Segurança de rede preocupa
as empresas
A crescente
necessidade de estar acessível a todos, em todos os lugares, através
da Internet, implica em garantir proteção contra os ataques
virtuais. O grande desafio agora é saber como se proteger e o quanto
investir, para evitar invasões e o roubo de informações.
Entender que a Internet é
mais uma porta da empresa que precisa ser vigiada. Esse é o argumento
mais forte de quem trabalha com segurança na Rede Mundial. Assim
como no mundo real, é necessário saber quem entra, quem sai,
o que está trazendo e o que está levando da empresa. O único
problema é que, pela Internet, as empresas não dispõem
de ferramentas como câmeras, portas com detectores de armas, vigias
se revezando noite e dia e muito menos alarme conectado à delegacia
de polícia mais próxima. Então, o que fazer quando
se sabe que a empresa está sendo invadida virtualmente?
O discurso sobre segurança
empresarial gira em torno da informação, considerada hoje
o maior patrimônio de uma empresa. Ao menor descuido, toda a informação
acumulada ao longo de anos de trabalho poderá ser passada para as
mãos do concorrente, ser do conhecimento de um hacker, ou
até ir para o computador de um cracker - espécie de
pirata da Internet. Ele poderá, por exemplo, roubar números
de cartões de crédito usados em compras na Rede por seus
proprietários e sair comprando tudo o que encontrar nos centros
virtuais de compras, sem jamais ser pego. O exemplo é simples, mas
ilustra bem a fragilidade do meio de comunicação mais moderno,
rápido e prático e eficiente de que se tem notícia
até hoje.
A discussão sobre segurança
na Internet não é pequena. No Brasil ela já chegou
ao Congresso Nacional, que se apressa em aprovar leis que definem o que
são crimes eletrônicos, meios legais de evitar que eles aconteçam
e punição para quem burlar as leis, exatamente como acontece
no mundo real. Enquanto os projetos de lei não são aprovados,
as empresas privadas investem milhões de dólares em segurança
para proteger seu maior patrimônio, as informações.
Dos usuários que costumam comprar livros pela Internet, às
pequenas empresas de turismo até bancos e multinacionais de todos
os ramos e tamanhos, a preocupação em cuidar dos dados e
informações que circulam na rede é prioridade absoluta.
Fóruns - Quando se
fala de segurança da informação, não se fala
apenas em proteção de redes com firewalls. Justamente
para abranger o maior número de pontos deste assunto é que
acontecem, em São Paulo, a 7ª edição do Security
Fórum SP - Congresso Nacional Sobre Segurança e Auditoria
da Informação, e o Internet Business Law Forum 2001. Nestes
eventos, especialistas em segurança, juristas, políticos
e dirigentes empresariais vão discutir planejamento e estratégias
de segurança, tecnologias de autenticação, leis e
tendências no uso da Rede Mundial.
A discussão ainda vai acontecer,
mas empresas como o Banco Santos já estão bem avançadas
nos cuidados com as informações que armazenam. O banco, que
atende só clientes corporativos com faturamento acima de 35 milhões
por ano, conta com apenas 5 pontos de atendimento reais, ou agências.
Todo o atendimento ao cliente é feito através da página
do banco na Internet. Dessa forma, o banco faz com que o atendimento seja
bastante eficiente e diferenciado.
Segundo Antônio Seita, diretor
de Segurança da Informação do Banco Santos e um dos
palestrantes nos eventos da Mantel.Com, o site da instituição
é topo de linha em matéria de segurança para o cliente.
Para que o atendimento seja realmente eficiente, assim que o cliente é
admitido, o banco ministra um curso rápido sobre Segurança
da Informação, orientando os usuários a otimizar a
ferramenta e os serviços disponíveis.
O banco elabora um perfil dos usuários
dos serviços disponíveis para o cliente. Ele mesmo, se preferir,
poderá fazer essa configuração de perfil de acordo
com as funções de cada funcionário. Dependendo do
perfil do usuário, o banco oferece uma identidade digital, para
garantir que as operações sejam ainda mais seguras. Se alguém
quiser acessar a conta corrente do cliente e errar a senha três vezes,
outro esquema de segurança dispara e-mails a todos os usuários
cadastrados, avisando que alguém estranho está tentando entrar
na área reservada.
