Confidencialidade, integridade e disponibilidade. Quem estuda o fenômeno da sociedade em rede e seus impactos no mundo corporativo conhece bem os termos. Eles são a tríade que sustenta a Segurança da Informação (SI), um tópico que se tornou vital na estratégia de empresas de todos os portes. Referem-se a dados, informações e sistemas, ou seja, a um novo tipo de patrimônio corporativo que se acumula de forma explosiva na Sociedade da Informação. “São conceitos relacionados com a capacidade de uma empresa usufruir de ativos intangíveis, um modelo de riqueza que estamos aprendendo a proteger. Nesse modelo, segurança da informação implica proteção da reputação, e não apenas de máquinas”, diz a advogada especializada em direito digital, Patricia Peck, sócia de escritório homônimo.
[private] Aplicar conjuntamente os três conceitos, permitindo aos tomadores de decisão acesso rápido à informação de qualidade, sem riscos de vazamento, adulteração ou perda, é um desafio que se tornou imperativo em um cenário em que as empresas se tornam dependentes de tecnologia na mesma velocidade com que se multiplicam as ações do chamado cibercrime. Os rastros deixados pelos vilões do ciberespaço são impossíveis de ignorar. De acordo com a McAfee, em 2008 as empresas de todo o mundo amargaram prejuízo de 1 trilhão de dólares com perdas ou roubos de dados confidenciais e de propriedade intelectual. No Brasil, as tentativas de fraudes em 2008 cresceram 209% em relação a 2007, segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br).
Na percepção de Patrícia, têm crescido os ataques indiretos às empresas, ou seja, aqueles feitos via parceiros ou fornecedores interligados por Rede Privada Virtual (VPN) e que não dispõem de política de Segurança da Informação. “Esse tipo de vulnerabilidade tem sido muito explorado, assim como ataques via website da empresa ou mesmo por meio de redes sociais, além do falso email (phishing) com arquivo malicioso que permite a entrada oficiosa nos sistemas”, diz ela.
Como se não bastasse o bombardeio externo, o inimigo pode estar ao lado, dentro da própria companhia. Nesse caso – ela assinala –, o ataque mais comum ocorre pelo fornecimento voluntário de senhas a terceiros que não deveriam ter o acesso. “Um exemplo é o do presidente de empresa que age inocentemente no uso da tecnologia repassando sua senha a uma secretária ou ao help desk.” Essas brechas de segurança que decorrem não de vulnerabilidade tecnológica, mas sim de falhas de procedimentos e políticas de acesso, estão entre as que mais trazem prejuízos às companhias, mais até do que ataques externos, segundo os especialistas.
Exército de zumbis
Alexandre Murakami, especialista em Segurança da Informação da PromonLogicalis, informa que os ataques virtuais externos mais comuns nas empresas de todo o mundo são os chamados Denial of Service (DoS), uma enxurrada de requisições falsas a partir de um computador qualquer, com o objetivo de sobrecarregar o sistema. “Mais recentemente, os crackers partiram para a modalidade distribuída de ataques (Distributed Denial of Service, ou DDoS), que faz a mesma coisa, porém utilizando worms (vermes) que criam máquinas zumbis e disparam ataques sincronizados e simultâneos a um único alvo”, diz Murakami. Estes já são os crimes virtuais mais praticados contra empresas no Brasil. “Para ter uma ideia, os DDoS no País saltaram de 170 mil, em 2007, para 298 mil, em 2009, e tendem a crescer mais ainda, ao lado de outros ataques e códigos maliciosos, como worms, spams, malwares, phishing e spyware, que atacam servidores web, portais, e sistemas, causando indisponibilidade do serviço ou roubo de informações”, diz.
Murakami chama atenção para a explosão do uso das telecomunicações sem fio, além da internet, como fator gerador de ambientes propícios para a proliferação de ameaças virtuais. “Novos canais de acesso, como telefones celulares e outros dispositivos pessoais, apesar de terem recursos cada vez mais próximos dos desktops e notebooks, sujeitam-se a uma abordagem bem menos rígida no que se refere a segurança. A mobilidade, portanto, complica ainda mais a questão no âmbito das empresas”, alerta.
