Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano99/9912aseg.htm
*Publicado originalmente pelo editor de Novo Milênio no caderno Informática do jornal A Tribuna de Santos, em 7/12/1999.
Última modificação em (mês/dia/ano/horário): 01/05/00 11:37:34
REDES
Segurança é gasto ou investimento? 

Aplicativos de proteção mal configurados até facilitam as intrusões

 Rodrigo Ormonde (*)
Colaborador

Notícias sobre invasões e ataques contra sites e redes estão cada vez mais freqüentes e corriqueiras. É muito comum escutarmos relatos de hackers que invadiram e modificaram páginas da Internet ou que roubaram números de cartões de crédito. Em função desses constantes ataques, segurança é um assunto que está ganhando cada vez mais importância no nosso cotidiano.

Praticamente todas as empresas que trabalham, de alguma forma, com informática já tiveram esta preocupação, em algum momento. Infelizmente, a segurança é normalmente colocada em segundo plano e quase sempre vista como uma despesa ou, na melhor das hipóteses, como um mal necessário. Poucas são as empresas que empenham recursos para se tornarem mais seguras. Destas, um número menor ainda é o daquelas que investem de forma consciente.

Na visão de muitos gerentes e administradores de rede, segurança se limita a aquisição de produtos de controle de acesso, firewalls e outros do gênero. Embora estes produtos sejam realmente essenciais para a grande maioria das instalações, por si só não garantem a segurança de nenhuma rede ou empresa. 

É necessário que eles sejam instalados corretamente e administrados por pessoas com um bom conhecimento da área e com tempo disponível para se preocupar em monitorar possíveis tentativas de invasão e novos tipos de ataques, que podem tornar vulnerável um sistema anteriormente seguro. A compra e a instalação de um produto de segurança sem este acompanhamento é muitas vezes pior que a sua ausência total, já que isso pode gerar um falso sentimento de que as instalações estão seguras e não existe mais necessidade de preocupações.

Segurança insegura – Esta realidade é mais comum do que se pensa. Já presenciamos, em nossas atuações como consultores, empresas com produtos de segurança tão mal configurados que se tornavam totalmente inúteis ou até mesmo, por mais incrível que possa parecer, facilitadores para uma possível invasão.
Mesmo que os sistemas estejam corretamente configurados, muitas vezes isso não é suficiente para se evitar invasões: novos ataques estão surgindo a cada dia e se não existirem pessoas com a função de monitorá-los e corrigir possíveis brechas, atacantes podem utilizá-los para invadir sistemas até então seguros.

Um exemplo relativamente recente deste tipo de problema foi a invasão dos sites da Presidência da República, Câmara dos Deputados e Tesouro Nacional, amplamente divulgada pela imprensa. As invasões ocorreram no dia 16/6/1999, sendo que no dia anterior foi divulgado um boletim avisando sobre um problema sério de segurança no aplicativo servidor de Web e mostrando uma forma para corrigir temporariamente a vulnerabilidade até que fosse lançada uma correção definitiva, que aconteceu no dia 18 do mesmo mês. O fato é que nenhum dos administradores dos sites acima recebeu o boletim ou deu a importância devida a ele. Caso contrário, as invasões não teriam se realizado.

Planejamento – Eis que surge a pergunta: por que tanto descaso com a segurança? Muitas vezes, os responsáveis pela segurança de uma empresa são administradores de rede que possuem diversas outras tarefas a serem realizadas. Estas tarefas são normalmente consideradas prioritárias (uma vez que se elas não forem executadas, o funcionamento da rede ficará comprometido) e, devido a isso, a preocupação com a segurança só aparece tarde demais, normalmente após uma invasão.

Estes exemplos servem para ilustrar que não adianta gastar milhões com a segurança, se este gasto não for planejado cuidadosamente, não for executado dentro de um cronograma de prioridades, que visa não só resolver o problema imediato, mas também conscientizar cada integrante de uma determinada empresa de que ele é parte fundamental do processo e de quais são suas responsabilidades.

A partir do momento em que os gastos são feitos desta forma, eles passam a ser considerados investimentos, já que é possível se reduzir os gastos com o retrabalho (execução de uma mesma tarefa várias vezes) e aproveitar o tempo dos funcionários que seria utilizado para conferir e validar informações, reinstalar e reconfigurar aplicativos em áreas produtivas para empresa. Normalmente, em um período de dois a três anos, uma empresa consegue recuperar todo o investimento feito em segurança e começa a ter lucro.

(*) Rodrigo Ormonde é especialista em segurança de redes e diretor da Aker Security Solutions, de Brasília.