Sigilo - Os cuidados com as
informações cadastrais e financeiras do cliente não
se restringem à página da Internet. O controle de acesso
aos funcionários à Rede Mundial também é muito
rigoroso. O banco não permite o acesso de todos os funcionários
a ela e os e-mails são vigiados bem de perto. Há regras para
mensagens eletrônicas, filtros para arquivos atachados e auditorias
freqüentes. O banco possui um low-base com o perfil de cada
funcionário e o supervisor de rede é quem define quem tem
acesso a Internet e ao correio eletrônico.
"A informação é
nosso maior patrimônio. Estamos lidando com dados extremamente sigilosos
sobre nossos clientes e sobre o que eles possuem. Não podemos negligenciar
com isso. Nossa imagem e reputação estão em jogo,
e esse é o argumento usado para justificar um investimento de 20%
do orçamento na área de Segurança da Informação",
afirma Antonio Seita.
Ainda segundo o executivo, "o setor
financeiro saiu na frente na proteção de informações
e a tendência é isso se expandir cada vez mais para outros
setores. O que acontece com as demais empresas é que elas ainda
não estão tão conectadas como as instituições
financeiras, mas a tendência é aumentar cada vez mais a procura
por equipamentos, sistemas e estratégias que garantam um gerenciamento
eletrônico mais tranqüilo". Mesmo com todo esse esquema de segurança
à disposição, se o cliente precisar poderá
ligar para a Diretoria de Segurança da Informação
para obter ajuda ou mesmo esclarecer alguma dúvida.
Outsourcing - A rapidez com
que a Internet está se expandindo no País está fazendo
com que o assunto segurança se torne cada vez mais popular, aumentando
a necessidade de profissionais com grande conhecimento em administração
de redes. Apesar da crescente necessidade da segurança de rede,
a empresa não precisa destacar funcionários, ou até
contratar novos, só para realizar esse trabalho. O outsourcing
é uma boa opção para empresas que precisam de monitoração
contínua de sua rede. A experiência vem sendo apontada como
forte tendência na área de segurança da informação
aos que precisam de proteção sem precisar se aprofundar no
assunto.
Desde 1999, quando as empresas começaram
a enxergar na Internet um negócio promissor, as equipes de Tecnologia
da Informação ganharam maior importância nesse quadro.
Os executivos dessa área têm hoje o desafio de entender os
processos de segurança e tecnologia e ainda administrar o pessoal
neles envolvidos. Optando pelo outsourcing, a empresa pode se concentrar
no seu negócio principal, sem descuidar da segurança que
o envolve.
Pensar no quanto os dados e informações
são importantes para a empresa é o primeiro passo para a
definição da política de segurança a ser adotado.
Estimar o valor destas informações para a empresa vai indicar
o quanto ela deve investir em proteção. Para Dario Caraponale,
diretor de Tecnologia da Hitech (subsidiária brasileira da E-Tech,
empresa especializada em proteção virtual, há 25 anos
no mercado brasileiro), não existe um pacote pronto de proteção.
"Tudo vai depender da análise
de risco da empresa, e isso é definido ao analisar se as informações
são facilmente acessíveis, o perfil dos funcionários
da empresa, o que ela tem a proteger e de quem são as informações
armazenadas em seus arquivos. É por isso que não dá
para estimar os gastos. Para uma empresa de médio porte, eles podem
variar de alguns poucos mil a até milhares de dólares. É
um investimento que sempre vale a pena se você avaliar todas as informações
que uma instituição acumula durante seus anos de vida".
Quatro pontos - Um sistema
só é seguro quando é possível analisar quatro
pontos: confidencialidade da informação, ou quantas pessoas
têm acesso a ela; autenticação, o que mostra que a
pessoa que assina o documento é realmente quem o escreveu e enviou;
integridade, quando o documento ou mensagem não sofreu nenhuma alteração;
e por fim o não repúdio, o que impede que a pessoa que o
escreveu e o enviou negue a atitude.
