| |
 |
|
16/07/2007
Só proteger não basta
Razão Contábil Maio 2007
Grandes estragos sofridos pela rede corpora- tiva de uma empresa começam, às vezes, devido à simples curiosidade de um funcionário. Para arrai-la, criminosos virtuais utilizam-se de artifícios cada vez mais sedutores para convencer o internauta a baixar downloads e receber mensagens que, abertas, contaminarão as máquinas e derrubarão sistemas de segurança da informação. Caso recente se deu após a tragédia ocorrida na Universidade Tecnológica da Virgínia (EUA), onde 32 pessoas foram mortas e 15 foram fendas pelo universitário Cho Seung-hui, de 23 anos. Mensagens que circularam pelo mundo, prometendo mostrar imagens da tragédia, trouxeram programas espiões, como o TrojanDownloader.Win32.Banload.ocm, que minam a segurança do sistema
Dados de uma pesquisa norte-americana, da Forrester Research, revelam que falhas de segurança geram prejuízos na faixa de US$ 90 a US$ 305 por documento, cadastro ou histórico perdido. Multiplicado esse custo unitário pelo volume dos enormes bancos de dados de qualquer empresa, não é difícil colocar a perda na casa dos milhões. Está muito claro que na Segurança da Informação o maior ativo e a inteligência gerada a partir de dados produzidos na estratégia de negócio, os relatórios informacionais precisam ser protegidos a qualquer custo para o bem dos negócios e das relações com clientes, parceiros e fornecedores. De acordo com pesquisa recente do IDC, empresa especializada em inteligência de mercado nas áreas de TI c telecomunicação, as despesas mundiais com SI chegaram aos US$ 38 bilhões no ano passado e devem bater nos US$ 66 bilhões até 2010. O entendimento de que recursos aplicados na Segurança da Informa- ção (SI) são despesas a "fundo perdido", estão sendo revistos para a categoria "investimento estratégico". Porque, no mundo virtual, hackers ou outros criminosos virtuais não são as únicas ameaças. Outro grande perigo é o negócio ser minado simplesmente pelo fato de o concorrente ter percebido antes que o investimento em soluções tecnológicas para redu- zir a vulnerabilidade da rede tecnológica e dos dados que trafegam nela agrega valor aos produtos e serviços. - O grande interesse das companhias nesse tipo de tecnologia, mostra também que a simples adoção de solucoes de ponta já são ostentadas como diferencial de negócios. Há exemplos por aí. Empresas da área de consultoria e TI, como a Módulo, a Serasa e T-Sysrems, divulgam intensamente a obtenção do selo 1SO 27001, que indica qualidade nas práticas de SI. A Serasa, por exemplo, fortaleceu relações com clientes que precisam de certificados digitais para áreas diversas como contratos de câmbio,pagamentos à Receita Federal e até mesmo circulação de prontuários eletrônicos. Alinhamento ao negócio De maneira geral, todos estão preocupados em proteger seus da- dos. O desafio agora c ir alem da redução de riscos e vulnerabilidades e criar novas oportunidades de negócios. O especialista em SI Edison Fontes, consultor de Tecnologia da Informação (TI) da CPM-Braxis, explica que a segurança da informação está alinha- da quando ela possibilita que a organização desenvolva diversas formas de atuaçâo por meio dos recursos de informação que estarão adequadamente protegidos e disponíveis. "Esse controle dos dados viabilizará processos e as atividades da organização", comenta. Fontes ainda explica que o sucesso nesse quesito passa por entender que alinhamento ao negócio é um caminho de duas vias. "O processo de segurança deve buscar atender aos requisitos e a área de negócio ou produto deve esclarecer previamente quais são suas necessidades em relação aos recursos de informação", explica. E importante ter claro que quando não encarado dessa forma, o alinhamento pode até ser alcançado, porém acontecerá com mais atritos e em um tempo mais longo.
