Acostumadas a criar barreiras para proteger ambientes internos, as companhias estão sendo atropeladas por um grande movimento que está vindo de fora para dentro. É o provocado pelo uso de novas tecnologias, como os dispositivos móveis e cloud computing, e pela popularização das redes sociais, que fazem com que os dados estejam em qualquer lugar. São novidades que trazem benefícios aos negócios, mas que também aumentam os riscos de segurança da informação.

Esse novo cenário está exigindo mais dos Chiefs Security Officer (CSOs) e dos CIOs, que estão sendo obrigados a repensar a segurança corporativa, aprimorar a governança e adaptar as políticas à realidade do momento:
habitar um mundo sem fronteiras.

Para o líder de Segurança da Informação da Accenture, Carlos Alberto Costa, as companhias não estão preparadas para lidar com esse novo desenho. Isso em razão de as novidades estarem surgindo com mais velocidade. Ele constata que muitas organizações estão fazendo a segurança tradicional de perímetro. Ou seja, cuidam da proteção em camadas do ambiente local. Esse modelo torna-se frágil com a chegada dos dispositivos móveis e das redes sociais nas empresas.

Costa enfatiza que não adianta demarcar e defender apenas o território da empresa. “Agora, o desafio é proteger os ativos que carregam os dados corporativos onde quer que eles estejam”, conta o executivo, dando o exemplo do CEO da organização que sai de férias e retorna com um iPhone para acessar dados corporativos. “As empresas estão enfrentando dificuldades para acomodar a nova realidade. Estamos num momento de transição e as companhias precisam rever suas estratégias de Segurança da Informação”, ressalta o consultor da Accenture.

No entender do professor de Segurança da Informação do curso de pós-graduação da Veris IBTA, Ricardo Castro, o problema maior não é controlar os dispositivos do alto escalão, pois esses terminais são cadastrados na rede, seguindo todos os procedimentos de segurança. Para ele, a questão é controlar os smartphones e tablets genéricos sem proteção que entram diariamente na companhia, trazidos pelos funcionários.

“São mais equipamentos para explorar a rede”, afirma Castro. O especialista informa que a empresa tem até como bloquear o acesso a redes sociais no ambiente de trabalho, mas não consegue proibir o funcionário de navegar por esses serviços pelo terminal dele que fica em cima da mesa. Eles tentarão usar a rede Wi-Fi corporativa, mas se não conseguirem irão para 3G.

De acordo com o professor, dependendo da quantidade das redes sem fio, nem sempre é possível identificar a presença desses terminais no ambiente corporativo e muito menos gerenciá-los, o que causa dor de cabeça para os gestores de TI e segurança da informação.

Na avaliação de Castro, a mobilidade aumenta os riscos de invasão nas empresas. Hoje, os usuários finais têm nas mãos tecnologias sofisticadas e com muito poder de processamento. Um exemplo são os celulares com câmera e Bluetooth, que podem capturar informações sensíveis, mesmo sem conexão internet.

“Antes, as pessoas dependiam da empresa para acessar a web e hoje elas têm os seus próprios dispositivos nas mãos”, acrescenta o gerente executivo de Segurança da Informação da PricewatehouseCoopers (PwC), Ricardo Dastis, que já esteve na pele de CSO, com passagem por empresas como Basf.

Dastis lembra que antigamente apenas a TI tinha o poder de publicar informações e que atualmente qualquer um pode fazer isso, já que as ferramentas estão nas mãos das pessoas. Com essa mudança de paradigma, os funcionários passaram a ter acesso ao ambiente corporativo de qualquer lugar. A mobilidade trouxe produtividade mas também abre brechas para as companhias que não souberem gerenciar esses ativos.

“O novo cenário é complexo e desafiador. Os riscos estão aumentando”, avalia Marco Aurélio Maia, gerente de Projetos da Módulo. Ele percebe que, ao mesmo tempo em que os terminais móveis aumentam a produtividade e proporcionam mais agilidade, eles expõem mais as empresas. Para que esses dispositivos não sejam porta de invasão, o especialista chama a atenção para o reforço da segurança móvel, com o uso de antivírus, criptografia, backup e Virtual Private Network (VPN).

