Um estudo publicado pelo Gartner Group Inc. concluiu que um computador pessoal equipado com MS Windows 95 e conectado na rede de dados de uma empresa consome anualmente US$ 9.784,00 (computados nesse valor os custos com aquisição, conexão com a rede, suporte, upgrades de sistema e equipamento, além dos relacionamentos da produtividade dos usuários com o ambiente). 

Mesmo antes da publicação desse estudo, empresas de todo o mundo buscaram soluções que pudessem equacionar um custo razoável na manutenção de seus sistemas de tecnologia e o aumento da competitividade oriunda dessas ferramentas. Além da pressão dos usuários que sempre querem o melhor para o seu trabalho, existe a idéia de que tecnologia da informação é um investimento que deve gerar receita e ser um diferencial competitivo. 

Algumas companhias tiveram sucesso em diminuir seu TCO ao adotarem modelos computacionais diferentes do usual, como os Network Computers da Sun, ou em mudar seus sistemas de distribuição de informação de mídias rígidas - CDs e disquetes - para mídias eletrônicas enviadas pela Internet e criadas com novas tecnologias, como os arquivos.pdf da Adobe Systems e animações em shockwave. 

Porém, um custo quase sempre esquecido pelos gerentes de tecnologia começa a despontar como elemento diferenciador nas complexas equações que calculam o TCO das empresas. A perda de informações críticas, invasões de sistemas e vandalismo em sites institucionais representam hoje um custo oculto que poucas empresas conseguem dimensionar, por isso mesmo alteram, de maneira complicada, o cálculo de propriedade de qualquer bem de uma empresa que utilize tecnologia para seu dia-a-dia - ou seja, qualquer empresa. 

AS PERDAS E SEUS VALORES 

Uma pesquisa desenvolvida pela Módulo Security Solutions S.A. em 1998 coletou dados de 176 empresas brasileiras que atuam com alta representatividade em diversas áreas, e os resultados mostram que a segurança dos sistemas representa a proteção de um bem ainda imensurável, mas que todos os envolvidos têm certeza de que se trata de um item fundamental para os valores das empresas, sejam eles financeiros, competitivos ou institucionais. 

Das empresas pesquisadas, 35% sofreram algum tipo de invasão e 45% não souberam responder se foram invadidas. Esse percentual parece pequeno se comparado ao resultado de uma pesquisa realizada pelo FBI/CSI, na qual 74% das empresas americanas tiveram problemas de acesso indevido com seu pessoal interno ou sofreram algum tipo de invasão externa. No relatório de outra pesquisa realizada pela Information Week, 73% das empresas americanas reportaram problemas de segurança nos últimos 12 meses. 

Mas como o valor desses problemas pode ser dimensionado? Bem, apesar de ser muito difícil para qualquer empresa mensurar suas perdas financeiras relacionadas à queda de credibilidade junto ao cliente, perda de imagem institucional e roubo de informações privilegiadas, alguns dos problemas mais comuns na área de segurança da informação podem ser apresentados para dar uma idéia geral de quanto se perde ao se ignorarem esses "buracos eletrônicos" nos sistemas. 

DOS - DENIAL OF SERVICE 

Imagine uma agência bancária cheia de clientes no último dia de entrega do imposto de renda, que coincidiu com o último dia útil do mês. São oito caixas para atender a um público de 350 pessoas por hora - uma média de 29 clientes por caixa. De repente a rede de dados cai, o sistema dos caixas leva 40 minutos para ser restabelecido e os clientes continuam entrando. 

Nessa situação hipotética, o caos estará formado, os clientes passarão a falar mal da instituição, e o custo de perda da imagem institucional junto ao público será somado às horas-extras a serem pagas aos funcionários que ficarão depois do horário comercial. O gerente da agência ainda terá de lidar com o estresse que todos viverão. Pois é, já vi essa situação acontecer e há pouco tempo... 

Essa vulnerabilidade é causada por falhas comuns nos protocolos utilizados em uma rede de dados. Esses "furos" criam situações em que uma pessoa mal-intencionada pode enviar uma série de informações específicas para um servidor, tirando-o do ar e desligando toda a rede. Esse tipo de vulnerabilidade é facilmente evitado com a instalação de produtos especialmente desenvolvidos para os sistemas operacionais que mantêm as redes funcionando. Mas será que os computadores da sua empresa estão com esse tipo de configuração corretamente instalada?

