Falta de maturidade emperra
melhorias na proteção dos dados e cenário tende a ficar mais complexo
com incorporação de novas tecnologias
A segurança da informação (SI) ainda tem muito a evoluir nos mercados
emergentes, especialmente no Brasil, onde a economia aponta para
registrar forte desempenho e cada vez mais companhias de diversas
nacionalidades se instalam por aqui. Com este dinamismo, empresas e
profissionais precisam estar mais bem preparados, já que, sendo o País a
bola da vez em diversas áreas, certamente cultivará a atenção de
hackers, cibercriminosos e outros delatores interessados em faturar com o
roubo de informações ou mesmo em prejudicar as corporações por meio de
publicação de dados estratégicos ou manchando a imagem da firma, o que
poderia custar alguns milhões de reais.
Diversos estudos patrocinados por fornecedores de produtos de
segurança da informação apontam para uma preocupação crescente com a
área, mas especialistas ouvidos por InformationWeek Brasil para este
especial dizem que ainda há um grande espaço para amadurecimento nas
companhias instaladas no País, sobretudo as de origem nacional, uma vez
que as multinacionais têm em seus DNAs a cultura das matrizes e, quando
falamos de empresas norte-americanas e europeias, a preocupação com a
proteção dos dados é muito maior. Resumindo, as brasileiras pensam
bastante sobre o assunto, mas muitas não possuem estratégias e políticas
formalmente desenhadas e implementadas.
O presidente da Isaca, Ricardo Castro, frisa que os desafios são os
mesmos há dez anos. “Não mudaram, porque as empresas não chegaram à
maturidade ideal. A tecnologia anda mais rapidamente e há um
descompasso.” Esta maturidade a que ele se refere está estritamente
relacionada a processos, planejamento, conscientização e outras
preocupações que compõem a lista dos dez dilemas elaborada a partir das
opiniões de profissionais como ele, além de consultores e analistas da
Deloitte, Daryus Strategic Risck Consulting e PricewaterhouseCoopers
(PwC).
Só para ilustrar, o mais recente levantamento da Symantec sobre a
preocupação com segurança entre executivos de TI na América Latina
mostra que metade dos entrevistados prevê mudanças significativas na
abordagem em SI. No Brasil, este porcentual foi de 61%. A pesquisa
revela ainda que tecnologias como software como serviço (SaaS, da sigla
em inglês) e virtualização de servidores e de endpoints causam dores de
cabeça às equipes.
É fato que cuidar da segurança dos dados está cada vez mais complexo
e não apenas pela sofisticação dos ataques online, mas pela mudança no
perfil dos usuários, pelo crescimento na adoção de smartphones e outros
dispositivos móveis e pela diversidade de sistemas operacionais que
necessitam de suporte. Soma-se a isto um movimento não muito recente de
adesão ao trabalho remoto, levando a segurança para muito além do
perímetro da corporação.
Se você acha que isso vai custar muito, Edison Fontes, consultor em
segurança e professor da Fiap, dispara: “custa a vontade de querer. É um
custo compatível”. E, como nada é simples como gostaríamos que fosse,
Jeferson D”Addário, sócio da Daryus, coloca outro forte ingrediente na
discussão: a necessidade de uma área de segurança trabalhando à parte da
TI, sobretudo em empresas de grande porte, como parceira, e não
totalmente subordinada e compartilhando orçamento.
Preparado? Confira a lista com dez dilemas que os especialistas mais têm se deparado dentro das companhias brasileiras:
-
Planejamento do processo de segurança da informação:
Embora pareça algo óbvio, muitas empresas não passam por um processo
de planejamento de suas ações em segurança da informação. Para o
especialista Edison Fontes, que também leciona na Fiap, é essencial que
as companhias se programem pelo menos para os 36 meses à frente. É um
trabalho que envolve desde um raio X do que a área possui até a árdua
tarefa de priorização. “Precisa haver uma avaliação da situação,
respondendo à pergunta de como a empresa está em termos de segurança?”
