual tipo de ataque podem se proteger", concluem os analistas.

Siga pelo caminho mais fácil
A maioria das empresas escolhe o caminho mais difícil. Elas tratam cada lei e ameaça como projetos separados. Cada atualização e nova lei implica a revisão de todo o processo. Cada nova vulnerabilidade implica uma nova defesa. Isso consome os recursos corporativos.

Em vez disso, as empresas devem ir pelo caminho mais fácil e cuidar da conformidade e da segurança em conjunto. As organizações que adotam uma abordagem de Gerenciamento de Riscos em Segurança (SRM - Security Risk Management) conseguem reduzir seus riscos de não conformidade e aumentar sua eficiência.

O gerenciamento de riscos em segurança é um processo, não um produto. "O gerenciamento de riscos em segurança é um modo de fazer negócios que ajuda as organizações a identificar e eliminar exposições de maneira proativa, bloquear ataques, gerenciar a conformidade e implementar estratégias de eliminação de vulnerabilidades", afirma Michelle Johnson Cobb, gerente de marketing de grupo de produtos da McAfee, Inc.

As empresas tomam várias medidas quando adotam uma estratégia de gerenciamento de riscos em segurança. Elas avaliam a relação entre os níveis de risco em segurança da TI e os custos dos negócios. Elas definem o nível de risco que podem aceitar. Elas procuram ferramentas de segurança diferentes que forneçam informações sobre riscos. As empresas comparam o valor de suas informações sobre riscos com o custo de obter e analisar essas informações de diferentes ferramentas de segurança.

"A maioria das equipes de TI tem de analisar uma 'montanha' de dados de vários tipos de ferramentas de segurança. Elas correlacionam essas informações, manualmente, com suas políticas e seus controles de segurança", afirma Cobb. O desafio é transformar um fluxo de dados sem propósito em informações sobre níveis de risco. A partir daí, as empresas podem ter uma visão clara do quanto custaria arcar com vários investimentos em TI.

As empresas devem divulgar com eficiência suas informações sobre os riscos em TI para os executivos, a fim de respaldar auditorias, análises de ROI (retorno sobre investimento) e o comprometimento de recursos. O estabelecimento de parâmetros de risco pode ajudar as empresas a alinharem suas iniciativas de segurança com os objetivos de negócios, o que simplifica o gerenciamento da segurança. Finalmente, elas devem quantificar os riscos para os negócios associados às brechas na segurança a fim de justificar a necessidade de melhoria das soluções de segurança em TI.

As empresas devem definir uma estratégia de gerenciamento de riscos que ofereça avisos antecipados sobre novas vulnerabilidades. Elas devem ser capazes de detectar os recursos e determinar os recursos mais importantes para os negócios. Elas devem ser capazes de determinar quais recursos estão vulneráveis. Elas devem ser capazes de priorizar suas atividades de eliminação de vulnerabilidades de acordo com as políticas de segurança. Elas também devem ser capazes de monitorar a conformidade com sua estratégia de gerenciamento de riscos em segurança. Finalmente, precisam de ferramentas que ajudem a comunicar aos executivos de negócios os níveis de risco e os custos.

Uma abordagem integrada
"A McAfee é a única empresa que oferece uma abordagem abrangente em relação ao gerenciamento de riscos em segurança. Nossa abordagem integra prevenção de ameaças e gerenciamento de conformidade", afirma Cobb.

A abordagem integrada da McAfee em relação à segurança e conformidade ajuda a proteger os recursos contra as ameaças. Ela também auxilia quanto a conformidade com as políticas internas e as normas do mercado. Por exemplo, é possível verificar se os computadores dos usuários estão de acordo com os padrões de segurança da empresa antes que possam usar a rede. O controle de acesso à rede do McAfee® Policy Enforcer integra-se ao agente McAfee ePolicy Orchestrator® (ePO™) nos computadores dos usuários para determinar se um equipamento está de acordo com os padrões. Se o computador estiver fora de conformidade, ele não poderá acessar a rede até que o problema seja solucionado.

As empresas utilizam ferramentas de gerenciamento de vulnerabilidades para avaliar o impacto das vulnerabilidades de software sobre suas redes e seus sistemas. Além disso, elas usam sistemas de prevenção de intrusos (IPS - Intrusion Prevention System) para identificar e bloquear os ataques. Mas as ferramentas de gerenciamento de vulnerabilidades não conseguem bloquear os ataques. E o IPS bloqueia os ataques sem saber se eles realmente ameaçam as redes e os sistemas da empresa. A McAfee integrou o gerenciamento de vulnerabilidades do McAfee Foundstone™ com o IPS McAfee IntruShield™ para formar uma solução que "funciona melhor em conjunto". Eles funcionam em perfeita harmonia para informar a relevância de um ataque e, então, bloqueá-lo automaticamente.

A McAfee também está integrando sua linha de produtos para realizar a geração avançada de relatórios de conformidade com as políticas. Você pode importar os dados do McAfee Foundstone para os produtos McAfee Preventsys. Também é possível correlacionar as políticas e os padrões de segurança da empresa às verificações específicas do Foundstone, para garantir que as políticas sejam cumpridas em toda a rede.

Recursos adicionais:

Clique em here para saber mais sobre a abordagem de gerenciamento de riscos em segurança da McAfee.

McAfee e/ou outras marcas mencionadas neste documento são marcas comerciais, registradas ou não, da McAfee, Inc. e/ou de suas afiliadas nos Estados Unidos e/ou em outros países. A cor vermelha da McAfee usada em relação à segurança é marca distintiva dos produtos que levam a marca McAfee. Todas as outras marcas comerciais, registradas ou não, mencionadas neste documento, pertencem exclusivamente aos seus respectivos titulares. © 2006 McAfee, Inc. Todos os direitos reservados.