Em nossa experiência de mais de 20 anos na área de TI presenciamos o quanto a maior parte das empresas brasileiras (principalmente) não dão valor à SEGURANÇA NA ÁREA DE REDES E TI.
O aumento crescente de dispositivos particulares (pen-drivers, notebooks, tablets, smartphones) utilizados por colaboradores tanto dentro da rede corporativa, quanto em regime de Home Office (prática que vem aumentando muito) e a falta de capacitação dos profissionais de TI têm piorado em muito esta situação.
Soma-se a isto o acesso, em ambiente de trabalho, a redes sociais (Facebook, Twitter, Google+, etc), que tem se tornado prática recorrente, e o mal gerenciamento das redes em empresas, como fator altamente agravante.
Configurações de roteadores, switches e servidores feitas por pessoas sem conhecimento específico do assunto e o baixo investimento das empresas em segurança auxiliam a comprometer mais ainda os dados que trafegam na rede corporativa.
As políticas do “resolver depois que o problema aconteceu” e “quanto mais barato, melhor” jogam a última pá de cal no fator Segurança. Grande parte das empresas só percebem o que deixaram de fazer quando é tarde demais e verificam que seu concorrente tem acesso a dados estratégicos ou, pior, quando informações cruciais aparecem em redes sociais, gerando perda de clientes e sérios problemas financeiros ao negócio.
Como resolver isto ?
Em primeiro lugar urge que as empresas prezem suas informações estratégicas e pensem : “qual o abalo que meu negócio terá e em que proporção se determinados dados forem divulgados e caírem em outras mãos ?“. Pode parecer óbvio, mas já presenciamos diretores de empresas que quando confrontados com relação à Segurança de sua rede nos disseram : “Somos uma empresa pequena. Quem iria querer nossos dados financeiros ? Não precisamos gastar com segurança.” Só que não eram um pequeno negócio e sim uma empresa de médio porte com várias informações cruciais do ramo imobiliário.
A partir do momento em que a pergunta acima é respondida, deve-se pensar : “O que onera mais : um trabalho preventivo (e gerenciamento constante) em Segurança de TI ou o gasto em recuperar uma empresa cuja confiabilidade no mercado já foi destruída ?“
Outra pergunta crucial é : “Minha equipe de TI possui treinamento adequado e cada profissional dela é suficientemente NÃO-INFLUENCIÁVEL pelos outros departamentos e/ou funcionários para levar a cabo todo o trabalho de Segurança necessário ?“. Esta é uma das perguntas mais difíceis de serem respondidas, pois normalmente seus próprios colaboradores de TI convivem com outros funcionários da empresa e, como seres humanos que são (sim, são humanos…) possuem afinidades com determinadas pessoas e animosidades com outras. Não basta treinamento com certificação em segurança e uma série de protocolos se um profissional da Informática que seja deixar uma brecha para o “amigo”, “a coleguinha” ou o “chefinho” de outro departamento acessar algo não permitido (tipo uma redes social).
Chegamos a um ponto interessante : o FATOR HUMANO. Grande parte das brechas de segurança são feitas por PESSOAS, não por máquinas (como roteadores, switches, servidores, etc). Não basta se ter o melhor maquinário e os profissionais mais competentes se os colaboradores da empresa não estão treinados e imbuídos da importância da Segurança em TI.
Exemplo : prestamos consultoria em segurança de TI para uma determinada empresa. Esta possuía uma equipe de 20 funcionários em TI, três dos quais deveriam ser responsáveis por manter os protocolos de segurança da rede funcionais. Num primeiro momento analisamos os problemas de segurança da rede e dos dados que nela trafegavam. Os roteadores e switches estavam relativamente bem configurados, porém percebemos que não haviam regras de segurança para alguns setores da empresa e “acessos fantasmas” em outros departamentos. Documentamos e posteriormente confrontamos os três profissionais de TI e seu gerente imediato e verificamos que estes haviam deixados brechas para que “amigos” acessassem livremente a internet (inclusive fora do horário de expediente). Para passarem desapercebidos estes “amigos” obtiveram “acessos fantasmas” (alguns eram nomes de funcionários que não mais faziam parte do quadro da empresam cujos acessos não haviam sido deletados). Dois destes “amigos” eram o gerente financeiro e o gerente de marketing. O acesso era de tal forma livre que ao efetuarmos o relatório do que era acessado constatamos que redes sociais e sites pornográficos eram os mais vistos (inclusive com downloads feitos). Não é necessário dizer o quanto isso comprometeu a rede de dados da empresa.
Em outro projeto que tivemos assim que começamos a auditoria da rede iniciaram as animosidades dos funcionários, acostumados a “brincarem” na internet o tempo todo. Precisou o pulso firme do Diretor Executivo e do Setor de RH para continuarmos o trabalho para o qual havíamos sido chamados.
Não basta atualmente um bom antivírus de rede e políticas de firewall, como muitos pensam, para se ter uma rede segura, da mesma forma como não basta para um usuário particular ter em seu computador bons softwares deste tipo se ele abre indiscriminadamente qualquer e-mail que lhe vem. A maior parte dos ataques a contas bancárias de pessoas física e jurídica se dão justamente por falta de conhecimento do que se deve ou não fazer, do que deve ou não ser aberto ou baixado.
Uma boa saída para as empresas que não possuem funcionários de TI devidamente treinados em Segurança ou que prefiram equipes já experientes, certificadas e ao mesmo tempo não-influenciáveis é o Outsourcing (Tercerização). Neste caso é feita a contratação de uma empresa com know-how e idoneidade no mercado para efetuar a auditoria e/ou gerenciamento da segurança da rede corporativa do cliente.
Porém, mesmo o Outsourcing exige cuidados, afinal os dados de sua empresa serão expostos para a contratada. Um dos maiores cuidados são a escolha da empresa e o contrato de prestação do serviço desejado. No caso da escolha, esta deverá ser feita por pessoa de extrema confiança da empresa contratante (de preferência os donos ou o Diretor Executivo), e no caso do contrato são necessárias cláusulas bem específicas sobre a confidencialidade e segurança das informações que serão acessadas e geradas, a quem a empresa contratante deverá se reportar diretamente e quais multas e processos envolvidos em caso de quebra destas cláusulas. Recomenda-se também que o contrato seja assinado por ambas as partes (com as devidas testemunhas) e lavrado em cartório, para proteger os interesses da contratada e da contratante. Seriedade de ambos lados é imprescindível.
Cuidado com “o mais barato” e o “rapaz da esquina que entende tudo de computador” ou mesmo de “indicação do funcionário amigo”, não desmerecendo as pessoas e suas profissões, claro, Segurança em TI exige conhecimento, profissionalismo, seriedade e discrição. Serão as informações e estratégias de mercado de sua empresa que serão manuseadas e isto hoje em dia vale muito financeiramente falando. Basta pensar no mais simples : você daria os dados de acesso à sua conta bancária para qualquer um ?