Tendências em segurança da informação

A consultoria IDC vem realizando uma série de estudos sobreas prioridades de investimentos e principais desafios no curto e médio prazos da comunidade de Tecnologia da Informação (TI). Sem surpresas, a Segurança da Informação surge no topo da pirâmide corporativa.

Esse cenário não ocorre por acaso. Estudos realizados pela desenvolvedora de soluções de segurança Symantec apontaram que vulnerabilidades de sistemas de TI cresceram 81,5% em relação a 2002. Dessas, 60% se referem a brechas facilmente invadidas, na maior parte das vezes requerendo apenas o uso de simples ferramentas, a maioria delas disponíveis em sites crackers.

A KPMG Forensic também avaliou o índice de invasões no setor corporativo e revelou que 76% das mil maiores empresas nacionais sofreram algum tipo de fraude em 2002, volume, embora seja alto, apresenta redução nas incidências, que em 2000 totalizavam 81%. E as perspectivas dos entrevistados não são muito otimistas para um futuro próximo. Do total, 64% acreditam que o número de fraudes aumentará, em função de questões como o enfraquecimento dos valores na sociedade, falhas nos sistemas de controle, impunidade e pressões econômicas.
Fraudes

Entre os diversos tipos de fraudes que fazem parte da realidade corporativa, um deles desponta como principal ameaça às transações das empresas. Segundo a KPMG, 48% de seus entrevistados consideram os funcionários como o principal risco.

O número de fraudes total reportado no terceiro trimestre de 2004 já é maior do que o observado no ano de 2003 inteiro. Essa é uma das principais constatações do levantamento de incidentes de segurança reportados entre julho e setembro de 2004 para o grupo brasileiro de resposta a incidentes de segurança NIC BR Security Office (NBSO).

Para o NBSO, o contínuo aumento no número de incidentes reportados é um fator observado por todos os grupos de resposta a incidentes nos últimos anos. A tendência é que esses números dobrem a cada ano.

Segundo estudo realizado pela Módulo Security com as 500 maiores empresas do País, o vazamento de informações é o problema mais crítico. Isso faz parte dos resultados da 9ª Pesquisa Nacional de Segurança da Informação. Realizado com 682 profissionais das áreas de TI e segurança, das 500 maiores empresas brasileiras, o estudo revela que 77% sofreram ataques em 2003. Como principal ameaça, elas classificam as fraudes por e-mail, totalizando 29% das respostas, enquanto 66% continuam considerando os vírus e worms suas maiores preocupações.

Esses fatores, entre outros, demonstram um aumento do prejuízo nas corporações de 2002 para 2003, riscos que devem aumentar em torno de 78% em 2004. Dessa forma, 60% projetam aumento no orçamento destinado ao setor. Cerca de 73% delas possuem orçamentos específicos para Tecnologia da Informação, das quais 24,5% alocam menos de 1% para segurança, enquanto 7% contam com mais de 20% para o departamento.

Entre os problemas listados como mais críticos, o vazamento de informações lidera as respostas, com 13,5%; seguido por funcionários insatisfeitos, com 13%, fraudes, erros e acidentes, com 12%; vírus, 9% e acessos indevidos, com 8%.

Ocorre que, além de decisões judiciais, trabalhistas e criminais, os problemas ocorridos dentro das corporações têm levado um monitoramento constante das ações dos funcionários, as quais, por muitas vezes, acabam por afetar a privacidade das pessoas.

Bill Gates, durante uma conferência patrocinada pelo Center for Strategic and International Studies and the Information Technology Industry Council, declarou que a Microsoft vem se esforçando ano a ano para que suas soluções possam proteger a identidade e as informações de seus usuários. No entanto, é cada vez mais comum a utilização de recursos de monitoramento, sugerindo, ainda que de longe, o cenário criado pelo escritor George Orwell, em seu clássico "1984", o qual relata um futuro repressivo e totalmente dominado pela tecnologia.

Phishing

Uma das fraudes mais comuns atualmente usando a Internet e as mensagens eletrônicas é a conhecida Phishing. Phising é o ato de enviar um e-mail para um usuário passando-se por um envio de uma empresa legítima tentando que ele lhe forneça suas informações particulares que serão usados para causar-lhe algum prejuízo tal como o roubo de dinheiro da sua conta corrente. O e-mail leva o usuário a visitar um site onde ele é solicitado a atualizar informações pessoais como senhas, números de cartão de crédito ou de contas correntes. O site usado é uma cópia do original e contém os mesmos links. No entanto, o endereço IP do site não pertence à empresa real. No Brasil, vários bancos e usuários já foram usados para esse tipo de atividade que causou mais de 400 milhões de reais em perdas em 2004.

Vírus e variações

Incidentes de segurança relacionado à ação de um funcionário - seja esta proposital ou mesmo decorrente de falta de informação e orientação da companhia - são apenas parte dos desafios corporativos.

