IDG Now - Seção Computação Corporativa - Software Livre (Segurança corporativa: código aberto é sinônimo de fragilidade? - Marcelo Okano) - 25/07/2007
Por Vinicius Cherobino, repórter do Computerworld
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
“Não, em segurança é preciso balancear as decisões. Em alguns setores da empresa você efetivamente precisa de um parceiro estabelecido e não pode depender somente da comunidade”, acredita Eduardo Moura, CIO da cadeia de hotéis Rede Plaza. Para o executivo, ele mesmo um entusiasta de sistemas operacionais em código aberto, apesar das boas alternativas em open source, muitas demandas corporativas – especialmente relacionadas com aderência as regulamentações – impedem uma atuação 100% em software livre.
Código Aberto igual à Segurança?
John Pescatore, do Gartner, não compartilha a mesma visão do executivo. Ele garante que é possível sim ter todas as ferramentas de segurança em software livre. “Existem soluções de código aberto para qualquer ferramenta de segurança, dos antivírus ao IPS”, comenta. O problema, destaca, está no nível acima das ferramentas: a gestão das diversas soluções pontuais.
“Só há segurança efetivamente se todas as ferramentas estiverem atuando combinadas. Como fazer toda essa estrutura funcionar sob uma única interface, ganhando tempo e eficiência?”, questiona. Ele destaca que existe uma iniciativa aberta para cuidar exclusivamente do gerenciamento em segurança, a Open Source Security Information Management (OSSIM), mas o projeto ainda não é equivalente às ofertas de gestão centralizada das empresas tradicionais – tanto em nível de adoção quanto em qualidade.
O mesmo questionamento é feito por Marcelo Okano, professor de pós-graduação em gestão de redes de computadores da FIAP. O desafio, resume o acadêmico, é a gestão. Outro ponto importante, ele destaca, está no que está ao redor da estrutura de defesa. “A empresa não paga o software, mas onde estão os recursos para a definição de políticas e para análises dos diversos logs gerados pelas ferramentas?”, diz.
Pescatore destaca um outro problema das soluções de código aberto em segurança. Como as soluções em código aberto têm uma grande demanda por customização, destaca o diretor de pesquisa, aumenta muito a importância do profissional à frente do projeto de segurança. Ele argumenta: “Em um ambiente aberto, a empresa terá problemas sérios se perder esse engenheiro. Na customização de soluções abertas, em geral, não existe a formalidade necessária para documentar mudanças, é difícil saber o que ele fez”.
O caminho da segurança rumo ao código aberto está, então, condenado. Eduardo Moura, da Rede Plaza, é enfático em rechaçar a idéia. Para ele, o fator fundamental para garantir a proteção está em adotar sistema operacional em código aberto. “É preciso deixar a crença de que ‘aplicar patches’ faz parte do trabalho regular de TI. Nossos técnicos merecem mais do que pressionar next, next e finish e esperar a máquina reiniciar. Há mais no mundo do que janelas”, ironiza.
Em relação às ferramentas de segurança em código aberto, defende o executivo, uma boa alternativa é avaliar cada solução individualmente, optando por soluções de código aberto quando fizer sentido para a estratégia da companhia. A estratégia é tão eficiente que empresas como a Sourcefire, proprietária do snort, encontraram um nicho de mercado e vendem a ferramenta com hardware e serviços integrados, em uma atuação semelhante a brasileira ProckWork. “A força da comunidade se mostra em várias iniciativas, como nas listas de controle de spam. Nem todas as empresas de segurança precisam competir com a comunidade, alguns podem ajustar o foco e aproveitar a sinergia”, diz.
Na prática, contudo, as empresas de segurança têm parcerias fortes com os fornecedores de banco de dados e sistemas operacionais tradicionais. Perscatore distaca a atuação conjunta de fornecedores de proteção com companhias como Microsoft e Oracle, o que significa – na prática – uma vulnerabilidade identificada já é avisada ao parceiro, encurtando o processo blindando a parte da aplicação que tem uma brecha até que chegue a atualização oficial.
O diretor de pesquisas do Gartner aponta, também, outra utilização para as ferramentas de segurança em código aberto. Especialmente nas grandes organizações, elas podem ser utilizadas como uma maneira de negociar com os fornecedores de segurança um preço mais interessante nos serviços. “Com a oferta de código aberto, aumentou a concorrência nos serviços. Isso é interessante para a companhia, mas depende do profissional que ela tem disponível”, defende.
Okano, no entanto, acha que essa visão não pode descer até o ponto de a empresa cliente esperar um bom resultado sem ter que investir nada. Destacando que a segurança é, hoje, parte do custo de fazer negócios na era da internet, ele arremata: “De graça, não existe um bom serviço. Isso vale para diversos setores, especialmente para segurança da informação”.
A opinião da indústria
Como não poderia deixar de ser, a indústria. Ao falar com duas das maiores empresas de segurança da informação – Trend e Symantec – foram ressaltadas as vantagens únicas das tecnologias proprietárias de defesa. Mesmo com um discurso cuidadoso, os dois representantes ouvidos pela reportagem do COMPUTERWORLD não consideram que as ferramentas em código aberto representam uma real competição no segmento corporativo.
Paulo Vendramini, engenheiro de sistemas da Symantec, acredita que o maior diferencial que a estrutura das empresas tradicionais podem oferecer está na possibilidade de uma atuação pró-ativa, trabalhando com diversos grupos de clientes para definir as pragas específicas de cada vertical. “Nós estamos mais próximos de quem está mais exposto. A parceria com associações de bancos do mundo inteiro, por exemplo, nos ajuda a cuidar dos clientes mais vulneráveis”, defende.
Fabio Picolli, da Trend Micro, afirma que a natureza das pragas, em contínua auto-revolução, demanda níveis altos de investimento em pesquisa e desenvolvimento. “As comunidades online, os blogs e fóruns são importantes, mas não é um suporte oficializado de uma empresa estruturada. É diferente”, acrescenta. Ele destaca que técnicas que passaram a ser utilizadas com mais freqüência recentemente pelas empresas, como a heurística e o bloqueio por comportamento, são caras e estão recebendo investimentos pesados.
É evidente que as empresas de segurança tradicionais vão defender o seu modelo em detrimento da concorrência em código aberto. Da mesma forma, está clara a penetração das ferramentas no universo corporativo. Pescatore resume: “Nas soluções em que as ameaças são conhecidas e há trabalho longo, como firewall, AV, IDS e IPS, já está acontecendo o boom das ferramentas de código aberto”. Resta saber qual é a melhor solução para você, leitor, e para a sua empresa.
.gif)
.gif)