O especialista lembra que as coisas estão conectadas, ou seja, o
planejamento se liga à política, que está atrelada à conscientização do
usuário e assim por diante. “A forma estruturada é o pulo do gato. Se
não faz avaliação, o planejamento não vai. Isso é obrigatório para
todos. Mesmo que ande devagar, é importante saber para aonde está indo.
Não saber onde está é a pior situação”, alerta o professor e consultor.
-
Conscientização da alta administração:
Ensinar as pessoas que estão há muito tempo no comando é difícil. Por
diversas vezes durante a entrevista, Jeferson D”Addário, sócio da
Daryus, reforçou a necessidade de trabalhar a conscientização da alta
direção e classificou o apoio destes executivos como fundamental para
todo o projeto de segurança da informação dentro de uma companhia. Ele
avisa que alguns profissionais demonstram grande preocupação com
segurança, mas não fazem as coisas acontecer. “Tem pouca verba, investe
pouco. Há preocupação, mas não tem discurso, não tem ação.”
D”Addário explica que CIOs e CFOs enfrentam dificuldades para
justificar o investimento. “Mudar a atitude à frente da companhia é algo
trabalhoso”, enfatiza o especialista. Enquanto ensinar os usuários
requer um bom trabalho de conceito, convencer a alta administração
mostra-se mais complexo. “Mas, quando eles compram [a ideia], as coisas
fluem mais rapidamente e os executivos passam a entender que dependem da
segurança.”
Para facilitar, o sócio da Daryus fornece três dicas para convencer a
alta direção: regulamentação, exemplificação e trabalhar em
organizações setoriais. “As leis ajudam muito, mas temos poucas,
diferente do setor financeiro que é regulamentado pelo Banco Central.”
Além disto, ele aponta que, embora não seja a melhor alternativa,
mostrar empresas que se prejudicaram em incidentes pode ser um caminho
para o convencimento para investir em políticas e mecanismos de SI. Por
fim, D”Addário diz que, assim como os bancos utilizam a Febraban, outros
setores poderiam fazer o mesmo.
Mas, como ressalta André Gargaro, sócio da área de gestão de riscos
empresariais Deloitte, é preciso que alta direção e funcionário tenham
“conhecimento do valor do ativo informação, pois ela é a mais
importante, principalmente hoje, quando se depende muito de tecnologia.”
- Políticas e normas de segurança:
O problema não é só de pequenas e médias empresas. Grandes companhias
até possuem políticas e normas de segurança, mas, como alerta o
presidente da Isaca, Ricardo Castro, ninguém as lê, embora todos assinem
termo de comprometimento. Talvez, um grande problema neste tópico é
converter o calhamaço de regras em algo palatável, entendível e
assimilável por todos.
Para Edison Fontes, da Fiap, trata-se de um item prioritário no plano
de segurança mesmo se a empresa não tiver algo elaborado. “Quando não
possui, recomendo isto logo no início, mas, quando há muitos incêndios,
apagamos para depois elaborar a política”, comenta Fontes. Um conselho
que o especialista dá é após ter toda a diretriz aprovada, criar algo
macro, como dez mandamentos de segurança. Isto facilita muito o processo
de conscientização. Ao assimilar as regras principais, o usuário
consultará o documento completo caso necessite de uma orientação
complementar. Jeferson D”Addário, da Daryus, olha um pouco mais à frente
e já fala nas adaptações necessárias para a nova realidade. “As
crianças aprendem marketing de divulgação desde pequenas e as empresas
precisam se preparar para isso. Ter uma política adequada é mandatório.”
- Conscientização do usuário:
Para o presidente da Isaca, Ricardo Castro, embora este seja um dos
dilemas mais antigos dentro das empresas, ainda se trata de um dos mais
complexos. Não porque as pessoas se recusam a aprender, mas porque
requer muito comprometimento das companhias e de forma contínua e
evolutiva. “Investe-se pouco na formação do usuário para ser vigilante
da segurança. Gasta-se em ferramentas que geram métricas”, reflete
Castro, para quem investir na educação dos funcionários gera resultados
muito melhores.