Gestão de riscos
Diante da complexidade atual, é preciso adaptar as políticas de segurança que foram escritas quando a companhia era estática. Agora, com a empresa espalhada por todos os lugares em que as pessoas estiverem com dispositivos nas mãos, novas regras precisam ser adicionadas a esse documento.

Os funcionários devem ser comunicados sobre as responsabilidades com o uso dos dispositivos móveis e das redes sociais tanto para questões de trabalho quanto para uso pessoal. As regras têm de estar escritas e bem explícitas.

Na visão dos especialistas, proibir o uso dessas tecnologias nem sempre é a melhor atitude. Eles consideram as redes sociais ferramenta importante para as corporações, quando usadas de forma segura.
“As empresas terão de ceder e aderir a esse movimento para ser mais bem-sucedidas no relacionamento com seus diversos públicos”, acredita o gerente sênior da área de Riscos em TI da consultoria Deloitte, Júlio Laurino.

A orientação dos especialistas para as empresas aderirem à mobilidade, processamento em nuvem e redes sociais é que antes conheçam os riscos a que estão expostas em cada um deles. Comprar tecnologia para proteger tudo tornou-se algo praticamente impossível.

As companhias precisam saber que informações são estratégicas para seus negócios e que exigem mais cuidados. Dastis da PwC considera que esse trabalho não é tarefa fácil em razão do crescimento do volume de dados não estruturados nas organizações.

Estão nessa categoria as informações armazenadas fora dos sistemas controlados pela TI, como é o caso dos pacotes de gestão empresariais (ERP), banco de dados (BD) e aplicativos de Recursos Humanos.
Na maioria das vezes, os dados não estruturados estão distribuídos pelas empresas, guardados nos PCs dos funcionários. Eles podem estar em caixas de e-mail, planilhas Excel, apresentações Power Point, entre outras aplicações.

Como não são controladas pela TI, essas informações podem ser sensíveis e correm risco potencial de vazar. Para evitar esse tipo de problema, Costa da Accenture aconselha que as companhias revejam suas estratégias de segurança e adotem a cultura de gerenciamento de riscos e avaliem se os recursos estão sendo aplicados corretamente. “É como a compra de um carro com três cintos de segurança.Muitas companhias saem adquirindo tecnologia sem pensar”, diz o executivo.

O perigo mora ao lado
A indústria apresenta quase que diariamente diversas tecnologias para proteção. Porém, segundo os especialistas, não há solução mágica se os processos não mudarem e as pessoas não estiverem conscientes do papel delas na defesa das informações das companhias em que trabalham.
Para Castro, os novos paradigmas vão forçar as empresas a investirem mais em educação dos colaboradores.

Essa necessidade é demonstrada em um estudo global de segurança da informação realizado pela PricewaterhouseCoopers(PwC) com 12,8 mil executivos em parceria com as revistas CIO e CSO. O relatório revela que os funcionários foram responsáveis por 33% dos incidentes ocorridos nas companhias em 2010. Outros 23% foram motivados por ex-empregados.

Por ser um elo frágil, Castro sugere que a área de Recursos Humanos (RH) ajude as companhias a reforçar a segurança da informação. O RH pode fazer um trabalho de conscientização, ensinando princípios éticos e relembrar os deveres de cada um para garantir a sustentabilidade da organização. “Um escândalo por fraude não beneficia ninguém”, diz o professor.

Castro prevê que em um futuro não muito distante as empresas vão começar a abordar as questões de segurança da informação durante os processos de seleção dos profissionais. Os RHs tendem a aplicar testes para avaliar aspectos éticos e valores dos candidatos. Os resultados podem contar ponto a favor dos que estiverem na disputa das vagas.

