Vulnerabilidade dos dados de informática: uma ameaça para as empresas latino-americanas
O que você faria se toda vez que abrisse a porta da sua casa sofresse uma tentativa de assalto? Naturalmente não se sentiria seguro.
O mesmo fenômeno ocorre com as empresas toda vez que um hacker tenta penetrar em seu banco de dados para roubar dados dos seus clientes. Natalia da Silva, diretora de marketing e de comunicações para a América Latina do provedor de soluções de segurança digital Gemalto, observa que “se somarmos ao que foi dito anteriormente a convergência tecnológica, em que computadores e notebooks têm hoje funções de telefonia e os celulares têm acesso à Internet, observamos que o tráfego de voz, imagens e dados confidenciais deixaram de ser seguros, contribuindo em grande medida para uma série de ameaças e de crimes virtuais”.
Nesse contexto, a consultoria de tecnologia Yankee Group observa que as empresas latino-americanas são mais vulneráveis ao roubo de informações por meio de dispositivos móveis — principalmente notebooks — e propõe que melhorem sua política de proteção de dados, especialmente no que se refere ao modo de acesso a informações críticas.
As conclusões apresentadas são fruto da “Pesquisa Móvel” feita pela empresa, que entrevistou 225 executivos da área de informática de empresas do México, Brasil e Colômbia. A pesquisa concluiu, entre outras coisas, que mais de 80% das empresas utilizam um esquema de senhas simples para controlar a identidade de seus usuários. Somente grandes empresas utilizam a autenticação de identidade, como certificações digitais, tokens e smart cards (aparelhos digitais e cartões inteligentes), ao passo que apenas 67% das empresas recorrem a sistemas de criptografia para a proteção de dados.
Foram pesquisadas empresas do setor de saúde, manufatura, finanças, varejo, construção e estatais. Conforme explicou Andrew Jaquith, analista sênior da consultoria, Brasil, México e Colômbia foram escolhidos como amostra representativa do comportamento corporativo na América Latina. Jaquith ressalta que a pesquisa poderá ser feita também em outros países da região.
América Latina: proteção escassa às informações
Enrique Canessa, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, do Chile, observa que a ausência de proteção aos dados é maior nas empresas latino-americanas do que em empresas dos países mais desenvolvidos, uma vez que “o volume de transações online das empresas da região é menor do que as registradas na Europa, EUA e alguns mercados asiáticos”. Em razão disso, diz ele, as empresas latino-americanas só colocam em prática medidas para garantir a segurança dos dados quando alcançam um volume crítico de transações, “só aí, então, incorrem em gastos para salvaguardar as informações mais sensíveis”.
Por esse mesmo motivo, observa Alejandro Mellado, professor da Escola de Engenharia da Computação da Universidade Católica de Temuco (Chile), “o investimento das empresas em sistemas de segurança também é menor se comparado ao das nações desenvolvidas”.
Outro ponto importante, observa Horst Von Brand, professor do Departamento de Informática da Universidade Técnica Federico Santa Maria (Chile), é que “o custo das soluções de segurança é elevado, o que também constitui obstáculo para as companhias latino-americanas”.
Contudo, além do aspecto econômico, os professores acreditam também que há outras situações de índole profissional, educacional, cultural e política responsáveis pela demora em adotar normas de segurança, que estariam contribuindo também para colocar empecilhos à segurança digital na região.
Barreiras culturais
Alejandro Mellado observa que uma das principais barreiras culturais “é a ausência de preocupação por parte dos diretores das empresas da região, que não se mantiveram atualizados em relação às mudanças tecnológicas e às novas técnicas de roubo de informações”.
Eduardo Moreno, professor da Faculdade de Engenharia e de Ciências da Universidade Adolfo Ibáñez (Chile), concorda com Mellado, acrescentando que “essa escassa preocupação faz com que alguns sites de bancos recorram a sistemas de proteção de baixa segurança, aos quais os usuários acessam com senhas de apenas quatro dígitos”.
