Por Marcelo Piuma*
É indiscutível que poucas são as pessoas que conseguem sobreviver sem um endereço de e-mail, visitar seu perfil nas redes sociais, acessar a Internet para ver o seu saldo bancário ou pagar contas. No mundo dos negócios, mais ainda, a internet se tornou uma ferramenta de trabalho tão banal quanto um editor de texto, uma planilha eletrônica ou um software de CAD. Essa banalidade é o grande problema para a segurança das informações.
Existem basicamente três tipos de empresas: as que já possuem uma verba para segurança do ambiente computacional (normalmente já sofreram alguma perda por ataque), as que implantaram alguma forma de segurança e mantém apenas com equipe interna (são muitas) e, finalmente, as que acreditam que gastar dinheiro com segurança é custo e não investimento (infelizmente é a maioria). Nesse terceiro tipo de empresa, temos ouvido as mais variadas desculpas, mas, com certeza, a mais comum é que são tão pequenas que ninguém tem interesse em atacá-las. Esses dois últimos tipos cometem o maior erro que um administrador pode cometer: achar-se seguro.
Muitos leitores devem estar duvidando da existência desse terceiro grupo, mas, pasmem, é, sem sobra de dúvida, a maioria, principalmente as empresas de pequeno e médio porte que estão conectados à Internet por linhas ADSL. São empresas que, geralmente, não possuem área de TI formal. Porém, se perguntarmos nessas mesmas empresas se elas tem seguro contra roubo, em uníssono, irão responder que SIM, não operariam sem um seguro. É uma grande distorção, mas essas empresas podem estar sendo roubadas e infelizmente não poderão acionar suas seguradoras.
O custo de um sistema de segurança também aparece como o grande “culpado” para muitas desses dois últimos tipos. E, por não terem um departamento de TI formal ou um especialista que auxilie nas decisões estratégicas para TI, acabam correndo riscos desnecessários, pois, com o advento do software livre (por favor, não confundam software livre com software grátis), é possível implantar um sistema de segurança extremamente robusto com um custo muito baixo.
Temos percebido que não basta um firewall, um IDS/IPS e etc. É preciso muito mais do que isso, é preciso cultura empresarial de segurança. O grande responsável pela falta dessa cultura é a banalidade comentada anteriormente. Mesmo no primeiro tipo de empresa (as que têm verba para segurança) poucas são as que têm, realmente, uma política formal para segurança.
Investir em sistemas de segurança e treinamento é fundamental, porém existe outra variável importante nessa equação, já que o sistema é operado por pessoas que cometem erros como abrir qualquer arquivo anexo que recebem por e-mail, mesmo de um remetente que não fazem à mínima ideia de quem seja.
É desse grande furo na segurança que estamos falando. Os usuários de um sistema computacional, por mais sofisticado e caro que seja, se não tiverem cuidado e regras claras para utilizá-lo, estão colocando todo o sistema em risco.
É preciso ter olhos também para essa brecha no sistema e não apenas para as já velhas e carcomidas portas do protocolo TCP/IP. Do que adianta termos uma parafernália de segurança de última geração se o usuário do sistema, navegando na Internet, não tem o menor pudor em acessar sites que podem esconder scripts de ataque nas suas singelas páginas ASP(x) ou XML ou PHP?
Mas, também, como saber se o site é perigoso? A resposta é bom senso. Parece lúdico, mas uma das mais importantes ferramentas de segurança é o bom senso. Os administradores de sistema precisam estar atentos para esse problema. Os maiores vilões para a segurança dos dados da empresa podem estar(e provavelmente estão) dentro da própria empresa, fantasiados de aliados.
Durante auditorias de segurança é comumente encontrado esse tipo ocorrência, onde o sistema “falhou”, não porque estivesse sem o último patch ou update, mas porque um usuário fez o que não devia, e,pior, sem consciência, por falta de treinamento e orientação.
Não é fácil criar essa cultura empresarial, mas é preciso iniciá-la o mais rápido possível. E um grande auxiliar na criação dessa política é o pessoal da qualidade, pois podemos colocar certas regras de uso do sistema no manual da qualidade.
As empresas gastaram muito dinheiro implantando sistemas computacionais de gestão, gerenciamento de documentos, workflow, numa clara tentativa de se tornarem mais competitivas e economicamente viáveis. Algumas conseguiram, outras não. Infelizmente, continuam apenas na tentativa, seja por errarem na escolha do produto, seja por falta de cultura empresarial para implantar esses sistemas. E até por subestimarem o poder de transformação que esses programas realizam em uma empresa.
Com segurança é a mesma coisa: comprar um sistema não é o fim da história, é apenas o começo. Um trabalho árduo de conscientização e treinamento é necessário para criar essa cultura. Se todos realmente tiverem esses cuidados no uso dos recursos oferecidos pela empresa, o sistema estará muito mais seguro do que apenas confiando nos sistemas de segurança.
E vale lembrar que o pior tipo de ataque é aquele que você não sabe que sofreu, pois nenhuma medida corretiva será tomada e, outras vezes, os ataques poderão ocorrer, trazendo prejuízo para a empresa.
Não é fácil educar os usuários do sistema para terem bom senso, e muitas desculpas são dadas por eles na tentativa de justificar seus erros, mas treinamento é a saída mais curta para criar essa cultura.
É evidente que não podemos abrir mão de nenhum sistema de segurança porque temos bom senso, mas, com certeza, sem bom senso todo e qualquer sistema de segurança está mais vulnerável.
Sistemas de segurança robustos, bem administrados e atualizados e usuários treinados e orientados, formando essa cultura empresarial de segurança, é, sem sobra de dúvida, a melhor receita para uma empresa que busca trabalhar em um ambiente seguro.
Marcelo Piuma (marcelo@qualityware.com.br) é Engenheiro Eletricista e Diretor de Marketing da Qualityware Informática de Curitiba. Atuando no mercado de TI a mais de 20 anos tem desenvolvido projetos de segurança da informação e redes de computadores no Brasil, América do Sul, Europa e Malásia.