Os vírus que atualmente circulam na rede também têm papel de destaque entre as ameaças a serem combatidas. Especialistas em analisar as pragas digitais chamam a atenção para o caráter "multifuncional" que esses vírus passarão a ter cada vez com maior intensidade.

Atualmente, já é possível encontrar os chamados "vírus polimórficos", capazes de se disfarçarem dentro da máquina do usuário para não serem capturados. Essas ameaças também exploram diferentes vulnerabilidades dos sistemas, desde o acesso inadequado feito por um usuário, até uma brecha no sistema operacional da companhia.

Sabe-se também que crackers já estão trabalhando no que denominam por "megavírus", uma espécie de programa gerador de números randômicos, que determina quanto tempo permanecerá inativo em um sistema infectado. Uma vez alocada, essa praga será capaz de escolher um dos muitos métodos que possui para se replicar. Essa é a essência da nova era de megavírus que se aproxima, explorando múltiplos métodos de propagação pela rede.

Embora muitas empresas que adotam um sistemas de firewall se julguem protegidas, a cada dia a imprensa noticia mais e mais catástrofes milionárias envolvendo os códigos maléficos e nomes de empresas renomadas. E a ameaça tende a ser mais forte.

Pesquisas realizadas pela Sophos, companhia especializada em soluções de antivírus corporativo, detectaram a criação de 7.189 novas ameaças, o que somava um total de 78 mil pragas digitais em todo o mundo. Nove em cada dez vírus detectados naquele ano se disseminavam por meio de correio eletrônico. No total, 87% dos ataques registrados se voltavam ao sistema operacional Windows.

Embora o sistema operacional da Microsoft seja um dos alvos mais visados pelos crackers e hackers, sabe-se que grande parte da responsabilidade por incidentes de segurança está relacionada à gestão dos processos e à atualização de brechas do sistema. Apesar das correções serem providenciadas pelas empresas desenvolvedoras, as pragas se espalham por máquinas desprotegidas que não foram atualizadas. Nomes como Bugbear, Nimda e Klez fizeram fama em cima da falta de informação dos usuários.

Precauções

A estimativa dos analistas é que 35% das corporações "Fortune 500" tiveram um investimento acima de US$ 1 milhão em segurança em 2003. Mas os incidentes corporativos demonstram que é preciso mais que dinheiro para operar com uma estrutura protegida de qualquer tipo de ameaça.

Treinamentos e conscientização de funcionários têm de estar entre as prioridades de qualquer companhia, seja ela uma multinacional com centenas de parceiros espalhados pelo mundo, ou mesmo uma pequena e média empresa, integrada à sua cadeia de valor. Para isso, faz-se necessário desenvolver e implementar políticas e procedimentos efetivos que tragam proteção às transações, proporcionando redução dos riscos e de perdas com eventos.

Com a chegada de diversos tipos de aparelhos e formas de acesso às informações da corporação - via cabo, ondas de rádio, fibra óptica, fio de cobre - o mundo vive o final de uma primeira geração de invasão (relacionada ao PC), para passar a um ambiente de múltiplos servidores (cliente servidor) e formas de acesso.

Está nas mãos dos gestores de segurança administrar a crescente demanda por investimentos em infra-estrutura tecnológica e recursos humanos, viabilizando sua gestão de riscos, análises de impacto; quantificação de ativos digitais críticos etc. Está mais do que provado que não basta ter as melhores ferramentas de segurança instaladas na rede, se não há um gerenciamento estruturado e baseado em processos específicos, envolvendo desde o monitoramento de transações, até análise, correção e registro de evidências.

Também faz parte do futuro da corporação o desafio de trabalhar contra o roubo de propriedade intelectual, desvios de recursos, privacidade, uso inadequado do meio eletrônico, entre outros. Atualmente, discute-se ainda a amplitude do trabalho desempenhado pela área de Segurança da Informação e o papel de seu diretor, o Chief Security Officer (CSO). Entre prós e contras, aborda-se se uma mesma divisão de segurança deve cuidar dos aspectos patrimoniais da uma empresa e até da segurança física daqueles que compõem seus recursos humanos.

Essas são apenas algumas peças que compõem o quebra-cabeças a ser montado por qualquer corporação que deseja operar de maneira confiável e responsável comk seus clientes e parceiros de negócios. O passo decisivo da segurança empresarial já ocorreu, quando esta já deixou de ser apenas uma questão operacional das transações comerciais, para influenciar de maneira objetiva e estratégica cada transação da organização. Uma nova realidade, que apenas começou.

Fontes consultadas:

KPMG

IDC

Symantec

Sophos

Bibliografia recomendada:

Segurança e Auditoria da Tecnologia da Informação - Cláudia Dias