A esse respeito, Natalia da Silva, da Gemalto, diz que há um problema grave na região relacionado à senha de acesso aos sistemas virtuais. “Geralmente, o nome do usuário e a senha são muito frágeis e, conseqüentemente, fáceis de copiar e de clonar pelos hackers.”
Pedir aos usuários que mudem periodicamente de senha, ou que usem sistemas de senhas mais complexos causa aborrecimentos, explica Eduardo Moreno. Por isso, diz ele, “as empresas latino-americanas acabam negligenciando o assunto e simplificam sua utilização, enquanto as senhas de nível mais sofisticado, como as dos certificados digitais, acabam sendo descartadas”.
Todavia, isso não é tudo, conforme alerta Eduardo González, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, “o problema é que os empregados compartilham as mesmas senhas de acesso”, o que, no seu entender, é reflexo da inexistência de políticas, na região, de esclarecimento aos funcionários sobre a importância de se ter normas específicas de segurança.
Obstáculos profissionais e educacionais
Mellado observa que, na América Latina, há uma menor quantidade de profissionais especializados no campo da segurança de dados em comparação com os países desenvolvidos, o que contribuiu para a negligência demonstrada pelas empresas no que se refere à criação de um sistema de proteção dos dados.
González acredita que “diferentemente do que ocorre em países como os EUA, os executivos de empresas latino-americanas desconhecem os diferentes produtos tecnológicos existentes no mercado para a garantia da segurança das informações. Portanto, como não sabem como esses recursos funcionam, não lhes dão a devida importância, o que acaba por banir o assunto de sua pauta de prioridades”.
É o que pensa também Horst Von Brand. Para ele, a “criptografia — ou codificação da informação, de modo que não possa ser decifrada ou interceptada — é uma ferramenta bastante eficaz para a proteção dos dados; no entanto, tenho visto problemas mais graves em razão do seu uso inadequado do que pela falta de uso. Portanto, temos um problema relacionado com a educação. São poucos os profissionais que estão a par das inovações oferecidas pela indústria da segurança e que sabem como utilizá-las eficazmente”.
É comum também, diz González, as empresas imitarem as políticas de segurança implantadas por outras empresas sem avaliar antes suas necessidades específicas. “Com isso, consegue-se apenas insistir na vulnerabilidade da informação.”
Fatores políticos
Horst Von Brand diz que o aspecto político modelou o atual perfil da América Latina no que diz respeito à segurança dos dados digitais. “Estamos saindo de um período prolongado de governos autoritários durante os quais a proteção dos dados pessoais era algo visto quase como um disparate. Isso explica por que a legislação atual privilegia o acesso eficaz aos dados, em vez de proteger a identidade do usuário.”
No Chile, por exemplo, diz o professor, para a concretização de negócios entre particulares, exige-se o RUT — ou lista única de contribuintes, que é a identidade da pessoa. “Nos EUA, ou no Reino Unido, uma coisa desse tipo seria impensável, dados os riscos que representa para a privacidade do cidadão.”
Por outro lado, “a participação da América Latina em eventos importantes relacionados à segurança de dados é muito baixa”, observa Ítalo Foppiano, chefe da Unidade de Arquitetura Tecnológica da Universidade de Concepción (Chile). Segundo o professor, isso ficou demonstrado durante a XVI conferência anual do FIRST, Forum for Incident Response and Security Teams, órgão mundial que oferece respostas eficazes aos incidentes de segurança de dados mediante boas práticas e uso de tecnologia de ponta, celebrada em Budapeste, Hungria, em 2004.
Na ocasião, diz Foppiano, “havia somente seis representantes de toda a região, ante mais de 30 profissionais da Ásia-Pacífico e 20 especialistas da Alemanha”. Uma das razões para isso, explica o professor, é a pouca participação dos governos latino-americanos em eventos que tratam do tema, “o que se reflete na frágil legislação latino-americana de proteção e privacidade de dados”.