Para completar toda a estrutura de
segurança, é imprescindível fazer auditorias periódicas,
para identificar as falhas e os agentes dos problemas e, o mais importante,
garantir que os colaboradores da empresa estejam seguindo os procedimentos
pré-definidos necessários à proteção
das informações.
Com o outsourcing, o cliente
terá a exata noção do que precisa, com a garantia
de ser atendido por especialistas no assunto, disponíveis sempre
que ele precisar. "Como são especialistas, os profissionais
vão observar todas as regras acima, sem risco para o negócio
do cliente. Ele poderá, dessa forma, se concentrar nos seus processos
internos, ao mesmo tempo em que conta com o know-how de aliados",
ressalta Caraponale, que falará sobre o outsourcing no Security
Fórum SP.
Iniciativa - Para Caraponale,
"a iniciativa da Mantel.Com, de fazer eventos contemplando a discussão
sobre segurança e legislação, mostra que ela está
preocupada em estreitar os relacionamentos entre empresas que precisam
de um plano de segurança e empresas que trabalham com a segurança
de que elas precisam. Isso vai reforçar a idéia de segurança
da Internet e ao mesmo tempo facilitar novos negócios".
Antônio Seita, do Banco Santos,
vai pelo mesmo caminho: "O evento é importante pois possibilita
uma catequese das empresas inseridas no comércio e relacionamento
eletrônicos. O assunto ainda precisa ser mais explorado, só
assim conseguiremos despertar a consciência das empresas para a importância
de se proteger de ataques virtuais". O executivo estará presente
no Security Forum para falar sobre "Investimento em Segurança, Como
Justificar e Priorizar".
Riscos - Tomar cuidado com
documentos e dinheiro já não é preocupação
só de quem anda nas ruas. Impedir que pessoas estranhas e mal intencionadas
tenham acesso a informações sigilosas e documentos importantes,
como dados bancários e autorizações, tornou-se dupla
preocupação desde que a Internet passou a estar presente
no cotidiano das pessoas e das empresas. Junto com o conforto e a comodidade,
a Internet trouxe uma nova modalidade de crime: o eletrônico. Fazer
compras, verificar o saldo no banco, passar ordens e autorizações
por e-mail, muito mais do que simples conforto, é agora também
fonte de preocupação para quem se utiliza da rede mundial.
Não é raro conhecer
alguém que já teve o seu cartão de crédito
clonado, ou o RG e CPF usados por terceiros, bem como saber de bancos,
lojas e empresas que tiveram suas informações nas mãos
de invasores virtuais. O próprio governo federal já enfrentou
o problema quando da invasão de sua página na Internet por
hackers.
Os crimes eletrônicos estão se tornando cada vez mais comuns.
Nos Estados Unidos, um dos países
que mais investem em segurança de Internet, 155 sistemas do governo
foram violados só no ano passado, enquanto cerca de 64% das empresas
americanas registraram prejuízos estimados em US$ 378 milhões,
por conta das invasões. No Brasil, 41% das empresas pesquisadas
sequer sabem se foram invadidas. Das empresas que afirmaram ter sofrido
algum tipo de invasão, 85% disseram não ter sido possível
quantificar o prejuízo. Os dados nacionais são da Módulo,
empresa especializada em segurança eletrônica, que terá
seus principais executivos como conferencistas dos eventos.
Em Brasília - O assunto
é tão sério que deputados e senadores já apresentaram
vários projetos de lei tipificando o que é crime na Internet.
Ao todo, são 113 projetos, mas apenas 20 são relevantes e
estão sendo discutidos no Congresso Nacional. Procuram abranger
segurança na Web, assinatura e autenticação digital,
respeito às leis de proteção dos outros países
e até a responsabilidade dos provedores em abrigar conteúdo
proibido em seus equipamentos.
Projetos como o do senador Maurício
Correa, que define como crime de violação ou adulteração
de bancos de dados, a utilização e comercialização
de documentos eletrônicos cujo acesso não tenha sido autorizado.
Outros projetos de parlamentares tratam de comércio eletrônico,
certificação, assinaturas digitais, validade jurídica
de documentos virtuais e até sobre a forma de arquivamento de documentos
eletrônicos. No Internet Business Law, os deputados federais Julio
Semeghini e Luiz Piauhylino serão os palestrantes da sessão
de abertura do evento, abordando o tema "Projetos de Lei para o Mundo Digital
Brasileiro". Eles são os relatores do texto "Documento Eletrônico
e Assinatura Digital" que tramita no Congresso.
Luis Fernando Martins Castro, advogado
e professor de Informática Jurídica na FAAP, também
um dos conselheiros do evento e palestrante da sessão de conclusão
do IBLaw, garante que não há necessidade de se criar mais
leis. “As leis a serem aplicadas são quase que as mesmas do Código
Civil atual, bastando serem feitas apenas algumas alterações
para abranger também o crime virtual”, diz o advogado. Segundo ele,
alguns itens específicos merecem atenção especial,
como a proteção aos dados pessoais, por exemplo. Enquanto
na Europa o controle é bastante rígido, no Brasil não
há lei que proteja quem possui esse tipo de informação.
“O mais interessante é que as leis brasileiras derivam das leis
européias, só que lá, a preocupação
com a segurança das informações chegou primeiro. O
Brasil está demorando a adotar as mesmas regras”, comenta Martins
Castro.
Certificação Eletrônica
- Um dos pontos mais importantes – e que promete muitas discussões
– a respeito de segurança na Internet é a assinatura eletrônica.
Hoje em dia, um documento só é considerado válido
se a assinatura for reconhecida por um cartório como sendo idêntica
à da pessoa que assinou. Isso invalida qualquer contrato ou documento
que esteja circulando na Internet e que pretenda ser reconhecido como autêntico,
mesmo sem ter passado por algum cartório. A única forma de
validar documentos eletrônicos é uma autenticação
eletrônica. Esse sistema já existe, mas precisa de aprovação
do Congresso Nacional para se tornar legal.
Todos são unânimes em
reconhecer a necessidade da certificação digital. Algumas
empresas privadas já praticamente aboliram a circulação
de papel pelas mesas dos funcionários, fazendo valer apenas o que
é escrito em e-mails. Para a justiça, o problema já
não é tão simples. Há a necessidade de provar
que determinado documento foi realmente aprovado por quem assina e, principalmente,
provar que não sofreu nenhuma adulteração, já
que é muito fácil alterar textos, dados e imagens virtuais.
Atualmente, a autenticação
de documentos é feita em cartórios, cujo carimbo ou selo
valida qualquer documento. O ponto que está sendo discutido no Congresso
Nacional é quem estará habilitado a validar os documentos
eletrônicos, se empresas, bancos, entidades de classe, ou se a tarefa
continuará sendo monopólio dos cartórios. Segundo
Martins Castro, um dos projetos propostos por deputados filiados à
OAB prevê que os serviços de autenticação continuem
sendo fornecidos pelos cartórios, mas que entidades de classe como
a OAB, Fiesp entre outras, bem como bancos e associações
também possam prestar esse serviço.
“São entidades e empresas
idôneas, preocupadas em prestar um bom serviço. As chances
de fraudes são muito pequenas, dado o cuidado que têm com
as próprias imagens e integridade moral” completa o advogado. Para
ele, ainda que as entidades públicas e privadas possam validar documentos
eletrônicos, o modelo privado vai prevalecer, assumindo mais tarde
o papel dos cartórios na certificação de documentos.
“Para os atores da Era Digital, existe a percepção de que
o modelo já está lançado, agora é só
entrar na roda”, diz Martins Castro.
“De fato, países como a República
Tcheca, Colômbia, Espanha e Portugal possuem as leis mais eficientes
do mundo para o controle do comércio digital e são bons exemplos
a serem seguidos. O Brasil, por sua importância neste mercado, precisa
estar alinhado aos países parceiros nos negócios. Os bons
modelos estão aí e é imperativo e urgente não
deixar que problemas burocráticos impeçam as empresas aqui
instaladas, nacionais ou não, grandes ou pequenas, de participarem
do mundo digital”, conclui o presidente da Mantel.Com, Robert Janssen.
Veja mais:
Em
SP, segurança e legislação para Internet |