O diretor de Engenharia de Sistemas da Symantec para a América Latina, Paulo Vendramini, alerta também para o crescimento explosivo de um tipo de tática on-line que leva o usuário a comprar softwares de segurança falsos. “Os cibercriminosos iludem usuários com falso sentimento de insegurança, convencendo-os a comprar softwares fraudulentos, os “scareware”, que os expõem a riscos mais sérios até do que roubo de identidade e informações”, alerta o diretor. Até junho de 2009, a Symantec já havia detectado mais de 250 diferentes programas falsos de segurança na internet. Entre julho de 2008 e junho de 2009, 93% dos downloads dos principais programas de segurança falsos foram feitos com conhecimento dos usuários, que pagaram entre 30 e 100 dólares pelo aplicativo. Eles foram convencidos por anúncios em websites com falsos alertas de que haviam sido detectados vírus ou brechas de segurança no computador em uso, e com a oferta de solução para o suposto problema detectado. “Além de não obter proteção e de ter a sua identidade roubada, o usuário pode ter alteradas ou desabilitadas todas as configurações de segurança existentes no seu PC, sem que se dê conta”, exemplifica Vendramini.
Reação insuficiente
Para José Antunes, gerente de Engenharia de Sistemas da McAfee, as informações, como base de dados de clientes, projetos de produtos, estratégias de negócios, entre outras, são o bem mais valioso para uma companhia, e sua perda ou adulteração representa prejuízo às vezes irreversível. “Muitas vezes as companhias não possuem o mapeamento das informações perdidas, o que as impede de tomar as medidas necessárias para recuperá-las, quando possível”, diz.
Diante desse cenário, permanece a dúvida crucial: estariam as empresas prontas ou totalmente conscientes quanto ao desafio de imprimir confidencialidade, integridade e disponibilidade às informações relevantes para o seu negócio? Não tanto quanto deveriam, na avaliação da advogada Patrícia. Para ela, a conscientização das empresas ainda é insuficiente, assim como o orçamento destinado à educação continuada dos empregados sobre Segurança da Informação. “Investe-se muito mais em soluções tecnológicas do que em treinamento, embora se saiba que 98% dos incidentes são causados por falta de hábito de segurança no dia a dia, decorrente da correria que leva pessoas a sabotarem a proteção tecnológica e a não cumprirem procedimentos”, diz ela, para quem as empresas de menor porte estão entre as que investem menos em segurança, embora sejam as mais vulneráveis. “Um único incidente pode fechar as portas da companhia”, alerta.
O fato é que muitas vezes há consciência da empresa quanto à necessidade de segurança e integridade de suas informações valiosas, mas isso não se traduz em ações eficientes para sanar os riscos. Antunes, da McAfee, cita o relatório Economias Desprotegidas, feito com a Forrester Research, que destaca que o vazamento de informações é visto por empresários como o problema número 1 da Web, à frente de malware (software malicioso), perda de produtividade, uso da largura de banda para fins alheios aos negócios e responsabilidade por conteúdo inadequado. “Apesar disso, a comunicação pela rede mundial continua sendo um elo fraco. Apenas uma pequena porcentagem de empresas utiliza tecnologias de DLP (Data Loss Prevention) para a comunicação que sai das suas instalações via web”, diz Antunes.
O especialista da McAffee defende que, antes de qualquer coisa, é preciso definir quais informações são realmente confidenciais e importantes para o negócio. “Uma vez que se conhece que dado deve ser protegido, quem deve ter acesso a ele e de que forma deve ser armazenado, é possível determinar e compartilhar com os usuários as políticas de segurança adotadas e garantir a sua proteção”, diz, aproveitando para alertar que 60% das brechas de segurança nas maiores empresas em todo o mundo ocorrem em razão da perda de laptops e outros dispositivos móveis.
