Inimigo na trincheira (*)
Leonardo Carissimi ()
Os resultados obtidos em uma
recente pesquisa feita pela Information Security Magazine entre seus 30 mil
assinantes são contundentes: os executivos responsáveis pela Segurança da
Informação estão levando a sério os riscos de ataques internos à empresa.
Os ataques internos são
historicamente apontados como responsáveis por cerca de 70% dos problemas de
segurança que uma empresa sofre. Entretanto, o destaque dado pela mídia aos
ataques externos, ocasionados por hackers, permite que esse tipo de vandalismo digital
tenha muito mais visibilidade.
Aliás, é da própria da natureza
desses ataques a visibilidade na mídia, como quando uma página do site é
trocada, ou o site é indisponibilizado por um ataque do estilo
denial-of-service (negação de serviço). Esse último tipo, por exemplo, gerou
repercussão na mídia mundial em fevereiro, quando pesos pesados da rede como
Amazon e Yahoo experimentaram seus efeitos.
Qual o impacto dos ataques
externos para o negócio? Muito grande: prejudica a imagem da empresa no mercado
e torna seu serviço on-line indisponível, causando perda de receita e,
eventualmente, de mercado - só para citar duas conseqüências mais comuns. Os
prejuízos são inquestionáveis. E para os hackers a tarefa parece estar se
tornando lucrativa, causando uma radical mudança de motivação. Se antes
atacavam para obter notoriedade, hoje estão sendo "contratados" por
algum concorrente interessado em prejudicar a empresa atacada.
No entanto, esses riscos são a
menor parte dos problemas que envolvem segurança. Os riscos internos nunca são
comentados, exceto raras exceções. Uma exceção que se tornou pública é o caso
de Timohty Loyd, condenado em maio deste ano por causar estragos calculados em
US$ 12 milhões na empresa Omega Engineering, seu antigo empregador. Em 1996, ao
descobrir que seria demitido, Loyd apagou todos contratos e software de
produção. Esse vandalismo causou perda de mercado da Omega para seu
concorrente, e que até hoje causa impacto no desempenho da empresa.
Por que esses casos normalmente
não se tornam públicos? A empresa (nos raros casos que descobre que foi
atacada) não quer mídia. Ninguém quer mostrar aos seus clientes e parceiros que
está ou é insegura. A empresa lesada simplesmente pune o empregado e não
permite que a notícia vaze. Os ataques externos são naturalmente mais visíveis
e a empresa atacada não consegue evitar que o incidente se torne público.
Quais seriam, então os riscos
internos? A instalação de software piratas é um exemplo. Em caso de aplicação
da Lei de Software, a empresa pode sofrer uma multa de até duas mil vezes o
valor do programa pirateado. Se um funcionário instala indevidamente um
software pirata, a empresa corre o risco de receber multas altíssimas. A
instalação incorreta de software por usuários leigos também pode resultar em
alterações na configuração da máquina além de causar sua indisponibilidade.
Pode ser necessário reinstalar vários software e perde-se tempo de uso da
máquina e do funcionário de suporte. Software que são inadvertidamente
recebidos por e-mail, baixados da Internet ou até trazidos de casa contendo
vírus ou cavalos de tróia são outros exemplos preocupantes.
Isso sem mencionar roubo de
periféricos ou de memória; instalação feita pelo usuário de periféricos
inadequados, que podem causar danos aos equipamentos da empresa e, novamente,
indisponibilidade. Ainda podem ser classificados como riscos internos o mau uso
dos recursos da empresa, como navegação em sites não-relacionados com o
trabalho e uso dos equipamentos para uso pessoal entre outros.
Como fazer para proteger-se de
todas essas ameaças? Política de Segurança. Cultura. Controle. Esses três
conceitos farão cada vez mais diferença no mercado competitivo que é a
realidade das empresas hoje. Segurança da Informação é coisa séria, e peça
chave da estratégia competitiva das corporações.
A Política de Segurança dará à
corporação uma visão clara do que ela espera da Tecnologia da Informação e dos
funcionários que a utilizam no dia-a-dia. Quais seus direitos, deveres e
responsabilidades. A cultura dos funcionários é a engrenagem motora desse
processo. Campanhas de divulgação que alertem para atitudes inadequadas dos
funcionários perante a informação e treinamentos de sensibilização são
fundamentais. É preciso levar ao usuário mais leigo o conhecimento básico
necessário sobre a importância da informação que ele manipula dentro da empresa
e sobre as práticas que ele deve observar na sua rotina.
O controle é um componente
tecnológico. As empresas precisam controlar instalações indevidas de software e
periféricos com a atenção que a questão merece. Software que controlem quem
instalou o quê, quando e onde devem fazer parte de um ambiente integrado de
segurança. É importante esse controle para evitar problemas legais devidos à
pirataria de software, queda de produtividade por instalações problemáticas,
vírus ou Cavalos de Tróia, ou ainda furtos de periféricos. Outros programas
podem controlar o acesso à Internet garantindo que somente sites pertinentes
são acessados; ou que todo software recebido por e-mail ou baixado via Internet
está livre de vírus; ou que apenas alguns funcionários têm acesso à informações
sensíveis.
Aliás, é importante notar que os
empregados não são a única ameaça de ataques internos às empresas. Hoje temos
consultores, fornecedores e parceiros dentro da empresa tanto fisicamente como
"virtualmente", por meio de acessos on-line. As cadeias produtivas
estão cada vez mais integradas para reduzir custos e garantir agilidade. Cada
vez mais, as "fronteiras" da empresa se expandem, aumentando a comunidade
de pessoas que têm acesso aos seus recursos de Tecnologia da Informação. A
empresa corre, portanto, cada vez mais riscos de ataques internos. E é por isso
que essa questão deve receber cada vez mais atenção.
(*) Artigo disponibilizado na
home page da Módulo Security Solutions S/A em 14/11/00
() Leonardo Carissimi é Bacharel
e Mestre em Ciências da Computação e Gerente
de Produto da Módulo Security Solutions S/A. E-mail: lcarissi@