O ponto de atenção fica por conta da comunicação, que precisa ser a
mais clara possível. Edison Fontes, consultor e professor da Fiap,
ressalta que neste ponto é importantíssimo um trabalho conjunto com o
departamento de RH, que fará a ponte entre a área de segurança e os
funcionários. E, além dos empregados, os treinamentos precisam se
estender aos parceiros, que também terão acesso aos dados da companhia e
aos diversos departamentos. “O parceiro tem de estar no mesmo nível de
proteção.” O especialista diz ainda que, dentro da formação, é preciso
determinar o comportamento que o funcionário terá em caso de identificar
alguma irregularidade: manda e-mail, liga, avisa ao superior.
Diversas companhias têm investido nisso e garantido bons resultados. O
Grupo Santander, por exemplo, possui uma semana anual de segurança,
onde os funcionários assistem palestras e debates relacionados ao tema. O
importante é envolver a todos e transformar a ação em algo constante,
por isto a necessidade do comprometimento da alta direção para que
sempre haja verba para essas atividades. “Nada funciona sem
conscientização, tem que liderar preparando as pessoas para que se
previnam”, aponta André Gargaro, da Deloitte.
- Nuvem e virtualização:
Há algum tempo, a preocupação com segurança em torno da virtualização
parecia ser menor, seja em servidores ou desktops. Isto tem mudado e um
termômetro é a crescente oferta de antivírus para máquinas virtuais. Na
computação em nuvem, a cena é diferente, a segurança sempre imperou
como um obstáculo. Mas o que pensam os especialistas? “Mexe com
paradigmas da profissão. Não é só o papel da TI. Temos novos
profissionais que trabalham em casa, sem barreiras e livres, são
avaliados pelo resultado final”, pontua Ricardo Castro, da Isaca.
Essas tendências, se é que ainda podem ser taxadas desta forma, são
inevitáveis no ambiente corporativo, sobretudo, pela redução de custo
que propiciam. “Não há como escapar. Ainda brigam, mas é seguro e está
provado que é um conceito que deu certo e que está acontecendo e tende a
se fortalecer com a compra cada vez maior de SaaS”, provoca Jeferson
D”Addário, da Daryus.
- Redes sociais:
Se a opção que passa pela sua cabeça neste momento é bloquear o
acesso, pare, avalie e desista desta possibilidade. Embora pesquisas
apontem que muitas empresas tomem esta medida, especialistas alertam que
ela não é a mais acertada. O último levantamento sobre o assunto do
Comitê Gestor da Internet no Brasil (CGI.br) apontou que 48% das
companhias proíbem uso de sites de relacionamento, quando o ideal seria
um trabalho de conscientização sobre o uso adequado destas mídias.
“Assim como orientamos as crianças para que não postem qualquer tipo
de foto no Orkut, temos de orientar os funcionários para não inserir
informação na rede. Ao bloquear, você pode eliminar possível ganho de
conhecimento”, alerta Gargaro, da Deloitte.
Um estudo da Symantec com profissionais da Europa e América do Norte,
produzido no início deste ano, revelou que, entre os funcionários que
utilizam rede social no trabalho, 53% do tempo destinado a estas mídias
tem propósito profissional. Isto reforça a tese de não bloquear, até
para não entrar em choque com as novas gerações.
Como ensina D”Addário, da Daryus, se a empresa não está conectada e
atenta às tendências, a segurança poderá ser surpreendida. “Não adianta
achar que bloquear resolve. Terá de permitir algumas. Brinco que é
preciso um pouco de psicologia. É preciso descobrir as redes mais usadas
e as empresas têm de participar criando comunidades. Se conhece o
público, é mais fácil adaptar a política de segurança”, aconselha.
Outro ponto importante – além da inclusão do item na política de
segurança – é elaborar um manual sobre o uso adequado das redes sociais,
com informações sobre o que se pode divulgar e como se posicionar em
relação à companhia nestes sites. Diversas multinacionais possuem
trabalhos neste sentido. A maioria com sucesso.
- Mobilidade:
A popularização dos smartphones e aplicativos móveis disponíveis para
downloads nas lojas de aplicações configuram outro desafio à segurança
das empresas. Enquanto algumas companhias possuem projetos de mobilidade
que consistem na distribuição de aparelhos para gerência e direção, boa
parte dos empregados exibe seu device e, por meio dele, acessa sistemas
da companhia, desde e-mail até o CRM. O que fazer quando estes
aparelhos se convertem em mais um ponto de dispersão dos dados da
corporação?
