Ao pensar o que eu descreveria como os maiores desafios de segurança da informação neste ano que se inicia, passaram por minha mente dezenas de ameaças que devem nos atingir pesadamente, tanto para o público empresarial quanto para o usuário doméstico. Visando atingir o público empresarial, resolvi focar em dois desafios trazidos por novos mantras da tecnologia da informação: a computação em nuvem e a mobilidade.

No primeiro caso, o da computação em nuvem, os desafios vêm do fato de ser uma nova maneira de se fazer TI, fugindo do padrão de arquitetura computacional que o pessoal de segurança está acostumado a proteger.

Falamos agora de servidores móveis, que podem ser colocados para rodar a qualquer minuto, em qualquer equipamento físico disponível. Obviamente esta é uma disciplina que veio para ficar, principalmente devido à flexibilidade que proporciona ao ambiente de negócios. Chega da demora para provisionar novos servidores, do tempo necessário para a aquisição de hardware para cada projeto e da dificuldade em ampliar a capacidade.

Por outro lado, a computação em nuvem, largamente baseada na virtualização do ambiente, acaba com a funcionalidade da arquitetura tradicional de proteção da infraestrutura. Um firewall, um IPS ou outros dispositivos que protegem segmentos de rede não são mais efetivos quando os servidores que devem ser protegidos podem estar na mesma máquina física, ou podendo ser movidos entre máquinas físicas distintas, inclusive em mais de uma localidade.

O grande desafio da segurança, neste caso, está em como proteger o ambiente, mantendo no mínimo o mesmo grau de segurança da arquitetura anterior, sem comprometer os benefícios trazidos por este novo paradigma. Duas possibilidades se abrem à nossa frente. A primeira são as ferramentas de proteção baseadas nos hypervisors, os softwares de controle dos ambientes virtuais. A segunda são as ferramentas que estendem a infraestutura de rede física atual, que termina nos servidores físicos, até dentro destes, conversando diretamente com cada máquina virtual.

As ferramentas baseadas no hypervisor utilizam APIs para executar tarefas que, de outra maneira, seriam executadas dentro dos sistemas operacionais de cada máquina virtual. A principal vantagem deste tipo de solução é a consolidação das ferramentas, que deixam de ocupar espaço de memória e processamento de maneira redundante.

Por estar baseada no hypervisor, estas soluções se dão melhor com funções que podem ser realizadas sem grandes customizações para cada máquina virtual, como antimalwares em geral. Também encontramos alguns fabricantes adaptando a este novo ambiente suas soluções de segurança de endpoint, como firewalls e IPS. Devemos ressaltar, neste caso, a necessidade premente de um ambiente de gerenciamento de configuração com boa usabilidade, uma vez que a centralização de ferramentas de diversos servidores virtuais em uma única console pode se tornar um ponto crítico para falhas humanas na configuração dos dispositivos.

Já as ferramentas baseadas em redes virtuais, estendem para o mundo virtual os conceitos utilizados atualmente em redes físicas, não só na área de segurança, mas em todas as suas facetas. Esta tecnologia estende as portas dos switches físicos, criando portas virtuais, atribuídas a cada máquina virtual rodando nos servidores físicos.

Desta forma, toda a segregação que conseguíamos no ambiente físico, dedicando uma porta de switch para cada servidor, é ampliada para o ambiente virtual. Isto nos possibilita a implementação de ferramentas como firewalls, IPS, QoS, e análise de tráfego que acompanham a máquina virtual, independente do servidor físico.

Este tipo de tecnologia tem ainda o benefício de permitir a utilização de interfaces de administração e gerenciamento já conhecidas pelos operadores das redes, reduzindo a curva de aprendizagem para uma utilização otimizada. Entretanto, o aumento da quantidade de dispositivos, onde antes tínhamos um firewall por segmento de rede, agora podemos ter um por máquina virtual, se impõe como grande desafio.

Em relação à mobilidade, constatamos a necessidade das empresas de disponibilizarem para seus funcionários e parceiros as informações necessárias para os negócios, independente do local ou do meio utilizado para a conexão. Este novo paradigma faz com que a proteção do ambiente de tecnologia, antes baseada principalmente na defesa dos perímetros da rede, se torne ineficaz, uma vez que os próprios perímetros da rede estão desaparecendo com o aumento da mobilidade dos usuários.

Apesar do discurso de alguns fabricantes mascarar este fato, não existe solução para este desafio sem uma mudança de foco. Devemos começar a prestar mais atenção na segurança da informação, independente de onde ela esteja, e reduzir a carga imposta atualmente na segurança da infraestrutura de acesso aos dados. Para conseguirmos esta mudança, duas soluções se apresentam como principais, não sendo mutuamente exclusivas, mas sim complementares.

A primeira são as soluções contra vazamento de informações, DLP na sigla em inglês - campo da segurança da informação que recebeu pouca atenção até hoje, tendo sido mais endereçado através de conscientização e treinamento de usuários do que através de tecnologia.

Os recentes desenvolvimentos nas tecnologias de DLP, com a diversificação de plataformas para os clientes e capacidades de descoberta e monitoração do tráfego de informações, além da aplicação de restrições ao tipo de utilização para cada tipo de informação, mostram-se um valioso aliado dos programas de conscientização, estando cada vez mais na pauta das grandes empresas, principalmente americanas e européias, e devendo desembarcar com força este ano aqui, em terras brasileiras.

A segunda opção são os serviços de proteção de conteúdo baseados na nuvem, ou seja, serviços de proteção à navegação e email que são implementados na internet e utilizados pelos usuários finais independente de onde estejam. A principal vantagem da utilização desta solução é a possibilidade de obrigar o usuário a cumprir a política de acesso mesmo quando ele não estiver nas dependências físicas da empresa. Benefícios secundários incluem a melhor utilização dos links de comunicação da empresa, que passam a receber apenas o tráfego limpo de spams, vírus e etc.

Apesar dos benefícios, estas soluções ainda enfrentam, principalmente no Brasil, restrições por parte de clientes que não querem que “suas informações” trafeguem na internet, como se já não estivessem.

Estas são as duas principais frentes que as empresas deverão enfrentar este ano na área de segurança da informação, e o resultado para aqueles que abraçarem as novas tecnologias se mostra muito compensador, uma vez que a segurança nestes casos passa a ser não um atraso para o pessoal de negócios, mas sim o principal viabilizador de um ambiente mais flexível, dinâmico e otimizado.

Fica a pergunta: Qual visão você quer que os departamentos de negócios tenham da segurança da informação na sua empresa?

* Cristiano Silverio é Gerente de Arquitetura de Soluções de Data Center e Segurança da Dimension Data