O alinhamento das políticas de segurança com as estratégias do negócio também é medida essencial – lembra Antunes. “Significa implementar soluções de forma que elas possam ser sempre facilitadoras dos negócios, e nunca instrumentos para criação de barreiras”, esclarece. Para que isto funcione, o departamento responsável pela proteção de equipamentos e dados não pode ser o último a receber informações sobre decisões estratégicas. “Se a equipe de marketing decide que a empresa participará da rede social Twitter, por exemplo, o time de segurança deve ser informado com antecedência. A partir daí, decide-se quem terá acesso à ferramenta, quem produzirá e postará o conteúdo, como se dará o monitoramento dos usuários e como se garantirá a segurança de máquinas e dados compartilhados”, diz o especialista. Em sua opinião, as empresas brasileiras ainda estão em estágio de aprendizado nesse quesito de alinhamento.
Sobre essa questão, Anchises Moraes Guimarães, analista de Inteligência da Verisign e ex-presidente da Information System Security Assotiation (ISSA), ressalta que as necessidades de controle, proteção e monitoração variam muito de acordo com o cenário e com as prioridades estratégicas de cada empresa. “Há empresas, por exemplo, que não precisam operar no período noturno, enquanto outras atuam 24 horas por dia. Há aquelas com maior risco de fraudes financeiras ou de espionagem industrial, e há as que podem estar sujeitas a um conjunto específico de leis ou regulamentações que variam de acordo com o segmento de negócio”, exemplifica.
A direção da empresa e a área de Segurança da Informação devem entender o ambiente de negócio, identificar os principais riscos com potencial de impacto e, com esses dados em mãos, criar suas próprias normas internas e definir os investimentos necessários em tecnologia. “Para uma empresa que possua uma pequena quantidade de servidores, por exemplo, pode ser mais seguro e menos dispendioso mantê-los em provedor externo de Data Center, e não em suas próprias instalações”, diz ele, informando que no Brasil muitos fornecedores oferecem soluções de hospedagem de servidores em que a segurança faz parte do pacote. “Também há muitas empresas locais que fornecem serviços de terceirização da equipe de segurança, o que chamamos de MSS, sigla em inglês para Serviços Gerenciados de Segurança”, acrescenta.
A advogada Patrícia Peck alerta para a tendência entre empresas brasileiras de “copiar e colar” políticas e normas de Segurança da Informação e de TI. “ Outro dia, fomos chamados para fazer um orçamento e a empresa solicitante disse que não precisava de algumas das normas propostas, porque já dispunha de ‘modelinho’ copiado de outro lugar, o que é um equívoco”, avalia. Para Patrícia, ao alinhar a segurança com o negócio e diferenciar o tratamento do uso dos recursos de Tecnologia da Informação e comunicação por alçadas e poderes, as empresas devem considerar as necessidades específicas de cada área ou usuário. “Ainda há uma tendência a proibir tudo ou liberar tudo, ou de proibir em toda a companhia o acesso a redes sociais, quando tal ferramenta pode ser de grande valia para áreas como SAC e Marketing, por exemplo”, diz Patrícia. A especialista não aconselha a busca por soluções de prateleira. “Segurança da Informação tem de ser feita sob medida, de forma que permita blindagem técnica e jurídica sem virar camisa de força que inviabiliza o negócio. Diretriz, normas e procedimentos devem ser atualizados a cada dois anos, para assegurar aderência à realidade da empresa”, diz.
Forense computacional
A má notícia para quem avançou no quesito da Segurança da Informação é que, mesmo protegidas, máquinas e redes corporativas não se livram totalmente das ameaças virtuais. O cibercriminoso está sempre um passo à frente. O alerta é de Celso González Hummel, gerente de contas da TechBiz Forense Digital, empresa que entra em cena na guerra contra o crime on-line justo após o “leite ser derramado”, ou seja, quando já ocorreu o vazamento, a fraude ou o uso indevido dos computadores da companhia. “Atuamos na área de computação forense, ou forense digital, que se vale de hardwares e softwares de detecção e reação às ameaças virtuais”, informa.
Ainda pouco disseminada no Brasil, a prática de forense digital ajuda peritos a desvendar crimes que vão de pedofilia a sonegação, passando por fraudes e roubo de propriedade intelectual. A tecnologia faz análise simultânea de máquinas, recupera informações apagadas de computadores e celulares, quebra senhas e pericia arquivos de vários formatos, entre outros recursos.