O próprio Fontes dá algumas di- cas para saber se o alinhamento entre SI e negócio está sendo atingido. Entre os pontos a serem observados está a percepção se de fato o núcleo que cuida da segurança está participando do desenvolvimento de novos produ- tos e/ou serviços. Nesse quesito ele lembra que "envolver a segurança da informação apenas na última semana quando a nova estratégia já está prestes a ser lançada não c uma boa práti- ca para organizações que desejam verdadeiramente esse alinhamento". Outro ponto destacado por ele é a necessidade de se ter um nível hierárquico adequado, visto que essa área deve se reportar a um comando que possibilite a sua atuação sem sofrer restrições. Ainda nas recomendações, o consultor de SI acrescenta que é fundamental conhecer o planejamento estratégico da empresa. "Se a organização pretende desenvolver produtos de forma descentralizada e precisa utilizar comunicação sem fio, por exemplo, é necessário que a área responsável por reduzir os riscos se antecipe, busque encontrar soluções e produtos que atendam a necessidade de negócio e sejam eficientes ao longo do tempo", completa. Isso, para ele, tem tudo a ver com o planejar estrategicamente e de maneira alinhada com a redução de vulnerabilidades. "A segurança existe por causa do negócio e deve ser adequada à forma de realização, respeitando a legislação, a conduta ética e as características da or- ganização", completa Fontes. Sendo assim, os responsáveis devem atentar para como fazer isso acontecer na prática. "Sem realizar esses esforços dolorosos, toda a estratégia de segurança da informação da empresa serão sacrifícios inúteis, como dar 'murro cm ponta de faca." Um exemplo de iniciativas alinhando segurança à estratégia de ne- gócios pode ser visto no amplo interesse dos bancos pela oferta de serviços no celular, que está sendo conhecido como Mobile Banking. O assunto é tão importante para o setor que será o tema do Congresso de Tecnologia da Informação (Ciab), da Federação Brasileira de Bancos (Febraban), a ser realizado em junho. No Banrisul, por exemplo, para lançar esse novo canal eletrônico de atendimento aos clientes, a instituição fechou um acordo com a operadora Claro e a empresa de tecnologia Everymobile. Pelo acordo, rói criado o Banri- sul Mobile Banking, serviço que promete aos correnristas acesso à conferência de saldos de conta corrente, poupança integrada e fundos com resgate automático e mensagens da instituição. Contudo, para lançar um projeto ousado como esse os dispositivos de SI são fundamentais para a confiabilidade do cliente. Marco António Zanini, diretor re- gional daTrue Access, reforça o caráter estratégico da SI para as empresas. "Hoje se tala naturalmente cm VolP, e-mail no celular, rede wireless e tantas outras for- mas de se transmitir informação de forma que a tecnologia deixou de ser um departamento isolado para entrar no cotidiano das empresas." Contudo, uma simples operação em um caixa de banco precisa contar com vários procedimentos de segurança, para evitar a vulnerabilidade do processo. "Esse assunto é da maior seriedade, um cliente bancário me talou que, somente em 2006,houve um prejuízo de mais de R$ 120 milhões por ataques de invasores que roubam senhas e fazem saques." Melhor alternativa Marcelo Lau, consultor da Febraban, diretor da Data Security e professor do Senac, concorda com essa realidade do mercado e aconselha seus clientes e parceiros a buscar um modelo arualizado para a gestão da SI. "As estratégias atuais devem ir além do foco em equipamentos, pro- dutos e serviços; o que importa é como se operam os sistemas que dão segurança aos dados", pondera. Para isso, o especialista sugere aos gestores de risco fazer uma análise da melhor estratégia a ser adorada a partir de alguns cânones básicos. O primeiro deles é a questão da confidencialidade. Para Lau, esse item é muito importante em muitos segmentos empresariais. Em áreas de muito investimento em pesquisa e desenvolvimento, como nas industrias farmacêutica, automobilística entre outras, se houver vazamento de informação estratégica há risco de perda de mercado. Lau lembra ainda que SI vai muito além de tecnologia, visto que um simples papel perdido pode gerar grande vulnerabilidade. "Isso se torna ainda mais grave atualmente, visto que as pessoas car- regam consigo muitos dispositivos para transportar informações", diz. São eles celulares com máquina fotográfica, pen drives, notebooks: o armazenamento e o transporte de informações ficou mais simples, mas isso pode comprometer a segurança. "Celulares com foto são um problema em empresas que não querem expor segredos industriais", diz. Daí que a política de SI deve passar também por uma sincronia com a segurança patrimonial e com uma mudança de cultura corporativa.
A integridade surge como outra questão fundamental nesse processo. "A informação de origem deve ser a mesma que chegará ao destinatário", pontua Lau. Isso significa que é imprescindível que se criem mecanismos para que a informação se mantenha íntegra no acesso. Ele cita o exemplo de programas espiões que geram problemas ao modificar informações e gerar vulnerabilidade dos sistemas. Ao mesmo tempo, é preciso também que a informação esteja disponível quando o cliente dela precisar. "Achar o equilíbrio entre integridade e disponibilidade é um grande desafio nesse cenário, mas é fundamental para garantir a segurança da informação transportada", completa Lau.Para Marlon Dias, gerente de projetos da Unisys, além de reconhecer a importância da SI na estratégia dos negócios, a empresa deve ter também uma estratégia própria para essa questão. Isso, em outras palavras, significa que é fundamental haver um estudo de cada caso para que o investimento seja adequado e não prejudique a saúde financeira da companhia. "Anres de implementar qualquer solução, fazemos um estudo do cliente para oferecer a melhor alternativa para a realidade dele", comenta. Um dos clientes da Unisys é o Grupo Rede, gigante do setor elétrico nacional, com atuação em distribuição, geração e comercialização de energia. Dias revela que, a companhia elétrica aceitou pane das recomendações propostas pela consultoria da Unisys e decidiu, em 2005, terceirizar as atividades operacionais de TI. Um dos projetos envolvidos ép de serviços gerenciados de segurança e de service desktop ambiente distribuído. Com o modelo adorado, os benefícios são alcançados na gestão de riscos e na segurança da comunicação via Internet, além do aumento do controle dos custos de TI - itens fundamentais para uma empresa com atuação dispersa e milhares de usuários internos, além de parceiros e clientes.
|
| |
|
|
|
