A preocupação com a segurança digital "dentro de casa" ainda está muito aquém do enorme potencial de dano que o usuário interno representa para o ambiente empresarial, e aqui não me refiro apenas ao indivíduo mal intencionado, mas também ao mal treinado ou comportamentalmente inepto diante dos riscos externos.
Enquanto 92% dos CIOs se dizem altamente preocupados com os riscos de invasões externas, apenas pouco menos que a metade desse contingente vê a ameaça interna como extremamente preocupante, segundo pesquisa da Vormetric. Não se trata, é claro, de se disseminar uma visão hostil dos colaboradores, mas o perigo é extremamente alto, mesmo se considerarmos o caráter ético e benigno da expressiva maioria.
Chega a ser um dado curioso esta aparente displicência com a vulnerabilidade caseira, tendo-se em conta a extensa literatura que faz referência ao problema, como é o caso desse recente estudo da Security Intelligence, mostrando que 46% dos prejuízos à segurança empresarial provém de uso mal intencionado ou inadequado da rede por parte de colaboradores próprios ou visitantes credenciados.
Curioso e surpreendente, mas nem tão difícil de entender em função de alguns aspectos espinhosos. Ocorre que a segurança interna requer um "pequeno" requisito que a maior parte das empresas não tem, que é uma visão sistemática de todo o seu ciclo de informação.
Um negócio bastante complexo, que chega até a desanimar devido a seus diversos requisitos conjugados e de natureza bastante distinta, tais como os listados abaixo:
-1> O mapeamento logístico dos dados e sua classificação por camada, segundo a taxa de criticidade ou valor estratégico para o negócio;
-2>O inventário das aplicações com iguais parâmetros de discernimento, para orientar as políticas de acesso, execução ou configuração;
-3>O código explícito de conduta de segurança da informação, abrangendo o mundo virtual e suas intersecções com o mundo físico (por exemplo, como descartar discos rígidos ou regras para o uso de Bluetooth no ambiente empresarial).
-4>A instauração -via educação continuada e via explicitação de princípios - de um comprometimento ético e responsável no uso dos recursos de TI, incluindo-se aí o compromisso de emprego não recreativo e não promíscuo da Internet.
-5>O mapeamento e monitoração de vigilância do pessoal que acessa o ambiente e, em especial, aquele que se pode classificar como "peopleware", em face de acesso privilegiado às áreas críticas do sistema.
-6>O mapeamento detalhado da rede física e sua parafernália de dispositivos fixos ou temporários (e aqui entram desde desktops até máquinas de PDV, câmeras web e aparelhos do mundo BYOD).
-7> E por último, mas não menos importante (aliás, até mais importante que o resto), o aparato de tecnologia para prevenção, detecção, resposta e gerenciamento abrangendo todas as seis camadas (domínio, firewall, conexões, dispositivos, usuários e aplicações).
Sem a pretensão de esgotar a lista, acredito que o rol acima já dá uma noção do quanto a segurança interna possui um volume de complicadores muito maior do que a externa, na qual a finalidade essencial (já bem complicada) é mapear as brechas, cercar o ambiente cibernético, isolar os repositórios de dados e gerenciar as conexões e acessos no ambiente.
UM CADEADO PARA CADA PORTA USB
É evidente que boa parte dos elementos acima compilados pertence também às exigências típicas da política de segurança externa, mas pesa muito, na minha avaliação, o diferencial do elemento humano, com sua monumental curiosidade associada ao quase incontrolável livre arbítrio e - o que é pior - à posse de senhas de acesso às aplicações e dados de negócio.
E note que ainda não mencionei a dificuldade de se controlar o acesso físico desses indivíduos a áreas altamente vulneráveis, como a sala do data center ou a porta USB do servidor ou de milhares de laptops conectados ao núcleo nervoso da firma.
É uma quantidade grande e diversificada de fatores que tornam a segurança interna um assunto que ultrapassa bastante o conhecimento do técnico de TI e exige, no mínimo, a troca de experiência entre ele e o pessoal da guarda patrimonial e entre ambos e o setor de RH.
Em corporações maiores, essa interação básica iria exigir até a participação de um setor de inteligência capaz de imergir inclusive sobre propensões sociais dos funcionários ou sobre os antecedentes de free lancers que tenham acesso mais profundo à rede ou aos ambientes físicos.
Em um debate sobre segurança digital reunindo dirigentes do setor financeiro, o chefe de segurança de um grande banco recomendou aos CSOs presentes que a troca periódica dos laptops, ou outros equipamentos processados, não requeira unicamente a formatação profunda de suas memórias digitais, mas a destruição física das mídias e seu descarte unicamente após estarem 100% irrecuperáveis.
Pode parecer paranoia: mas a revista online americana "Which?" comprou oito discos rígidos usados de diferentes ofertantes do eBay e, com um esforço muito pequeno e um aplicativo achado no Google, conseguiu recuperar cerca de 22 mil arquivos que permitiam reconstituir em boa parte a vida e os negócios dos antigos donos.
À parte esses riscos difusos (na fronteira entre o digital e o físico) há estudos a atestar que 75% dos roubos de informação valiosa nas empresas não são aqueles perpetrados por ataques externos de "força bruta" ou qualquer tipo de estratagema hacker. São roubos feitos por pessoal credenciado, que têm em suas mãos a chave do tesouro de dados ou apenas uma permissão bem banal, como a de poder imprimir arquivos.
Assim, o conselho que posso dar é que o homem de segurança de TI comece ao menos a considerar o fator interno como o portador do potencial de dano maior, mesmo sabendo que não conseguirá em médio prazo equacionar toda essa problemática.
Até porque, se conseguir uma boa redução nesses aspectos da vulnerabilidade "em casa", a consequência vai aparecer também na forma de uma resistência maior em relação aos hackers.
O que não é nem um pouco recomendável é a tão disseminada prática de se estabelecer controles de vigilâncias pouco (ou nada) transparentes, como o monitoramento de email e de hábitos de navegação sem conhecimento explícito (e formalmente reconhecido) por parte dos funcionários.
Ao invés disso, um passo mais profissional, ético e juridicamente seguro seria a criação de um código de transparência (que dá ciência ao funcionário sobre a livre e proativa monitoração de suas atitudes e conteúdos no âmbito da rede empresarial).
Esse patamar mais evoluído de conduta exigirá a adoção de algum aparato inteligente, como uma central de gerenciamento unificado de segurança, por exemplo. A simples implementação de tecnologias dessa natureza já ajuda bastante o corpo técnico a obter uma ótima lista de parâmetros combinados que, em geral, já vêm embutidos no manual e nos requisitos de uso desses próprios sistemas dedicados.
E para concluir, menciono o dado paradoxal de que os controles ostensivos aqui referidos não têm sido objeto de resistência ou antipatia pela maior parte dos funcionários nas empresas.
Pelo contrário, o funcionário se sente mais respeitado e protegido quando o monitoramento se dá de forma explícita e previamente acordada entre ele e o representante da segurança interna. E, a partir desse acordo básico, cada um dos usuários fica apto a ser recrutado pelo homem de TI como mais um responsável não só pelos seus atos, mas pela segurança do ambiente como um todo.
*Rodrigo Fragola é Presidente da Aker Security, Vice-Presidente de Segurança e Defesa do Sindicato da Indústria da Informação (Sinfor) e Diretor de Segurança e Defesa da Associação Brasileira das Empresas de Software(Assespro-DF)
