Segurança da Informação como Órgão Proibitivo: Tradição ou Necessidade?
Um profissional de ITSM/ITAM questiona a abordagem tradicional de segurança da informação (SI) em negar iniciativas de integração, argumentando que o foco deveria ser na avaliação e mitigação de riscos, e não na proibição pura e simples. O artigo explora as possíveis razões por trás dessa postura, como limitações de recursos, responsabilidade e herança cultural.
MundiX News·09 de julho de 2026·4 min de leitura·👁 1 views
Um profissional com vasta experiência em implementações de ITSM/ITAM compartilha uma observação recorrente ao interagir com equipes de segurança da informação (SI) de clientes: a tendência de negar proativamente novas iniciativas, em vez de avaliar e propor soluções seguras. A situação típica envolve um service desk que deseja integrar-se a um sistema externo para automatizar tarefas, como a coleta de vulnerabilidades críticas de software. A resposta da SI, frequentemente, é um categórico "NÃO", citando a necessidade de manter um perímetro seguro e evitar conexões externas.
Essa abordagem levanta a questão fundamental: o papel da SI é proibir iniciativas ou avaliar riscos e oferecer caminhos para mitigá-los? Em um cenário ideal, a resposta da SI não seria uma negação, mas sim uma proposta de implementação segura. Isso poderia incluir a especificação de criptografia de tráfego, a concessão de acesso apenas a contas de serviço com privilégios mínimos, o registro detalhado de todas as interações, a implementação de Web Application Firewalls (WAF) ou proxies no perímetro, e revisões periódicas. O risco, argumenta o autor, não reside na conexão externa em si, mas na forma como ela é realizada, e gerenciar esse "COMO" é o cerne do trabalho da SI.
O autor propõe algumas hipóteses para explicar essa postura reativa da SI. Uma delas é a falta de orçamento e recursos. Dizer "NÃO" é gratuito, enquanto projetar, aprovar e manter uma integração segura demanda tempo, expertise e investimento financeiro. Se a equipe de SI é pequena, pode ser mais prático simplesmente negar qualquer solicitação. Outra hipótese é a questão da responsabilidade: uma permissão concedida pode gerar responsabilidade pessoal em caso de incidentes, enquanto uma proibição não acarreta o mesmo risco. Culturalmente, a SI em muitas empresas evoluiu de "departamentos de regime" onde tudo era fechado por padrão, e essa mentalidade pode persistir mesmo com a evolução do cenário de ameaças. Finalmente, a regulamentação, especialmente em relação a Infraestruturas Críticas de Informação (КИИ), pode justificar proibições em certos contextos, mas essa lógica às vezes é extrapolada para situações menos críticas, como a sincronização de um simples catálogo de vulnerabilidades.
O autor busca entender se sua observação é representativa ou se ele está diante de uma amostra não representativa de empresas com SI subinvestida. Ele questiona se práticas maduras de SI buscam ativamente soluções com medidas compensatórias, ou se a proibição por padrão é a abordagem correta diante do nível atual de ameaças. A discussão convida profissionais de SI e aqueles que interagem com elas a compartilhar suas perspectivas e experiências, especialmente sobre a eficácia da abordagem de "proibir por padrão" versus "permitir com mitigação".
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um profissional com vasta experiência em implementações de ITSM/ITAM compartilha uma observação recorrente ao interagir com equipes de segurança da informação (SI) de clientes: a tendência de negar proativamente novas iniciativas, em vez de avaliar e propor soluções seguras. A situação típica envolve um service desk que deseja integrar-se a um sistema externo para automatizar tarefas, como a coleta de vulnerabilidades críticas de software. A resposta da SI, frequentemente, é um categórico "NÃO", citando a necessidade de manter um perímetro seguro e evitar conexões externas.
Essa abordagem levanta a questão fundamental: o papel da SI é proibir iniciativas ou avaliar riscos e oferecer caminhos para mitigá-los? Em um cenário ideal, a resposta da SI não seria uma negação, mas sim uma proposta de implementação segura. Isso poderia incluir a especificação de criptografia de tráfego, a concessão de acesso apenas a contas de serviço com privilégios mínimos, o registro detalhado de todas as interações, a implementação de Web Application Firewalls (WAF) ou proxies no perímetro, e revisões periódicas. O risco, argumenta o autor, não reside na conexão externa em si, mas na forma como ela é realizada, e gerenciar esse "COMO" é o cerne do trabalho da SI.
O autor propõe algumas hipóteses para explicar essa postura reativa da SI. Uma delas é a falta de orçamento e recursos. Dizer "NÃO" é gratuito, enquanto projetar, aprovar e manter uma integração segura demanda tempo, expertise e investimento financeiro. Se a equipe de SI é pequena, pode ser mais prático simplesmente negar qualquer solicitação. Outra hipótese é a questão da responsabilidade: uma permissão concedida pode gerar responsabilidade pessoal em caso de incidentes, enquanto uma proibição não acarreta o mesmo risco. Culturalmente, a SI em muitas empresas evoluiu de "departamentos de regime" onde tudo era fechado por padrão, e essa mentalidade pode persistir mesmo com a evolução do cenário de ameaças. Finalmente, a regulamentação, especialmente em relação a Infraestruturas Críticas de Informação (КИИ), pode justificar proibições em certos contextos, mas essa lógica às vezes é extrapolada para situações menos críticas, como a sincronização de um simples catálogo de vulnerabilidades.
O autor busca entender se sua observação é representativa ou se ele está diante de uma amostra não representativa de empresas com SI subinvestida. Ele questiona se práticas maduras de SI buscam ativamente soluções com medidas compensatórias, ou se a proibição por padrão é a abordagem correta diante do nível atual de ameaças. A discussão convida profissionais de SI e aqueles que interagem com elas a compartilhar suas perspectivas e experiências, especialmente sobre a eficácia da abordagem de "proibir por padrão" versus "permitir com mitigação".
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.