Cesar Silva e João Carlos Freitas (*)
Uma estratégia de combate ao crime cibernético compreende a adoção de medidas técnicas de proteção. Ocorre que, por conta de custos e tempo despendido no seu desenvolvimento, softwares, em geral, são criados sem considerar a segurança como fator de preocupação e como tema de especificação do programa. Além disso, não é raro que a falta de cuidado e de metodologia levem os desenvolvedores a repetir erros cometidos anteriormente, o que facilita a exploração de conhecidas vulnerabilidades. Até pouco tempo atrás, a segurança era considerada item de baixa prioridade, pois não tinha a visibilidade que tem nos dias de hoje. Assim sendo, era comum ser ignorada ou relegada a plano secundário.
Há outras razões, desta feita vistas pelo lado dos usuários e dos atacantes, que podem se somar ao grupo anterior: alguns usuários, apesar de cientes dos riscos envolvidos, escolhem acreditar que não serão alvos de ataques e negligenciam essa possibilidade. Vítimas potenciais desconhecem as ameaças e seu impacto na operação. Já o criminoso se adapta para contornar as medidas de segurança existentes e descobrir novas oportunidades para explorar falhas de segurança.
Resta avaliar fatores que venham a ser fundamentais para amparar uma decisão administrativa quanto à implantação de um sistema de segurança da informação. As questões fundamentais que se apresentam envolvem capacidade, limitação, custo e tempo. A prática e a experiência ensinam que é mais prudente trabalhar com o auxílio externo. Uma consultoria especializada, por exemplo, evita o compartilhamento de problemas na área de segurança com fornecedores de soluções específicas de segurança. Estes podem ser parciais na “resolução” do problema de seus clientes. Em suma, uma visão isenta e consultiva, “de fora”, será de valia. Mas é preciso ter em mente que uma clara divisão de tarefas e um excelente plano de comunicação entre as partes serão diferenciais para se conquistar êxito.
Independentemente da alternativa a ser adotada, funcionários devem estar treinados para utilizar os recursos disponíveis (hardware e software), assim como compreender a estrutura básica de segurança disponível e como agir para evitar incidentes. Entre outros, não se deve clicar em links de origem duvidosa ou desconhecida; alertas de segurança emitidos, como por exemplo, ao inserir mídias removíveis em um computador, devem ser tratados de forma estruturada; os softwares devem estar atualizados e com licenças devidamente validadas; um administrador de rede com adequada formação técnica e experiência deve estar disponível; e não abrir exceções às políticas de segurança estabelecidas.
Em segurança da informação, é preciso levar sempre em conta o que se faz no momento e não presumir que se pode fazer algo e supor que tudo está seguro e que não haverá consequências. A implantação de sistemas de segurança sempre provoca uma alteração – em maior ou menor grau – na operação. Por exemplo, ao implantar um sistema qualquer de segurança, ele provavelmente evitará que seja permitido ao navegador fazer download e instalação automática de outros softwares, “dificuldade” essa inexistente sem o sistema. Por isso, é essencial o treinamento adequado dos usuários, que são reconhecidamente o elo mais susceptível a falhas na segurança. Este ponto deve concentrar a maior parte do investimento. O custo de implementação de um sistema básico de segurança da informação não é significativo se comparado ao impacto que sua ausência poderia acarretar.
O tempo de implantação é o necessário para se colocar em prática as medidas de segurança recomendadas. Isso envolve a instalação de software, a execução regular de rotinas/políticas de segurança, tarefas de manutenção e a reavaliação periódica do sistema implantado em face de novos desafios.
Uma vez avaliado o cenário de uma corporação em particular, deve-se decidir sobre quais gamas de riscos deverão ser minimizadas ou, se possível, eliminadas. Em seguida, deve-se considerar custo, tempo de implantação, forma de gestão e alterações do ambiente operacional. Um sistema adequado não depende apenas de bons softwares e/ou hardwares de segurança, mas também de regras, procedimentos, rotinas e, principalmente, de autodisciplina da própria organização.
O bom sistema de segurança não é resultado de uma medida única, mas de uma série de diferentes barreiras dispostas de forma inteligente e organizada. Por isso, requer especialidade no seu trato. Apesar disso, é preciso consciência de que, virtualmente, todas as técnicas de segurança têm a possibilidade de falhar, seja por problemas relacionados ao usuário, por imperfeições de projeto, por deficiências na implementação ou ainda por uma combinação desses fatores. Qualquer solução pode falhar. Mas não se deve se permitir uma falha maior: não enfrentar o desafio.
(*) Cesar Silva e João Carlos Freitas são presidente e consultor de Tecnologia da Fundação FAT