Symantec: Nova atitude em segurança necessária

Agências governamentais e empresas privadas Precisamos mudar o foco das soluções de segurança de ponto único para uma segurança mais holística e baseada em informações, informaram os funcionários da Symantec.

"Claramente, mudamos para um ponto no tempo em que nossos clientes têm que estar muito mais focados em proteger a informação em si, ao contrário de proteger o PC ou proteger a rede ", disse John Thompson, chairman e CEO da Symantec, no simpósio do governo da empresa em Washington, DC" Embora esses sejam componentes necessários de uma estratégia de proteção, eles não são o fim tudo. Mais tem que ser feito. "

Nos últimos anos, os legisladores dos EUA concentraram sua atenção em violações de dados e perda de laptops, e as agências federais se esforçaram para atender aos requisitos de criptografia de informações. em laptops e outros dispositivos móveis. Na segunda-feira, o Government Accountability Office dos EUA divulgou um relatório afirmando que apenas 30% dos dados confidenciais em dispositivos móveis de 24 grandes agências foram criptografados em setembro de 2009.

[Leia mais: Como remover malware do seu PC com Windows] A criptografia pode ser uma peça importante de uma estratégia de segurança cibernética, mas é apenas uma peça, disseram Thompson e John McCumber, gerente de programas estratégicos da Symantec para o setor público federal, em entrevistas.

A criptografia não é "a solução "para prevenção de perda de dados", disse Thompson. "As boas políticas de perda de dados começam com a compreensão de quais são os dados críticos que eu tenho e onde estão?" ele disse. "Em muitos casos, há informações críticas e confidenciais em todos os laptops. Mas nem todas as informações contidas nesse laptop são críticas e sensíveis".

McCumber almoçou recentemente com um membro do Congresso dos EUA que sugeriu uma melhor tecnologia de criptografia. resolveria os problemas de perda de dados do governo. Mas McCumber disse ao legislador que a criptografia não protege os dados que estão sendo processados.

"Se você acha que a criptografia é a solução para esse problema, você não entende o problema e não entende a criptografia", disse McCumber, um ex-especialista em criptografia da Agência de Segurança Nacional dos EUA.

Em vez de se concentrar em soluções de segurança de ponto único, a Symantec tem incentivado as agências dos EUA a analisar as informações que possuem. O fornecedor de segurança recomenda que as agências criem políticas "inteligentes" de classificação e retenção de dados, disse Thompson. Tais políticas facilitarão o gerenciamento e a localização de dados a longo prazo, disse ele. “Você precisa ver qual valor você atribui à informação”, acrescentou McCumber. "Ninguém quer pagar [US $ 500 para proteger um ativo de US $ 50."

As agências que analisam a segurança cibernética a partir dessa perspectiva centrada em informações podem achar que a adoção das melhores práticas do setor - o que outras agências ou empresas privadas estão fazendo. trabalhar para eles, disse McCumber. Cada organização precisa olhar para seus próprios desafios e riscos de segurança, e trabalhar em direção a um plano de proteção de dados que funcione melhor para isso, disse ele.

As organizações precisam de ferramentas para entender e gerenciar seus riscos, acrescentou McCumber. as práticas não são a resposta, isso significa que os mandatos tecnológicos do Congresso ou das agências reguladoras não funcionarão mais, disse ele. "A tecnologia sempre muda", disse McCumber. "Eles tiveram que aprender da maneira mais difícil. Você não pode resolver problemas de tecnologia com políticas e não pode resolver problemas de políticas com a tecnologia."