A implementação da forense digital varia em abrangência e custo, de acordo com porte e necessidades da empresa usuária. “Pode custar de 40 mil a 4 milhões de reais e levar de um mês a dois anos para a completa implementação”, diz Hummel. A solução pode ser adquirida de três formas: compra dos programas e do serviço de implementação, aquisição dos softwares juntamente com treinamento dos profissionais internos, ou compra de programas e uso de equipe mista de implementação, composta por técnicos do fornecedor e da própria empresa. “É a forense digital que oferece o rigor científico para encontrar e penalizar os criminosos virtuais, fazendo com que as evidências sejam válidas em processos jurídicos”, diz o gerente da TechBiz, que já soma dezenas de clientes no Brasil, entre empresas públicas e privadas.
Especialistas caros
Na guerra diária contra o cibercrime, é importante a empresa contar com profissional especializado e certificado em Segurança da Informação? Não há consenso sobre isso entre os especialistas ouvidos. Para Patrícia Peck, de nada adianta colocar alguém em uma mesa, como gerente de Segurança da Informação, sem que tenha poderes ou verba para atuar. “Mais importante do que isso é a SI ter autonomia, ser área estratégica e se reportar direto à presidência e ao conselho”, diz a advogada. Para ela, os profissionais que atuam na área devem ter muito mais do que conhecimento técnico: “Eles devem ter ao menos noções sobre aspectos jurídicos e conhecer gestão de pessoas, porque há um fator humano preponderante nessa questão. Conheço um excelente profissional de SI que é formado em Psicologia”, exemplifica.
Já Murakami, da PromonLogicalis, percebe que nos últimos anos as empresas estão mais empenhadas em buscar no mercado profissional altamente qualificado para cuidar de toda a informação da companhia, o que considera uma tendência positiva. Mas se trata de profissional caro, com salário acima da média do pessoal de TI, e que obteve certificação ou cursou pós-graduação em Segurança da Informação ou em Governança Corporativa.
Guimarães, da Verisign, diz que normalmente o gestor de uma área de Segurança da Informação é chamado de CSO (Chief Security Officer) ou CISO (Chief Information Security Officer). Ele destaca que é importante, também, a formação na empresa de uma equipe de analistas de segurança voltados para a gestão, formulação de políticas e regulamentos, auditoria de processos e análise de riscos. “Essa é uma equipe permanente, uma vez que a gestão da Segurança da Informação é um processo cíclico e interminável”, explica. Também recomenda a criação de uma equipe técnica formada por analistas das ferramentas de segurança existentes e profissionais peritos em investigação de incidentes. “Dependendo do porte e do ramo da empresa, também pode ser necessária a existência de profissionais especializados em Direito Eletrônico”, diz.
Uma categoria de profissionais muito respeitada no mercado, segundo Guimarães, é a que detém certificações “vendor neutral”, ou seja, certificados que atestam o nível de conhecimento conceitual do profissional, e não apenas a sua capacidade em utilizar determinada ferramenta. “Nesta categoria, destacam-se as certificações CISSP e CISA (para profissionais de auditoria), Security+, da CompTIA, GIAC, do SANS Institute, e a certificação brasileira MCSO”, informa.
Para empresas que não dispõem de recursos para capacitação interna, o ideal é contar com consultoria externa especializada. “O serviço pode incluir a etapa de identificação e análise de riscos, indicação de soluções de segurança mais adequadas e identificação das necessidade de “compliance” da companhia”, finaliza Guimarães.
Rastros do Crime no Mundo
- · Mais de 1,5 milhão de softwares maliciosos (malwares) foram identificados em 2008, um crescimento anual de 400%.
- · Cavalos de Troia (trojan horses), que roubam dados confidenciais, aumentaram 150% desde 2006.
- · Mais de 14 milhões de computadores foram “escravizados” por botnets (redes zumbis) ou foram controlados por cibercriminosos no segundo trimestre de 2009.
- · Cibercrimes podem ter gerado prejuízo de 1 trilhão de dólares a empresas de todo o mundo em 2008.
