Sem dúvida, as configurações de firewall mais maduras já conseguem dar uma excelente resposta ao assédio do invasor externo nas intranets corporativas. Mas é bem verdade que há, por vezes, uma crença exagerada nestes corta-fogo, como se todo o perigo cibernético viesse do mundo externo. A explicação histórica para a crença não é difícil de ser vislumbrada. Assim como as fortalezas medievais (que se garantiam com sólidas e robustas muralhas), as fortalezas de dados das grandes corporações viviam, até muito recentemente, num providencial isolamento, com os dados se movimentando quase que exclusivamente de um departamento para o outro. Assim, é lícito afirmar que as ilhas de comunicação eram também ilhas de segurança.

Além desta conformação de ilhas, a informação estratégica estava, até então, encastelada na atmosfera fria e filtrada dos CPDs, com acesso restrito a um número controlado de terminais (que tinham pouco poder ofensivo). De modo que os grandes mainframes eram muito semelhantes, neste aspecto, a inexpugnáveis cofres de aço.

Agora, tudo isto mudou. A digitalização dos negócios (o e-business) faz com que os dados da empresa residam em lugares abstratos e ilimitados do ciberespaço, podendo ser facilmente interceptados, manipulados ou infectados ao bel prazer do inimigo.

Ter um bom firewall, neste novo contexto, é como possuir algo concreto - ainda que sua existência seja apenas lógica - para construir um nicho para o patrimônio informacional e garantir que ele não fique como que à deriva no devir da rede global. Mas, se o firewall garante uma boa casa de alvenaria, não se pode dizer que ele seja a proteção mais eficaz contra aquele tipo de assalto a que o dado está sujeito, quando sai dos limites deste nicho e trafega pelas áreas públicas.

Abordagem sistêmica - Além de boas paredes, a abordagem militar deve ter em conta também a necessidade de boas escoltas, cachorros farejadores, vacinas e sentinelas bem armados. Esta abordagem integral, que aqui chamaremos de sistêmica, compreende a pregação nas empresas de uma filosofia de segurança envolvendo o completo processo de concepção, manutenção e transmissão/aquisição do dado. Análise de risco e comportamento seguro são, portanto, requisitos imprescindíveis para quem pretende estar a salvo.

A tecnologia da informação pode ajudar bastante, ao desenvolver dispositivos de segurança que já tragam embutida uma conduta, ou seja, que obriguem os indivíduos a agir de forma segura, assim como um software de groupware obriga a ações de equipe.

Mas, por mais completa que venha a ser a solução, muita coisa ainda vai depender dos indivíduos e do ecossistema informacional da empresa. Cabe aos provedores de security entender que seu domínio não é mais exclusivamente o da construção de muralhas ou da vigilância sanitária.

Além de bons anti-vírus, firewalls, catracas lógicas, softwares auditores de acesso e até aplicações de contra-espionagem, temos que buscar expertise em políticas seguras de storage e tolerância total a falha. O bom provedor de security tem que entender o negócio do cliente para conceber não só a venda de extintores lógicos, mas a estratégia de contingência para o caso de um incêndio. E já que a abordagem é sistêmica, que tal estudarmos um pouquinho sobre políticas de Recursos Humanos e comportamento criminal? Nem só de software e hardware vive o ciberespaço: a questão do peopleware estará cada vez mais presente nas políticas de segurança.

(*) Hélio Pedreira é diretor da União Digital