Com
a adoção dos computadores pessoais nas empresas e o modelo
cliente/servidor substituindo grande parte das funções do
mainframe, as áreas de sistemas passaram a implantar uma quantidade
nunca vista de equipamentos em todas as áreas. Com isso, a figura
do TCO (Total Cost of Ownership Custo Total de Propriedade) passou a ser
um elemento fundamental no cálculo dos custos de instalação
e manutenção não só dos equipamentos de informática,
mas também de todos os departamentos que tenham qualquer tipo de
facilidade advinda dessa tecnologia.
Um estudo publicado
pelo Gartner Group Inc. concluiu que um computador pessoal equipado com
MS Windows 95 e conectado na rede de dados de uma empresa consome anualmente
US$ 9.784,00 (computados nesse valor os custos com aquisição,
conexão com a rede, suporte, upgrades de sistema e equipamento,
além dos relacionamentos da produtividade dos usuários com
o ambiente).
Mesmo antes
da publicação desse estudo, empresas de todo o mundo buscaram
soluções que pudessem equacionar um custo razoável
na manutenção de seus sistemas de tecnologia e o aumento
da competitividade oriunda dessas ferramentas. Além da pressão
dos usuários que sempre querem o melhor para o seu trabalho, existe
a idéia de que tecnologia da informação é um
investimento que deve gerar receita e ser um diferencial competitivo.
Algumas companhias
tiveram sucesso em diminuir seu TCO ao adotarem modelos computacionais
diferentes do usual, como os Network Computers da Sun, ou em mudar seus
sistemas de distribuição de informação de mídias
rígidas - CDs e disquetes - para mídias eletrônicas
enviadas pela Internet e criadas com novas tecnologias, como os arquivos.pdf
da Adobe Systems e animações em shockwave.
Porém,
um custo quase sempre esquecido pelos gerentes de tecnologia começa
a despontar como elemento diferenciador nas complexas equações
que calculam o TCO das empresas. A perda de informações críticas,
invasões de sistemas e vandalismo em sites institucionais representam
hoje um custo oculto que poucas empresas conseguem dimensionar, por isso
mesmo alteram, de maneira complicada, o cálculo de propriedade de
qualquer bem de uma empresa que utilize tecnologia para seu dia-a-dia -
ou seja, qualquer empresa.
AS PERDAS E
SEUS VALORES
Uma pesquisa
desenvolvida pela Módulo Security Solutions S.A. em 1998 coletou
dados de 176 empresas brasileiras que atuam com alta representatividade
em diversas áreas, e os resultados mostram que a segurança
dos sistemas representa a proteção de um bem ainda imensurável,
mas que todos os envolvidos têm certeza de que se trata de um item
fundamental para os valores das empresas, sejam eles financeiros, competitivos
ou institucionais.
Das empresas
pesquisadas, 35% sofreram algum tipo de invasão e 45% não
souberam responder se foram invadidas. Esse percentual parece pequeno se
comparado ao resultado de uma pesquisa realizada pelo FBI/CSI, na qual
74% das empresas americanas tiveram problemas de acesso indevido com seu
pessoal interno ou sofreram algum tipo de invasão externa. No relatório
de outra pesquisa realizada pela Information Week, 73% das empresas americanas
reportaram problemas de segurança nos últimos 12 meses.
Mas como o valor
desses problemas pode ser dimensionado? Bem, apesar de ser muito difícil
para qualquer empresa mensurar suas perdas financeiras relacionadas à
queda de credibilidade junto ao cliente, perda de imagem institucional
e roubo de informações privilegiadas, alguns dos problemas
mais comuns na área de segurança da informação
podem ser apresentados para dar uma idéia geral de quanto se perde
ao se ignorarem esses "buracos eletrônicos" nos sistemas.
DOS - DENIAL
OF SERVICE
Imagine uma
agência bancária cheia de clientes no último dia de
entrega do imposto de renda, que coincidiu com o último dia útil
do mês. São oito caixas para atender a um público de
350 pessoas por hora - uma média de 29 clientes por caixa. De repente
a rede de dados cai, o sistema dos caixas leva 40 minutos para ser restabelecido
e os clientes continuam entrando.
Nessa situação
hipotética, o caos estará formado, os clientes passarão
a falar mal da instituição, e o custo de perda da imagem
institucional junto ao público será somado às horas-extras
a serem pagas aos funcionários que ficarão depois do horário
comercial. O gerente da agência ainda terá de lidar com o
estresse que todos viverão. Pois é, já vi essa situação
acontecer e há pouco tempo...