Essa tendência também foi apontada por Costa, da Accenture. O executivo acredita que o RH vai aplicar não apenas testes sobre ética como também avaliações para medir o conhecimento das pessoas sobre segurança da informação, como acontece com as provas de inglês.

Costa acha que essas avaliações serão realizadas, principalmente, quando houver mudanças das regras da companhia. Um exemplo é quando a empresa abre o capital e precisa tomar mais cuidado para evitar que informações sensíveis vazem para o mercado.

Em situações como essas, o funcionário que tinha o hábito de passar dados de uma planilha por e-mail para determinados contatos, terá de mudar seus processos de trabalho para garantir a sustentabilidade da sua companhia.

Terceirização da segurança
O outsourcing de TI é apontado pelos especialistas como um caminho sem volta e algumas empresas já repassaram ou estão avaliando a entrega para terceiros de determinadas operações da área de Segurança da Informação, principalmente de atividades que consomem muito tempo do Chief Security Officer (CSO).

Entretanto, muitas demonstram receio quanto à gestão, que tende a ficar dentro de casa por se tratar de uma parte estratégica para os negócios. Para o consultor Dastis, da PricewaterhouseCoopers, algumas atividades fazem sentido terceirizar para deixar o CSO mais focado em assuntos estratégicos para os negócios da companhia. Entre as quais, ele menciona o monitoramento de firewall, testes de intrusão e segurança dos sites de e-commerce. Já a gestão das métricas, alinhamento às políticas de segurança e priorização de projetos, segundo ele, devem ser realizadas internamente.

O professor de Segurança da Informação da Veris IBTA, constata que há casos de empresas que terceirizaram algumas atividades operacionais para reduzir custos, mas que voltaram atrás. Ele observa erro na venda do serviço e fragilidade nos contratos de Service Level Agreement (SLA).

Segundo Castro, as companhias precisam ficar atentas aos SLAs e exigir dos prestadores de serviço indicadores de segurança, principalmente ao monitoramento de firewall e testes de invasão. O professor afirma que muitas empresas buscam essas informações depois que assinaram o contrato e o terceiro alega não poder cumprir essa determinação. “É como um banco em que você aplica o dinheiro e ele informa os juros, mas não te dá o extrato das movimentações”, compara o especialista.

Paulo Vendramini, diretor comercial da Symantec, tem identificado uma crescente busca por outsourcing de serviços de segurança. “As empresas procuram transferir a responsabilidade do gerenciamento do ambiente.” Para o executivo, as grandes companhias geralmente são as mais conservadoras e querem manter a gestão em casa. Mas as pequenas, por outro lado, não têm tantos recursos quanto às grandes e veem a terceirização com bons olhos.

Na opinião do gerente de Canais da Fortinet Brasil, Eduardo Siqueira, ao mesmo tempo em que existe uma tendência, há resistência por passar para as mãos de um terceiro a segurança da organização. “No entanto, à medida que aplicações ou outros serviços são utilizados, a complexidade da rede aumenta e então a empresa direciona o tráfego para outra. Assim, ela pode focar em atividades estratégicas”, avalia.

Monitoramento de rede é um dos serviços oferecidos pela IBM. A companhia conta com nove centros em todo o mundo para gerenciar problemas de segurança dos clientes e somente no ano passado analisou mais de 13 bilhões de eventos diariamente nas organizações. “Ao identificar ações de risco, tomamos medidas, evitando que as empresas sejam afetadas”, pontua Eduardo Abreu, líder de segurança da IBM.

Plano de contingência
A adoção de novas tecnologias como virtualização e computação na nuvem aumentou o desafio das empresas na implementação de programas para recuperação de desastres. Um estudo global realizado pela Symantec com 1,7 mil gestores de TI revela que as companhias enfrentam mais dificuldades para gerenciar as aplicações de missão crítica.