A indústria fornecedora está atenta e algumas, como a Kaspersky,
trabalham no desenvolvimento de antivírus para plataformas móveis, mesmo
porque, tais dispositivos já são alvo de hackers. Recentemente, algumas
versões do sistema operacional Symbian estiveram no alvo dos
cibercriminosos e estimou-se um número de 100 mil smartphones
vulneráveis aos botnets.
Diante disso, o CIO precisa aprender a lidar com o universo de
sistemas operacionais que necessitam de suporte e entender de uma vez
por todas que a segurança já não se limita à redoma de concreto da
companhia. “As pessoas usam seus aparelhos como miniescritórios e não
pensam em backup, que o dado tem vida longa, que a política de descarte é
inexistente”, exemplifica Ricardo Castro, da Isaca.
Como lembra Jeferson D”Addário, da Daryus, já não existe uma
padronização como havia no passado e, dentro do plano de segurança, é
preciso prever como garantir o controle das máquinas na casa do
funcionário. “Segurança na ponta é essencial já que o acesso pode ser
via celular, cibercafé, tablet. É fácil com mobilidade se logar e
acessar, sobretudo, com modelo SaaS, mas o mundo da segurança tem de
trabalhar mais.”
- Recuperação de desastres e redundância:
A cultura de um plano de recuperação de desastres e continuidade dos
negócios ainda não está totalmente arraigada no Brasil. É possível
encontrar companhias que não se preocupam com este tópico e é por isso
que ele integra esta lista. Parte desta situação está relacionada ao
fato de as pessoas acreditarem que o País está livre de terrorismo,
terremotos e outras situações adversas observadas em outros países. Mas
elas esquecem-se, por exemplo, que temos enchentes, apagão (de energia e
telefonia), só para citar alguns dos obstáculos enfrentados por aqui.
Aos poucos a tendência é que isto mude. Um levantamento da Frost
& Sullivan mostra que o mercado de recuperação de desastres no
Brasil movimentou em torno de US$ 260 milhões em 2009 e a perspectiva é
que este serviço cresça a uma taxa média anual de 12% até 2015. “O
mercado lá fora ainda é mais maduro. O gerenciamento de crise no País
nasceu no governo do Fernando Henrique Cardoso”, comenta Jeferson
D”Addário, da Daryus. Ele cita como exemplo o banco ABN Amro que, com
sua cultura européia, tinha 30 pessoas na equipe de recuperação de
desastres aqui no Brasil. Para ele, um passo fundamental é as empresas
entenderem isto como investimento e não custo.
O especialista lembra da necessidade de um plano minucioso e com
equipes condicionadas. Mais que colocar tudo no papel, treinar é
essencial para que todos saibam como agir. “Precisa pensar
profissionalmente. As grandes e médias empresas têm de se preocupar.
Quando acontece, o problema pega a equipe de calça curta. A pergunta,
neste caso, é: qual é a probabilidade?”, comenta Edison Fontes, da Fiap.
O professor e consultor ensina que é preciso priorização. Outras
dicas incluem escolher o melhor local para construção ou locação de
imóvel e mesmo a instalação de um CPD. Você faria isso nas proximidades
de um aeroporto ou rotas de helicópteros? “Se ficar indisponível, qual o
plano B? Precisa estar preparado se quiser concorrer com o mundo. Um
artesão que vende pela web e fica com site fora do ar tem prejuízo. Tem
que avaliar as sensibilidades e muitas vezes os problemas não são
levados aos acionistas”, argumenta.
Os profissionais ouvidos por InformationWeek Brasil dizem ainda que,
no caso do processo de contingência, é preciso envolvimento total das
áreas de negócios. Elas definirão o tempo de recuperação e não a TI. É o
departamento financeiro, por exemplo, que sabe se pode ficar 15
minutos, duas horas ou um dia sem o sistema. “Apesar de ser recurso de
TI, as informações são das áreas e elas sabem o impacto financeiro ou de
imagem que a indisponibilidade trará”, sacramenta Fontes.