Essa vulnerabilidade
é causada por falhas comuns nos protocolos utilizados em uma rede
de dados. Esses "furos" criam situações em que uma pessoa
mal-intencionada pode enviar uma série de informações
específicas para um servidor, tirando-o do ar e desligando toda
a rede. Esse tipo de vulnerabilidade é facilmente evitado com a
instalação de produtos especialmente desenvolvidos para os
sistemas operacionais que mantêm as redes funcionando. Mas será
que os computadores da sua empresa estão com esse tipo de configuração
corretamente instalada?
A análise
de um grande banco brasileiro mostrou que, de 72 servidores MS Windows
NT, 98% estavam vulneráveis a esse tipo de problema e nenhum dos
administradores entrevistados conseguia identificar a ligação
entre DoS e a falta dos programas adicionais de proteção.
VÍRUS
ELETRÔNICOS
Talvez os vírus
eletrônicos sejam o problema de segurança mais comum e conhecido
das pessoas em geral. Apesar de vacinas serem adotadas na maioria das empresas,
vários tipos novos de vírus surgem todos os dias e dificilmente
você estará 100% protegido desse problema. A maioria dos intrusos
eletrônicos é resultado da brincadeira (de mau gosto?) de
um bom programador e não afeta em nada os sistemas: mostra somente
frases engraçadas ou que assustam o usuário.
Porém,
alguns são extremamente perigosos para a integridade dos sistemas
e arquivos, pois podem destruir as informações essenciais
ao funcionamento do computador, além de apagar informações
que deram muito trabalho para serem desenvolvidas. Isso nos leva a duas
soluções claras, baratas e... dificilmente adotadas pelos
gerentes de sistemas e seus técnicos.
A simples instalação
de um produto antivírus pouco ou de nada vale. Conforme falei anteriormente,
os vírus surgem diariamente e, sem a atualização das
vacinas, estes não podem ser detectados e destruídos completamente.
E embora a atualização requeira alguns minutos de conexão
com o site do fabricante e o download de um arquivo pequeno, dificilmente
os responsáveis pelas redes lembram desse pequeno detalhe.
BACK-UP
Na mesma categoria
da vulnerabilidade anteriormente descrita, podemos colocar o uso de back-up
como complemento da solução e parte do problema. Quando os
dados são perdidos devido à infecção por vírus,
o administrador do sistema teoricamente poderia recuperá-lo com
as cópias de segurança. E embora a política de segurança
dos sistemas das empresas brasileiras tenha como item obrigatório
a manutenção de cópias periódicas dos arquivos,
muitas vezes elas são esquecidas ou feitas parcialmente, prejudicando
a recuperação das informações. Estas podem
ser qualquer tipo de arquivo, um projeto, uma pesquisa, um estudo estratégico
ou qualquer dado que tenha custado muitos homens-horas para ser produzido.
INVASÕES
E ESPIONAGEM INDUSTRIAL
Muitas vezes
a espionagem industrial parece estar mais para filmes de James Bond do
que para a realidade brasileira, porém falhas de segurança
primárias, como o compartilhamento de discos rígidos, diretórios
e arquivos, podem ser consideradas premissas para que informações
confidenciais caiam nas mãos de concorrentes ou apareçam
ao público antes da hora, perdendo seu valor estratégico.
Se a sua rede
de dados não tem conexão com o mundo, você está
protegido dessa vulnerabilidade, certo? Bem, de acordo com diversas pesquisas
feitas nessa área, mais de 40% desses problemas têm origem
dentro de casa, sendo causados por funcionários e prestadores de
serviço conectados em redes internas.
COMO SE PROTEGER
E REDUZIR O CUSTO?
Todos os problemas
citados nesse texto - e outros de cunho um pouco mais técnico porém
dentro do mesmo escopo são causados pela falta de uma política
de segurança eficaz. Por se tratar de uma ciência relativamente
nova no Brasil, a segurança da informação não
era muito conhecida, mas o crescimento da importância da informática
e do controle das informações digitais tem levado muitos
gestores a investir nesses processos para proteger seu capital intelectual
e diminuir seus custos decorrentes desses furos.
A adoção
de uma política de segurança eficaz engloba um longo processo
de análise dos ambientes, sistemas e pessoas, e seu desenvolvimento
e implementação precisam ser acompanhados de perto por profissionais
de todas as áreas envolvidas. Demora, mas vale a pena. Parodiando
um conhecido comercial, uma política de segurança custa muito
menos do que um dia de perda das informações. .
Eduardo Neves
é Consultor de Segurança da Módulo Security Solutions
S.A.
Retirado
de http://www.modulo.com.br/noticia/a-tco.htm |