Profissionais de seguança nas empresas

[mmachado]

Olá,

Estamos sempre falando sobre a importância da segurança dentro das empresas mas, o que tenho visto nos principais ambientes que visito é a total falta de profissionais dedicados a esta tarefa. Alguns contratam profissionais autônomos ou empresas de consultoria, mas a maioria não faz nem uma coisa nem outra.

E com vocês, como estão as coisas?

[]s, MM

[E.Lima]

Olá,

Alguns contratam profissionais autônomos ou empresas de consultoria,
[]s, MM

eu sou um daqueles "profissionais autônomos". :D

O que vejo (nos clientes) é que ULTIMAMENTE está existindo uma preocupação maior com segurança. Alguns, como Bancos, pensam nisso por causa da imagem pública. No entanto, alguns CIO têm notado que as equipes internas tem uma certa dificuldade em lidar com os aspectos de segurança (sejam de negócio ou mesmo técnicos) e têm contratado profissionais externos para prover algum "expertise" para suas equipes. Na verdade o que percebo é que (na maior parte das vezes) a culpa foi da própria empresa, que não preparou/escolheu seus funcionários adequadamente.

Outro fator é que muitas empresas são hábeis para fazer normas e procedimentos mas extremamente inábeis em cumprir as mesmas. Daí fica uma bagunça: tem a norma dizendo que não pode, mas....

[Dirty Vader]

O Lima tocou em dois pontos críticos para a implementação de um SGSI : o conflito com a área de negócios e o comprometimento com as políticas por parte dos funcionários.
Muitas vezes a melhor solução de segurança "engessa" o negócio, como por exemplo no caso de serviços bancários (como discutido no tópico sobre a decisão do STF).
Com relação ao comprometimento com as políticas, existem os fatores culturais que são um entrave. O funcionário não está acostumado a ter certas "regalias" controladas ou mesmo cessadas. Um exemplo típico é o do diretor que acessa sites não apropriados ao trabalho, usando de sua posiçào hierárquica para atropelar a política de uso de infra-estrutura.

Dirty Vader

[ruicruz]

Eu estou tirando um curso professionalna área de telefones (atendimento), e aqui tem Iinternet .. mas o responsavel usa apenas um Firewall do Norton, só quando o PC dele está conetado.
Acho que usa um router para distribuir a ligação, mas ainda não consegui saber se tem firewall (hardware).

Respondi: nenhum

[psergiom]

Respondi, nenhum.

Como havia comentado anteriormente em, pode ser que na região sul e centro-oeste compreendam melhor a utilização dos recursos para segurança da informação.

Existe em mim nesse momento, um conflito nesse sentindo, principalmente porque, gostando do trabalho que faço e cada vez mais me apaixonando por ele, tenho chegado a conclusão que é preciso migrar....
Venho há um bom tempo investindo uma grana, para fazer o curso da módulo, mas, não vejo perpsctivas para ser aceito na cidade onde resido, ao chegar com essa certificação.

[Padawan]

O mercado é muito pequeno ainda, tem muita gente que fala que trabalha com segurança, mas na verdade é adm. de rede, adm de correio, adm de conectividade, ... com segurança mesmo é muito pouco, estou nesse mercado há uns três anos, porém com exclusividade em segurança apenas uns 20 meses... (alocado por uma terceira e emitindo NF para esta)

Onde estou, a gde dificuldade é a conscientização de usuários e os adms que "já sabem" ... procedimentos só no papel...

[Guinu]

Eu trabalho no Ministério Público onde existe uma rede enorme, onde só um dos desenvolvedores se preocupa com a segurança da informação, isso porque ele faz TI porque senão ia ficar do mesmo jeito, eu acho isso um absurdo 15 computadores com um antivírus totalmente desatualizado pondo em risco algumas informações de suma importância, é como disse o Padawan o problema é a conscientização quase nunca alcançada.

[ruicruz]

Mas voce, e os outros que tem consciencia de que está mal, não falam com o sysadmin ou o TI, no seu caso?

Eu não adienta falar... eles não dão importancia para isso. :(

[Guinu]

È ruicruz nao adianta falar mesmo, toco nesse assunto todo o dia mas o pessoal não dá muita atenção, não sei se é por causa da correria do dia a dia ou por outra causa desconhecida que eles não dão muito valor a segurança digital, eles pensam da seguinte forma: que se o PC estiver infectado eles chamam um técnico e...pronto! ta resolvido, mas todos nós sabemos que não é bem assim. Um técnico um dia foi lá ( sendo que eu e os outros funcionários podiamos fazer isso mas, não foi permitido, Razão= desconhecida) fez o básico do básico ( Scan disk, Limpeza de disco etc...) cobrou um absurdo e ainda por cima não foi capaz de destruir a praga NetSky e saiu do prédio se achando o "tal", isso quer dizer que há ainda muita falta de confiança nos funcionários de empresas em geral que trabalham com informática duvidando de suas capacidades e a falta de profissionalidade por parte de "técnicos".

[Padawan]

é complicado, eu emito mensalmente um report sobre as vulnerabilidade descobertas, mas a atualização demora... as gerências são diferentes... questionam sobre a qtde de server a serem atualizados e o prazo de novos boletins e fica nisso, dão uma resposta desse tipo e continua assim, no mÊs eguinte reenvio o mesmo e-mail e a vida continua, lá pelo 3º ou 4º mês as coisas acontencem...

na questão de vírus, é complicado tb, tem gente que desabilita o AV pq consome CPU, memória,... o pior é que qdo a casa cai, a segurança precisa provar que o AV foi desativado pelo usuário, senão pode preparar explicações...

equiptos de testes, que viram definitivos, e sem config. seguras... e o problema é vc falar disso, tem gente que acha que vc não tem nada pra fazer, fica pegando no pé, vc vira o cara chato, ... tem que ter psicologia para falar, para trazer o carinha para o seu lado (senão o lado negro da força o leva embora). :-)

T+