® BuscaLegis.ccj.ufsc.br
Segurança: questão de sobrevivência dos negócios
1/2/2002 - 8:00 André Correia
Nem parece que faz tanto tempo, mas já se fala em segurança das informações
há aproximadamente sete anos. Abstraindo mais sobre o tema, podemos considerar
que a preocupação com segurança completa mais de quarenta anos. Desde o
mainframe até os dias de hoje muita coisa mudou. Depois da febre das redes de
computadores, as empresas tiveram que abrir mão do processamento centralizado
para implementar estações de trabalho que têm poder de processamento muitas
vezes superior ao dos super computadores do passado.
Da mesma forma que o processamento, a segurança deixou de ser uma
preocupação isolada ao perímetro da sala dos servidores para se estender até
onde os usuários estão. Neste cenário de longa data, podemos chegar à conclusão
de que, após sete anos, a maioria das empresas está encarando a segurança como
uma necessidade de sobrevivência dos negócios.
Mas os fatos denunciam: depois da queda das torres do World Trade Center as
empresas que oferecem serviços de site backup registraram um crescimento de
150% na procura por seus serviços. O mais interessante desta informação de
mercado é que a contratação de sites backup só minimiza os riscos de
indisponibilidade. Isto quer dizer que no caso de fraudes e alteração das
informações da empresa, o site backup estará exibindo com fidelidade essas
informações para seus clientes e fornecedores.
Como no caso recente que aconteceu com o site Playboy.com, em que uma
porta-voz da empresa emitiu um parecer informando que foram identificadas
atividades "estranhas" nos servidores da companhia. Infelizmente esse
fato ocorreu após um grupo hacker ter enviado uma mensagem para todos os
clientes do website informando o nome completo e o número de cartão de crédito
da vítima. Também foi informada uma lista de cuidados que o consumidor on-line
deve tomar, entre eles a sugestão para não confiar dados pessoais a qualquer
companhia. Segundo informações do próprio grupo hacker, o acesso total às
informações na rede da Playboy.com está acontecendo desde 1998.
Conclusão: estar disponível não significa estar seguro. Contudo, é
recomendável aproveitar a maré favorável de investimentos em planos de
continuidade de negócios e recuperação de desastres, lembrando que além da
preocupação com os imprevistos, como um ataque terrorista contra a unidade
central de sua organização, questões a que damos menos importância, como a
saída daquele administrador de rede que detém todo o conhecimento dos processos
de funcionamento da tecnologia na empresa, devem ser contempladas no plano.
Até quando as empresas ficarão à mercê dos acontecimentos? A chave para o
sucesso de um programa de segurança das informações reside em tomar uma posição
preventiva contra as ameaças e riscos de segurança, reduzindo os pontos
vulneráveis para evitar que estas fraquezas sejam utilizadas contra a sua
organização.
Grande parte dos gerentes e diretores de TI acredita que o problema da
segurança se resume a equipamentos. Hoje a tendência é adquirir um IDS
(Intrusion Detection System), assim como no passado foram os firewalls. Essas
tecnologias são muito boas e necessárias, mas antes faz-se necessário saber
onde esta tecnologia será implementada, além da configuração ideal para as
necessidades do negócio. É preferível não ter um firewall a mantê-lo
desatualizado ou mal configurado. Ter um novo ativo em nossa rede é
tangibilizar o conceito de single-point-of-failure, mais conhecido como o elo
mais fraco da corrente.
Uma outra tendência no mercado é a BS 7799. Muitos executivos, direta ou
indiretamente responsáveis pela segurança nas empresas, estão adquirindo a
publicação brasileira da norma, achando que estão comprando uma política de
segurança. A BS (British Standards) é uma importante iniciativa, com um
objetivo claramente definido: "fornecer uma base comum para o desenvolvimento
organizacional de padrões de segurança e práticas efetivas de gerenciamento da
segurança". A própria norma cita a importância de que cada empresa
desenvolva os seus manuais específicos, observando o seu contexto
organizacional, tomando como base os padrões ou melhores práticas ali
descritas.
De acordo com as últimas pesquisas realizadas pelo CSI (Computer Security
Institute), 71% do incidentes de segurança são causados pelo pessoal interno.
Nesta estatística, que já faz parte do discurso comum das pessoas envolvidas
com segurança, devemos considerar que além dos tão temidos funcionários
insatisfeitos, muitos dos incidentes são ocasionados por erros. Educação é
fundamental para resolver os erros e acidentes, e também conscientizar os
parceiros, funcionários e terceiros.
Realizar a segurança utilizando recursos internos é problemático pelo fato
de estarmos sempre correndo atrás do problema. Afinal de contas, a segurança
não é a atividade fim da maioria das empresas e alguns já descobriram o preço
alto da perda do foco no core business. Realizar os pesados investimentos em
treinamento e manutenção do conhecimento da Segurança das Informações para
funcionários é um risco quando se percebe o quanto o mercado está disposto a
pagar por profissionais preparados. Quem não quer ou não pode participar deste
leilão de cabeças acaba perdendo seus profissionais e todo o investimento
realizado.
No mundo conectado em que vivemos nunca haverá uma segurança absoluta ou
segurança 100%, entretanto, há maneiras de minimizar eficientemente o número
destas vulnerabilidades. Uma delas é contratar uma consultoria de segurança das
informações que tenha uma visão abrangente do tema, entendendo que mais do que
um processo, a segurança das informações deve observar de forma equilibrada a
tríade: tecnologia, processos e pessoas.
André Correia é gerente de Planejamento e Consultoria da Open Communications Security. É graduado pela PUC-RJ em Tecnologia em Processamento de Dados e tem especialização em Redes de Computadores.
Retirado de: http://www.infoguerra.com.br