Recursos/White Papers

Gestão

Cinco conselhos para não cair no conto do vigário da segurança

Há uma ameaça de segurança crescente capaz de drenar muito dinheiro de empresas pouco avisadas e deixá-las vulneráveis: os fornecedores

Da Redação, com IDG News Service

Publicada em 08 de maio de 2017 às 16h09

É irônico,  mas os produtos que muitos fabricantes de equipamento de cibersegurança vendem, e o marketing que usam, deixam compradores mal informados e menos seguros, de acordo com responsáveis pela segurança de empresas. É uma ameaça, capaz de drenar milhões de empresas desavisadas e de as deixar vulneráveis.

De modo a fechar um negócio, os piores fornecedores tendem a exagerar nas capacidades que os equipamentos vão ter no percurso de evolução, mas nunca se materializam. Isso torna o trabalho de quem compra mais difícil.

“Definitivamente há produtos que supervalorizam o que eles realmente fazem”, diz Damian Finol, gestor e de segurança de TI de uma empresa de Internet.

Para alguns fabricantes é mais importante a venda do que o grau de segurança, dizem vários executivos de TI.

Vários profissionais com experiência nesses processos de compra compartilham alguns conselhos:

1 ‒ As empresas têm que fazer o dever de casa, investindo em prospecção de qualidade
Isso significa olhar para as recomendações feitas por clientes em vez de depender apenas do que os fabricantes dizem.

Testar os produtos de segurança em casa também é altamente recomendável. “Façam essa diligência, ou vão arrepender-se”, avisa Finol. 

Os bons fornecedores são transparentes sobre os seus produtos. Também investem na contratação de pessoal qualificado e em pagá-los bem, em vez de recrutar mais profissionais de marketing. 

Os melhores estão dispostos a formar os recursos humanos dos clientes na gestão dos produtos, com boas práticas de segurança e consultoria, afirma.

2 ‒ Perceber o problema com detalhe
Quentyn Taylor, diretor de segurança da informação na Canon EMEA, recomenda que os clientes entendam o problema que estão tentando corrigir em vez de simplesmente percorrer o mercado de cibersegurança sem um objetivo concreto.

“O mercado está cheio de oertas. Qualquer um com uma ideia apelativa e um logotipo, pode lançar um produto “, considera. Alguns produtos podem ser vaporware.

Os fabricantes estão mais centrados em seduzir uma empresa maior para adquiri-los do que em prover segurança para os clientes, acusa Taylor. As empresas devem ir ao mercado com um plano firme.

“Identifique quais são os seus critérios de sucesso e explique cada um deles ao fornecedor”, detalha. “Depois insira isso ao contrato de serviço”.

“Não se pode ter medo de admitir que alguma coisa não está funcionando. Nesse caso, tenta-se alguma coisa diferente”, acrescenta.

3 ‒ Às vezes a melhor maneira de resolver um problema de segurança é com um equipamento gratuito ou já existente
Os administradores de sistema podem bloquear tentativas de intrusão com base em determinados métodos de infecção por malware desativando “macros” no Microsoft Office, exemplifica Gal Shpantzer, CISO em várias empresas.

A configuração pode ser feita sem custos adicionais, de acordo com as políticas de segurança já definidas. 

As empresas que compram produtos de segurança devem estar cientes de que nem todos são fáceis de usar. Imagine uma plataforma de monitoramento de ameaças que gera uma centena de alertas por dia – alguns falsos positivos, alguns reais. Investiga-se cada um?

“Se eu desse um orçamento de um milhão de dólares para um sistema de detecção de intrusão, a equipa de TI diria: ‘ Boa, temos o nosso problema resolvido'. Mas não, o problema acabou de nascer”, alerta. O volume de trabalho está prestes acumular-se.

Além da compra inicial, há um ciclo de vida completo para os produtos de segurança. Isso pode incluir as pessoas que vão geri-los, a forma como serão implantados, aperfeiçoamento sda tecnologia e o conhecimento sobre todos os requisitos necessários para executar a solução e mantê-la, disse Shpantzer.

ciberseguranca2

4 ‒ Maus fornecedores tendem a usar tácticas de indução de medo
É o que pensa  Jonathan Chow, CISO numa empresa de entretenimento.  "E os melhores, ouvem as necessidades dos clientes e tentam ajudar a proteger o negócio deles, mesmo que isso signifique oferecer conselhos gratuitos", completa.

“Não há nada realmente mágico em um produto de segurança”, lembra Chow. “As pessoas precisam ser cautelosas e vigilantes sempre que gastam dinheiro em soluções tecnológicas”.

Outra boa prática para descobrir os produtos de segurança mais corretos é ouvir o que outros compradores dizem sobre a sua experiência.

5 ‒ Ausência de referências de clientes e de demonstrações em ambiente real merecem desconfiança
Brian Honan, CEO da BH Consulting, que faz assessoria de compras na área de segurança de TI, considera que as empresas devem desconfiar de fabricantes que não possam oferecer referências de clientes, ou que apenas ofereçam demonstrações de produtos sob condições de teste controladas.

“Não terem produtos revistos ou avaliados por órgãos independentes é preocupante também”, defende. 

Mas infelizmente, quando as empresas compram produtos de segurança, muitas vezes não os usam corretamente. “É preciso gastar muito tempo afinando as ferramentas e muitas empresas não o fazem”, diz Honan.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui