NOTÍCIAS 2002

Segurança: a sobrevivência dos negócios

Nem parece que faz tanto tempo, mas já se fala em segurança das informações há aproximadamente sete anos. Abstraindo mais sobre o tema, podemos considerar que a preocupação com segurança completa mais de quarenta anos. Desde o mainframe até os dias de hoje, muita coisa mudou. Depois da febre das redes de computadores, as empresas tiveram que abrir mão do processamento centralizado para implementar estações de trabalho que têm poder de processamento muitas vezes superior ao dos supercomputadores do passado.

Da mesma forma que o processamento, a segurança deixou de ser uma preocupação isolada ao perímetro da sala dos servidores, para se estender até onde os usuários estão. Neste cenário de longa data, podemos chegar à conclusão de que, após sete anos, a maioria das empresas está encarando a segurança como uma necessidade de sobrevivência dos negócios.

Mas os fatos denunciam: depois da queda das torres do World Trade Center, as empresas que oferecem serviços de site backup registraram crescimento de 150% na procura por seus serviços. O mais interessante desta informação de mercado é que a contratação de sites backup só minimiza os riscos de indisponibilidade. Isto quer dizer que no caso de fraudes e alteração das informações da empresa, o site backup estará exibindo com fidelidade essas informações para seus clientes e fornecedores.

Como no caso recente que aconteceu com o site Playboy.com, em que uma porta-voz da empresa  emitiu um parecer informando que foram identificadas atividades “estranhas” nos servidores da companhia. Infelizmente, esse fato ocorreu após um grupo hacker ter enviado uma mensagem para todos os clientes do website informando o nome completo e o número de cartão de crédito da vítima. Também foi informada uma lista de cuidados que o consumidor on-line deve tomar, entre eles a sugestão para não confiar dados pessoais a qualquer companhia. Segundo informações do próprio grupo hacker, o acesso total às informações na rede da Playboy.com está acontecendo desde 1998.

Plano necessário - Conclusão: estar disponível não significa estar seguro. Contudo, é recomendável aproveitar a maré favorável de investimentos em planos de continuidade de negócios e recuperação de desastres, lembrando que além da preocupação com os imprevistos, como um ataque terrorista contra a unidade central de sua organização, questões às quais damos menos importância, como a saída daquele administrador de rede que detém todo o conhecimento dos processos de funcionamento da tecnologia na empresa, devem ser contempladas no plano.

Até quando as empresas ficarão a mercê dos acontecimentos? A chave para o sucesso de um programa de segurança das informações reside em tomar uma posição preventiva contra as ameaças e riscos de segurança, reduzindo os pontos vulneráveis para evitar que estas fraquezas sejam utilizadas contra a sua organização.

Grande parte dos gerentes e diretores de TI acredita que o problema da segurança se resume a equipamentos. Hoje a tendência é adquirir um Intrusion Detection System (IDS), assim como no passado foram os firewalls. Essas tecnologias são muito boas e necessárias, mas antes faz-se necessário saber onde esta tecnologia será implementada, além da configuração ideal para as necessidades do negócio. É preferível não ter um firewall a mantê-lo desatualizado ou mal configurado. Ter um novo ativo em nossa rede é tangibilizar o conceito de single-point-of-failure, mas conhecido como o elo mais fraco da corrente.

Uma outra tendência no mercado é a BS 7799. Muitos executivos, direta ou indiretamente responsáveis pela segurança nas empresas, estão adquirindo a publicação brasileira da norma, achando que estão comprando uma política de segurança. A British Standards (BS) é uma importante iniciativa, com um objetivo claramente definido: “fornecer uma base comum para o desenvolvimento organizacional de padrões de segurança e práticas efetivas de gerenciamento da segurança”. A própria norma cita a importância de que cada empresa desenvolva os seus manuais específicos, observando o seu contexto organizacional, tomando como base os padrões ou melhores práticas ali descritas.

Pessoal interno - De acordo com as últimas pesquisas realizadas pelo Computer Security Institute (CSI), 71% dos incidentes de segurança são causados pelo pessoal interno. Nesta estatística, que já faz parte do discurso comum das pessoas envolvidas com segurança, devemos considerar que além dos tão temidos funcionários insatisfeitos, muitos dos incidentes são ocasionados por erros. Educação é fundamental para resolver os erros e acidentes, e também conscientizar os parceiros, funcionários e terceiros.

Realizar a segurança utilizando recursos internos é problemático pelo fato de estarmos sempre correndo atrás do problema. Afinal de contas, a segurança não é a atividade fim da maioria das empresas e alguns já descobriram o preço alto da perda do foco no core business. Realizar os pesados investimentos em treinamento e manutenção do conhecimento da segurança das informações para funcionários é um risco quando se percebe o quanto o mercado está disposto a pagar por profissionais preparados. Quem não quer ou não pode participar deste leilão de cabeças acaba perdendo seus profissionais e todo o investimento realizado.

No mundo conectado em que vivemos, nunca haverá uma segurança absoluta ou segurança 100%; entretanto, há maneiras de minimizar eficientemente o número destas vulnerabilidades. Uma delas é contratar uma consultoria de segurança das informações que tenha uma visão abrangente do tema, entendendo que, mais do que um processo, a segurança das informações deve observar de forma equilibrada a tríade: tecnologia, processos e pessoas.

(*) André Correia é gerente de Planejamento e Consultoria da Open Communications Security. É graduado pela PUC-RJ em Tecnologia em Processamento de Dados e tem especialização em Redes de Computadores.