Tudo pela Segurança da Informação

Em todas as fases da evolução corporativa, é fato que as transações de toda a cadeia de produção - passando pelos fornecedores, fabricantes, distribuidores e consumidores - sempre teve na Informação uma base fundamental de relacionamento e coexistência.

Quer seja como princípio para troca de mercadorias, segredos estratégicos, regras de mercado, dados operacionais, quer seja simplesmente resultado de pesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrência e à velocidade imposta pela modernização das relações corporativas, elevou seu posto na pirâmide estratégica do executivo, tornando-se fator vital para seu sucesso ou fracasso.

Ao lado dessas variáveis de mercado, a tecnologia, por meio de instrumentos e soluções sofisticadas, preparadas para atender qualquer demanda do mercado, transformou-se na principal mola propulsora dessa nova face da informação dentro das corporações, sob o nome já clássico de tecnologia da informação (TI).

Descentralização de informações para compartilhamento em redes, necessidade de interligação de parceiros de negócios, acesso rápido, atualização constante de base de dados, integração de unidades de negócios e colaboradores internos, disponibilidade ao cliente etc. Para completar, tudo isso envolvido em uma grande malha digital em constante expansão, a Internet. Essas são apenas algumas das partes de um cenário que transformou a informação na principal moeda corrente do mundo corporativo, das transações de automação bancária ao mercado financeiro, do controle de estoque ao comércio eletrônico.

No entanto, da mesma forma que essa mudança de paradigma apresenta constantes oportunidades, com espaço para se criar e ousar sobre novos caminhos, acaba também por se tornar um ambiente muitas vezes hostilizado, altamente visado por ações ilícitas e invariavelmente desprovido de instrumentos para combater e lidar com essas ocorrências.

Um caminho sem volta

Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou três PCs, até uma complexa organização com atuação em diversos países, sabe que em maior ou menor grau a tecnologia é essencial para seu negócio. E é justamente por ser vital, que esse bem não palpável traz consigo uma necessidade básica: segurança.

Envolvida pelos ativos físicos, tecnológicos e humanos da empresa, cabe ressaltar que a informação é hoje influenciada por três propriedades centrais: confidencialidade, disponibilidade e integridade. Basicamente, a primeira se refere à certeza de que aquele dado recebido foi realmente enviado por quem o assina, totalmente protegido e sem vazamento de seu conteúdo. A segunda propriedade está relacionada ao acesso à informação quando necessário, sua fácil localização e conseqüente disseminação. Enfim, a integridade diz respeito à garantia de que aquela informação não foi alvo de qualquer tipo de fraude.

Vê-se que o desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam se esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existência de um problema (vírus, fraude, invasão etc), para depois encontrar sua solução (vacina, investigação, correção de vulnerabilidades etc).

Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que esse dado, pela forma e processo com que é disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu testar programas hackers disponibilizados na própria Internet ou, em casos piores, usurpado por funcionários e passado para a concorrência ou ainda simplesmente causando danos financeiros à empresa.

Mas já há práticas e soluções tecnológicas suficientemente eficientes para comprovar que a digitalização das transações corporativas não transformou os negócios em uma "terra de ninguém". Embora reconheçam que afirmar ser 100% seguro é algo precipitado e arriscado, especialistas de segurança apontam que educação profissional, processos e tecnologia formam um tripé resistente no combate ao crime eletrônico.

Pesquisas mostram que aumentam os investimentos na proteção dos dados. A segurança é o maior desafio das soluções em Tecnologia da Informação (TI) para o sistema financeiro. Segundo pesquisa apresentada pela Federação Brasileira dos Bancos (Febraban), dos US$ 2 bilhões ao ano de investimentos destinados à atualização tecnológica, 80% está direta ou indiretamente relacionado com a proteção das informações do sistema.

A International Data Center (IDC) Brasil divulgou que os bancos e seguradoras de médio e grande porte devem aumentar em 30% seus orçamentos na área de segurança.

Dados da 15º Pesquisa da Escola de Administração de São Paulo (Eaesp) em conjunto com a Fundação Getúlio Vargas de São Paulo (FGV-SP) mostra que os bancos são as instituições que mais investem em tecnologia. Enquanto a média do setor de serviços investe cerca de 7% da receita em TI, os bancos investem 10,4%, e possuem uma curva de crescimento mais acentuada. Sem falar que estimativas de mercado apontam que somente o segmento financeiro deve desembolsar R$ 11,5 bilhões em investimentos e custeio com TI ao ano.

Outras pesquisas mostram que, em 2002, cerca de 1% a 3% das verbas de TI eram destinadas à segurança. Hoje, este número está em torno de 15% a 17%.

De acordo com a IDC, o volume de negócios no Brasil deverá chegar a U$ 347 milhões, envolvendo todos os segmentos - produtos, software e serviços de consultoria -, representando 55% do mercado latino-americano e crescendo a taxas de 23% ao ano. Em 2006, esses volumes alcançam cifras acima de U$ 500 milhões/ano.

Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária das grandes corporações e governos de moverem-se em direção a fornecedores sólidos, que possam atender com flexibilidade, inteligência e rapidez as demandas tanto de curto quanto de longo prazo, elevando a importância dos fatores de ética profissional, confiabilidade e independência, posicionando-se para o gestor como o "security advisor corporativo".

Mas as experiências corporativas demonstraram que não é só de software que se constrói uma muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que possam estar à frente de determinadas situações de emergência e risco, uma postura mais pró-ativa que reativa.

Esse plano será responsável por verificar se a corporação está destinando verba suficiente para manter o nível de segurança alinhado com as expectativas de negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa sensação de segurança. É muito comum haver grande disparidade entre o cenário que se pensa ter e aquilo que realmente ele é.

De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e operacionais de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo desse curso será abordada cada uma dessas variáveis, desde os tipos mais tradicionais de vírus que se disseminam pela rede, até as portas mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus profissionais, soluções de TI, gestão, políticas de segurança etc.

Fontes consultadas:

IDC Brasil

Gazeta Mercantil

Bibliografia recomendada:

Gestão de Projetos de Segurança da Informação, José Carlos Cordeiro Martins - Compugraf Press