O levantamento realizado em 2010 envolveu 18 países da América do Norte, Europa, Oriente Médio, Ásia-Pacífico e América do Sul. Seu objetivo era saber quais as maiores barreiras para recuperação de desastres. Uma das conclusões é que 32% dos sistemas virtuais não contam com backup regular e que apenas um em cada quatro entrevistados usa tecnologia de replicação para proteção desses ambientes.

A pesquisa mostra que 68% dos servidores virtuais das empresas entrevistadas não contam com planos para serem restabelecidos em caso de falhas. No Brasil, 51% das organizações afirmaram que os procedimentos de backup ocorrem apenas semanalmente. Esse índice é abaixo da média mundial, de 82%. Entre os obstáculos para reduzir essa janela estão restrições de orçamento e falta de estrutura para armazenamento dos dados.

Com a complexidade dos ambientes de TI e os dados atravessando fronteiras, especialistas recomendam que as empresas tenham uma estratégia bem definida para recuperação de desastres. Eles consideram que o Plano de Continuidade dos Negócios (PCN) bem alinhado às necessidades da organização ajuda a reduzir os impactos de ameaças em caso de incidente.

Para o consultor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP, Edison Fontes, o uso de novos recursos aumenta as responsabilidades das empresas. Ele destaca que a decisão de processar serviços na nuvem e adotar mobilidade obriga uma maior preocupação com a gestão de riscos. A contratação de terceiro não garante que elas estarão livres de ficarem fora do ar por falhas.

Segundo Fontes, mesmo provedores altamente capacitados podem ter problemas e deixar seus clientes fora do ar. Como exemplo, ele lembra o apagão que aconteceu em São Paulo em 2008, quando a rede Speedy da Telefônica entrou em pane, interrompendo serviços de diversos órgãos públicos.

Para o professor, as companhias que não possuem estratégias para evitar que as operações sejam interrompidas por falhas e tenham planos para reduzir os impactos estão sendo inconsequentes. “É importante sempre fazer a pergunta: e se algo acontecer?”. Por isso, a sua recomendação é que as companhias tenham um plano B para dar respostas rápidas em situações de emergência.

Entretanto, Fontes observa que ter contingência gera custos e que os investimentos devem ser de acordo com a necessidade dos negócios. A contratação de sites backups para espelhamento dos dados em tempo real justifica para operações de missão crítica.

Para que um PCN seja efetivo, o professor aconselha que ele seja elaborado juntamente com as áreas de negócios e com apoio do board. Fontes afirma que um acidente por perda de dados pode, por exemplo, gerar não apenas prejuízos financeiros, mas problemas legais e comprometer a imagem da companhia.

Fontes chama a atenção das empresas para as medidas de segurança dos smartphones, que podem ser alvo de ataques de informações sensíveis, como dados sobre desenvolvimento de um produto. Esses dispositivos têm de estar protegidos e também abrigar sistemas de backup dos dados em caso de perda ou roubo.

Falta de infraestrutura
O consultor técnico de pré-vendas da EMC Gerson Freire acha que o maior desafio das empresas hoje é ter uma infraestrutura flexível que apresente alto nível de disponibilidade atrelado à criticidade dos negócios.
“Até pouco tempo era comum as companhias terem site de contingência parado. Mas, hoje, elas estão buscando mais recursos para reforçar a duplicação, de olho na continuidade dos negócios, e optando por balanceamento de carga”, completa.

De acordo com o executivo, a estratégia de balanceamento possibilita economias importantes para a empresa, já que o ambiente de contingência não ficará estático até que assuma as funções do site principal em caso de falhas.

Na opinião do consultor, organizações que contam com recursos de disaster recovery têm de se preocupar com a rápida recuperação do ambiente.  “Uma tecnologia de recuperação síncrona protege muito bem de falhas físicas. Mas as falhas lógicas são propagadas para o segundo site. Por isso, é preciso fazer uso de outra tecnologia para restabelecer rapidamente os sistemas”, aponta.

Por: Déborah Oliveira e Edileuza Soares, da COMPUTERWORLD