Informação: o bem mais precioso de uma empresa
Reproduzo matéria publicada no Portal Business to Business Golden Light sobre proteção da informação.
Ao mesmo tempo em que falhas na segurança causam prejuízos às organizações, pessoas com o espírito empreendedor enxergam boas oportunidades de negócios. Com crescimento contínuo do mercado de tecnologia e com o surgimento cada vez maior de novos vírus, os riscos à segurança da informação nas empresas também avançam na mesma proporção. Estudos sobre o aumento de crimes virtuais têm crescido assim como o número de infrações. Segundo estatísticas do Cert.br, um centro de estudos sobre segurança no Brasil, o ano de 2009 pode figurar na lista como o ano recorde de problemas com segurança na web. É que até o mês de março deste ano foram registrados 218.074 incidentes relacionados à segurança - 4.454 a mais do que o acumulado dos 12 meses do ano passado.
Mas, por trás desses números, não são só hackers que estão trabalhando. Empresas de softwares estão se munindo contra novos ataques.Para Alexandre Freire, especialista em Soluções de Segurança e professor de Gestão em Segurança da Informação da UFRJ (Universidade Federal do Rio de Janeiro), “infelizmente a tendência é sempre o crescimento da estatística, uma vez que as fraudes estão se disseminando com muita velocidade, e o usuário é cada vez mais alvo de ataques sofisticados, principalmente os que remetem às fraudes financeiras”, diz.
Segundo relatório divulgado pela Microsoft, em março, o Brasil é o quarto país do mundo mais contaminado por programas que furtam senhas. E os números são exorbitantes: os softwares destinados a invadir contas bancárias infectam 195 computadores brasileiros por hora; R$ 130 mi é o montante do prejuízo com fraudes pela Internet registrados pelos bancos em 2008.
Freire acredita que os criminosos descobriram que é muito mais fácil explorar o lado humano para fraudar do que o lado tecnológico. “É muito mais fácil enviar um pishing [quando um criminoso se passa por uma pessoa confiável, muito usado via e-mail] a um usuário e atacar a fraqueza humana do que invadir um servidor, usando alguma técnica de hacking, por exemplo.”
O que se pode fazer para melhorar o nível de segurança dos computadores ligados à internet é utilizar os meios já existentes como firewall, antivírus, antispam, antispyware e outros programas de detecção de intrusos. “Porém, toda a parafernália de proteção é ineficaz se o usuário não mudar sua atitude, seu comportamento de navegação”, fala Freire.
E no caso das empresas, deve haver investimento cada vez maior em sistemas de proteção e desenvolvimento de campanhas para conscientização de funcionários em relação ao bom uso do sistema e ferramentas de trabalho de acordo com normas e políticas que devem ser estabelecidas.
É nesse sentido que o trabalho de advogados especialistas em direito digital tem induzido seus clientes. A advogada Patricia Peck lembra que dentro do ambiente de trabalho, informações valiosas podem vazar e propõe que empresas assegurem o segredo das informações profissionais a partir de um regulamento interno de segurança que deve ser assinado pelos colaboradores e funcionários. Isso pode até evitar processos judiciais trabalhistas no futuro.
“A sociedade digital era para ser mais livre, mas é preciso educá-la. E as empresas têm que ter normas mais claras. É aí que entra a integração do departamento jurídico com o RH das empresas”, diz Patricia.
Oportunidade de negócios
Os criminosos são incansáveis e estão sempre desenvolvendo novos ataques. Também vivem da exploração de falhas em protocolos e aplicações. Para Freire, a indústria de segurança busca responder aos novos incidentes e técnicas desenvolvidas de forma cada vez mais veloz na tentativa de se antecipar a possíveis novos ataques.
Ao mesmo tempo em que essas falhas causam prejuízos às organizações, pessoas com o espírito empreendedor enxergam boas oportunidades de negócios. É o caso de Leandro Melchiori, que preocupado com os “invasores sem rosto, munidos de mouse e teclado”, investiu e criou a ArmadaInfo. “Organizações compram soluções de mercado sem se preocupar com o efeito colateral que elas causam ao entrar na rede, e quando somos chamados muitas vezes já é tarde demais”, diz Melchiori.
Segundo o diretor da ArmadaInfo, para criar um plano de segurança “o primeiro ponto é definir o que exatamente você quer proteger e principalmente, de quem”.
Foi isso o que fez a transportadora BrasPress, que utiliza uma única matriz de rede de internet para suas 80 filiais espalhadas pelo Brasil. “Todos os funcionários da BrasPress acessam a web da nossa central em São Paulo. Como temos todas as unidades conectadas, procuramos consultoria da empresa de segurança com o intuito de proteger a nossa transportadora, não só de vírus, como também de hackers”, diz Adílson de Oliveira, gerente de tecnologia da informação da transportadora.
Mesmo que a organização pareça protegida, os incidentes já devem fazer parte do programa de segurança. “O plano deve contemplar estratégias que mitiguem os impactos durante o incidente e que propiciem uma rápida recuperação das operações após o ocorrido”, diz Renato Marinho, diretor de Tecnologia da Nettion Information Security, fabricante de softwares para empresas administrarem sua conexão com a Internet de forma fácil e segura.
Em resumo, “uma solução integrada e abrangente para o gerenciamento de segurança da informação deve ser capaz de coletar, correlacionar, alertar, arquivar e gerar relatórios sobre o comportamento do ambiente, atividades dos usuários, mudanças autorizadas e não autorizadas, e tentativas de invasão aos sistemas e aplicações”, alerta Fábio Amorim, gerente técnico de canais da Attachamate Brasil, empresa de cria soluções voltadas para gerenciamento de sistemas, segurança e ciclo de vida dos PC’s.
Legislação
Hoje há uma grande polêmica em torno dos projetos de leis que tramitam no congresso nacional para regulamentar a Internet. “Mas o debate necessita ser mais amplo e envolver diversos setores da sociedade. O que muitos juízes fazem é determinar penas no mundo virtual baseando em sentenças que se aproximam do mundo real. Por exemplo, a violação de uma correspondência é crime previsto em lei. A violação de uma caixa postal para leitura de e-mails também é encarada da mesma forma, seguindo a jurisprudência. A Polícia Federal tem realizado excelentes trabalhos contra repressão ao crime de informática, mas é preciso que sejam definidas leis mais rigorosas e que se apliquem de forma eficiente para identificar e punir os criminosos da Internet”, diz Alexandre Freire , especialista em segurança na Internet.
