Gestão de identidade é próximo passo de políticas de segurança

Empresas que adotam métodos inovadores de armazenamento de dados devem redefinir estratégias de gestão da informação, alerta especialista.

Por Rodrigo Afonso, do COMPUTERWORLD
18 de dezembro de 2008 - 07h00

Algumas tecnologias inovadoras prometem cortar custos e otimizar a estrutura de TI das empresas. É o caso de tendências como cloud computing, virtualização de servidores, SaaS, entre outras. A adoção delas pode ser bastante estratégica para que as companhias não percam o bonde da história, mas uma questão fundamental deve receber tratamento especial: a segurança.

Segundo Floris Van Den Dool, executivo responsável pela área de segurança da Accenture, a grande tendência é uma abordagem baseada em identidades. “Existem três etapas para garantir segurança de informação nesse novo contexto: a redefinição dos padrões de segurança, a classificação adequada das informações de acordo com seu nível de confidencialidade e uma gestão adequada das identidades das pessoas, daqueles que têm autorização para acessar cada tipo de informação”, enumera.

A partir do momento que a empresa entende o que acontece com seus dados, pode-se despreocupar com a localização exata deles, como ocorre com aqueles que armazenam seus dados em nuvens. “O CIO continua a ser um executivo-chave, apesar da terceirização, pois além de se preocupar com a tecnologia em si, ele deve entender o que são dados críticos para o negócio e dar atenção às formas como os funcionários se conectam às informações da empresa”, afirma Dool.

Adequar e proteger cada tipo de informação de acordo com a identidade de quem a está acessando é uma tarefa quase impossível se for realizada manualmente, mas há soluções que automatizam essa tarefa. Se a ferramenta identifica dados sobre lucro ou faturamento, por exemplo, basta classificá-los como de nível alto de confidencialidade. E, com o auxílio de criptografia avançada, é possível proteger esse dado, mesmo que esteja em um servidor nas nuvens.

Se a estrutura ainda não for totalmente confiável na visão do CIO e dos demais executivos, vale recorrer a uma estrutura híbrida: o maior volume de dados vai para os novos ambientes virtuais e somente as informações estratégicas ficam armazenadas no modelo tradicional. “Para isso, a empresa deve contar com uma estrutura completamente consolidada e integrada, pois só dessa maneira será capaz de determinar perímetros de segurança”, completa Dool.

E é bom reforçar que segurança deve ter um investimento constante. “O custo pode até subir um pouco no princípio, mas é bem melhor investir em segurança do que ficar de fora da próxima geração de tecnologia corporativa”, orienta.

Seleção de pessoas
Tão importante quanto definir as medidas de segurança para informações em espaços virtuais, a empresa precisa preocupar-se com as pessoas que contrata. “De nada adianta a blindagem tecnológica se a empresa contratar pessoas no escuro”, diz Dool. “É necessário avaliar seu histórico de vida, se não tem dívidas, enfim, certificar-se de que é uma pessoa idônea e que não sucumbirá facilmente a uma propina”, complementa.

Com isso, o holandês conclui que segurança não é uma mera questão tecnológica, mas uma questão interdepartamental que deve ser constantemente discutida pelos executivos da empresa. “Infelizmente não existe uma fórmula para se manter 100% seguro, mas precisamos buscar as metodologias mais eficientes para tentar alcançar este ideal”.