- Data loss prevention (DLP):
Trata-se de algo extremamente importante e não falamos aqui de
quaisquer ferramentas, mas do conceito de prevenção à perda de dados ou
data loss prevention (DLP). Para Edgar D”Andrea, sócio da área de
segurança e tecnologia da PricewaterhouseCoopers (PwC), é preciso uma
abordagem para colocar o vazamento da informação com o core. “Aqui, você
revisita questões ligadas à política de segurança, à classificação da
informação, ao treinamento e à sensibilidade do que não funciona. E tem a
visão de que você começa a quebrar sua organização por processos”,
explica.
Segundo informou o especialista, faz-se necessário entender quais
pontos apresentam maior risco de vazamento. Ao estabelecer uma política
de classificação, normalmente, a empresa pensa sobre o que o usuário
faz, mas deveria ir além. “Por exemplo, uma tabela de preço ou desconto é
uma informação crítica e, se não houver blindagem daquilo, ela pode
vazar para o mercado e o concorrente saber das margens. Com visão DPL
você consegue isolar a informação. Não pode enviar por e-mail, gravar em
pen drive, dar printscreen”, enumera.
Tratamento similar precisa ser dado aos notebooks que proveem acesso
aos sistemas e dados da casa do funcionário e também para smartphones.
Não adianta pensar em bloquear, já que trabalho remoto e mobilidade
estão na ordem do dia. O desafio está lançado e você precisa encontrar a
melhor solução para garantir a segurança fim a fim. “Muita empresa está
aderindo a esta visão, olhando pela perspectiva do risco de vazamento
da informação. Não é barato e para modular o projeto demora às vezes um
ano”, comenta D”Andrea. O primeiro passo é avaliar as áreas de risco e,
depois, trabalhar a blindagem.
- Gestão de incidentes:Falamos de conscientização de usuários e alta administração,
recuperação de desastres e continuidade de negócios e dos desafios que
novas tecnologias propõem à área de segurança, mas algo essencial é a
atitude em casos corriqueiros e que pegam as organizações de surpresa.
Por isto, inserimos o tópico gestão de incidentes. Ele é um dilema muito
mais relacionado à ação que à existência de um plano em si.
Como explica Edgar D”Andrea, da PwC, grande parte das companhias
brasileiras possui diretrizes para gestão de incidentes, mas o problema
está no fim da linha. “Planeja-se e checa-se, mas, quando há um
incidente, deve-se ter um problema de resposta”, avisa. “Ou os processos
não estão bem definidos ou não se sabe agir em crises e incidentes”,
provoca.
Nesse caso, não se trata de um desastre, mas da abertura de um anexo
de e-mail contaminado, uma crise banal de malware e as consequências que
tais incidentes podem causar. “Você pode ficar com faturamento parado,
sem logística, pagamento ou mesmo sem e-mail. Sinto nas organizações
dificuldades para enfrentar o problema quando ele acontece.”
D”Andrea diz que já viu situações em que a companhia ficou parada
alguns dias por conta de um problema como esse. Quando tem
microdestruição, é preciso acionar a gestão de crise e dar uma resposta
rápida, observa o especialista. “Em incidente, a ideia é ter sensores,
IPS, detectores de intrusão, de atividade de tentativa de intrusão. Se
não tiver uma detecção e atividade de derrubar aquele link para parar
ataque, pode ser que eu sofra ataque efetivamente. Se o índice de
artigos em quarentena aumentou, pode ser que o usuário tem relação
externa que traga vírus para dentro de casa. Estes microincidentes ainda
não são tratados de maneira estruturada dentro das organizações.”
O sócio da PwC lembra ainda que muitas companhias possuem as
ferramentas, mas não contam com pessoas capacitadas. A equipe precisa
saber interpretar o caso rapidamente e isso só ocorre quando se tem
profissionais bem treinados. Rastrear e identificar a causa raiz estão
nas premissas de um bom trabalho de gestão de incidentes assim como, se
necessário, envolver áreas interdependentes e investigar os fatos com
amparo legal.