A análise de um grande banco brasileiro mostrou que, de 72 servidores MS Windows NT, 98% estavam vulneráveis a esse tipo de problema e nenhum dos administradores entrevistados conseguia identificar a ligação entre DoS e a falta dos programas adicionais de proteção. 

VÍRUS ELETRÔNICOS 

Talvez os vírus eletrônicos sejam o problema de segurança mais comum e conhecido das pessoas em geral. Apesar de vacinas serem adotadas na maioria das empresas, vários tipos novos de vírus surgem todos os dias e dificilmente você estará 100% protegido desse problema. A maioria dos intrusos eletrônicos é resultado da brincadeira (de mau gosto?) de um bom programador e não afeta em nada os sistemas: mostra somente frases engraçadas ou que assustam o usuário. 

Porém, alguns são extremamente perigosos para a integridade dos sistemas e arquivos, pois podem destruir as informações essenciais ao funcionamento do computador, além de apagar informações que deram muito trabalho para serem desenvolvidas. Isso nos leva a duas soluções claras, baratas e... dificilmente adotadas pelos gerentes de sistemas e seus técnicos. 

A simples instalação de um produto antivírus pouco ou de nada vale. Conforme falei anteriormente, os vírus surgem diariamente e, sem a atualização das vacinas, estes não podem ser detectados e destruídos completamente. E embora a atualização requeira alguns minutos de conexão com o site do fabricante e o download de um arquivo pequeno, dificilmente os responsáveis pelas redes lembram desse pequeno detalhe. 

BACK-UP 

Na mesma categoria da vulnerabilidade anteriormente descrita, podemos colocar o uso de back-up como complemento da solução e parte do problema. Quando os dados são perdidos devido à infecção por vírus, o administrador do sistema teoricamente poderia recuperá-lo com as cópias de segurança. E embora a política de segurança dos sistemas das empresas brasileiras tenha como item obrigatório a manutenção de cópias periódicas dos arquivos, muitas vezes elas são esquecidas ou feitas parcialmente, prejudicando a recuperação das informações. Estas podem ser qualquer tipo de arquivo, um projeto, uma pesquisa, um estudo estratégico ou qualquer dado que tenha custado muitos homens-horas para ser produzido. 

INVASÕES E ESPIONAGEM INDUSTRIAL 

Muitas vezes a espionagem industrial parece estar mais para filmes de James Bond do que para a realidade brasileira, porém falhas de segurança primárias, como o compartilhamento de discos rígidos, diretórios e arquivos, podem ser consideradas premissas para que informações confidenciais caiam nas mãos de concorrentes ou apareçam ao público antes da hora, perdendo seu valor estratégico. 

Se a sua rede de dados não tem conexão com o mundo, você está protegido dessa vulnerabilidade, certo? Bem, de acordo com diversas pesquisas feitas nessa área, mais de 40% desses problemas têm origem dentro de casa, sendo causados por funcionários e prestadores de serviço conectados em redes internas. 

COMO SE PROTEGER E REDUZIR O CUSTO? 

Todos os problemas citados nesse texto - e outros de cunho um pouco mais técnico porém dentro do mesmo escopo são causados pela falta de uma política de segurança eficaz. Por se tratar de uma ciência relativamente nova no Brasil, a segurança da informação não era muito conhecida, mas o crescimento da importância da informática e do controle das informações digitais tem levado muitos gestores a investir nesses processos para proteger seu capital intelectual e diminuir seus custos decorrentes desses furos. 

A adoção de uma política de segurança eficaz engloba um longo processo de análise dos ambientes, sistemas e pessoas, e seu desenvolvimento e implementação precisam ser acompanhados de perto por profissionais de todas as áreas envolvidas. Demora, mas vale a pena. Parodiando um conhecido comercial, uma política de segurança custa muito menos do que um dia de perda das informações. . 

Eduardo Neves é Consultor de Segurança da Módulo Security Solutions S.A. 

Retirado de http://www.modulo.com.br/noticia/a-tco.htm