- · O custo médio de cada ataque para os usuários é de 1,2 mil dólares, segundo cálculo do FBI.
- · 80% dos ataques pela internet têm motivação financeira. Esse percentual era de 50% há dois anos.
- · O malware, tradicionalmente distribuído por email, já usa a Web como principal canal de distribuição.
- · 40% das empresas despenderam mais de 50 mil dólares no ano passado apenas com a eliminação de malware. Perto de 20% gastaram mais de 100 mil dólares.
Fonte: McAfee/Forrester Research
Crime e castigo (Exemplos de infrações e sugestões de punições)
Incidente: Uso indevido da marca da empresa na Internet associando-a a conteúdo não apropriado
Gravidade: Média
Medida Disciplinar: Advertência formal pelo gerente responsável
Incidente: Uso indevido de internet e estação de trabalho para finalidade particular (não houve incidente SI – vírus)
Gravidade: Baixa
Medida Disciplinar: Advertência formal pelo gerente responsável
Incidente: Uso indevido de e-mail corporativo para passar boatos e piadas (não houve vazamento de informação confidencial)
Gravidade: Média
Medida Disciplinar: Advertência formal pelo gerente responsável
Incidente: Empréstimo de senha de login para colega de trabalho e terceirizado (senha de gestor com segregação de funções)
Gravidade: Alta
Medida Disciplinar: Desligamento em função de gravidade (senha de gestor com segregação de funções)
Incidente: Pasta com software de jogo pirata instalado (crime e quebra da política)
Gravidade: Alta
Medida Disciplinar: Desligamento em função da gravidade
Incidente: Pastas de diretório com vídeos e arquivos pornográficos
Gravidade: Alta
Medida Disciplinar: Desligamento em função da gravidade
Incidente: Violação de regra de segurança que bloqueia o uso da porta USB
Gravidade: Media
Medida Disciplinar: Advertência formal pelo gerente responsável
Incidente: Envio de e-mail para pessoa errada com vazamento de informação confidencial e restrita (fato relevante)
Gravidade: Alta
Medida Disciplinar: Desligamento em função da gravidade
Fonte: Patrícia Peck Pinheiro Advogados – 2009
Estágios de Maturidade
No Brasil, o segmento financeiro é o que mais investe em Segurança da Informação, seguido de medicamentos, automobilístico e de TI. Segundo José Antunes, gerente de Engenharia de Sistemas da McAfee do Brasil, as empresas desses setores demonstram maior preocupação com suas informações estratégicas e as encaram como ativos valiosos. “Além de possuírem maior consciência dos riscos e de como se proteger, elas realizam campanhas para conscientização de funcionários e investem em soluções de terminais e de redes, em prevenção contra perda e roubo de dados (Data Loss Prevention) e intrusões (IPS – Intrusion Prevention System) e em gerenciamento de riscos.
Por outro lado, os setores de transporte, logística, varejo e utilities ainda precisam ampliar seus investimentos na modernização de suas infraestruturas de TI. “Embora lidem com informações sensíveis, empresas desses segmentos não conhecem os riscos aos quais estão expostas e investem apenas em soluções básicas como antivírus e antispam para estações de trabalho e servidores, deixando suas redes vulneráveis. Na avaliação do especialista, as empresas de Telecom alcançaram apenas nível intermediário em termos de segurança, após investimentos que considera tardios.
Cinco Passos para Driblar os Riscos
- 1. Evite seguir links que venham em emails. ele podem levar a websites maliciosos.
- 2. Nunca visualize, abra ou execute arquivos anexos aos emails, a menos que o arquivo seja esperado ou venha de fonte
- conhecida e confiável.
- 3. Suspeite de emails não enviados diretamente para o seu endereço.
- 4. Cuidado com janelas pop-up e propagandas em banners que imitam sites legítimos.
- 5. Mensagens de erro exibidas dentro de navegador pode ser método usado por falsários para convencer o usuário a baixar software fraudulento (scareware).
Fonte: Relatório Symantec sobre Softwares de Segurança Fraudulentos [/private]