Conseqüências da exposição dos dados
“Na década de 80, os vírus se propagavam por meio de disquetes, infectando apenas máquinas individuais, propagando-se durante semanas ou meses”, conforme o relatório “Redes Autodefensivas”, de 2006, do provedor de soluções de conectividade e segurança em informática Cisco Systems. Nos anos 90, os vírus se propagavam principalmente através do correio eletrônico. Nesse período, foram registrados os primeiros incidentes provocados por hackers, prejudicando as redes corporativas em questão de dias ou semanas, aponta a pesquisa.
O estudo conclui com a informação de que, atualmente, as ameaças adquiriram modalidades diversas, e o “impacto é de nível global, sendo que a velocidade de propagação permite infectar centenas de milhares de computadores em questão de segundos”.
Se somarmos a isso as fraudes financeiras e a falsificação de identidades, resultantes da manipulação de dados, além de outros ciberdelitos mais sofisticados, como a sabotagem de dados — uma técnica para obstruir o funcionamento normal do sistema —, as conseqüências para as empresas latino-americanas são enormes, adverte Ítalo Foppiano, para quem tais conseqüências resultam no desgaste da imagem da empresa e na perda de credibilidade.
“No caso das pequenas empresas, as repercussões não são tão graves”, observa Mellado. Contudo, diz ele, “nas pequenas e médias empresas que não se acham adaptadas à mudança tecnológica de uma sociedade conectada como a atual, que eliminou as barreiras geográficas graças à Internet, a inexistência de padrões de segurança pode roubar-lhes o dinamismo, minar-lhes a confiabilidade perante o cliente e, com o passar do tempo, afetar sua competitividade em um mercado globalizado”.
É nesse ponto que Mellado alerta para o fato de que “muitas vezes os roubos de informação são obra das mesmas pessoas que trabalharam anteriormente na empresa. Ataques desse tipo não são muito sofisticados”. Na verdade, de acordo com uma pesquisa recente da consultoria de tecnologia IDC (International Data Corporation), nada menos que 70% dos ataques são gerados por empregados descontentes com a empresa onde trabalham.
“Por isso, uma das primeiras medidas que Mellado recomenda para a redução do risco de um ataque como o roubo de informações confidenciais consiste em “avaliar os candidatos antes de contratá-los, devendo tal avaliação ser acompanhada por um psicólogo, buscando-se assim um perfil de profissional comprometido com a ética e a probidade”.
Medidas para atenuar as vulnerabilidades
Em segundo lugar, acrescenta Mellado, a empresa deveria introduzir uma política de gestão de segurança que aponte responsabilidades e controles de acessos em níveis distintos de informação. “Uma terceira medida consistiria em aplicar sistemas de criptografia e, uma quarta estratégia, a aplicação de ferramentas de autenticação por meio de senhas e de controles biométricos de identidade.”
Foppiano sugere a adoção de “normas de segurança vindas da alta gerência, reafirmando assim seu compromisso com o tema, conforme prevê a norma ISO 27001:2005 sobre Sistema de Gestão de Segurança da Informação”.
“A segurança dos dados é um processo abrangente que compreende a auditoria, programação e provas até a implantação da operação”, observa Horst Von Brand, acrescentando que o anterior “se aplica também ao tema da segurança na formação dos profissionais da área, um item, infelizmente, no qual estamos ainda engatinhando”.
Para o professor, a legislação comete um erro elementar. Ele ressalta que o “sistema penal atual requer uma atualização urgente nos tópicos relacionados à segurança, tais como o conceito de ‘evidência eletrônica’, que requer uma definição especial que permita tipificar o delito eletrônico”.
Contudo, Foppiano assinala que o Chile já deu um primeiro passo com a aprovação de uma assinatura eletrônica. “Já o México, Brasil e Argentina contam com Equipes de Respostas a Incidentes (CERTs), que apóiam diretamente os governos nesse tipo de assunto.” A proliferação de grupos técnicos (ONGs), que são abastecidos por grupos globais, com o grupo de resposta aos incidentes de segurança, FIRST, acrescenta o professor, podem contribuir para uma maior conscientização e conhecimento da segurança da informação.
“Todavia, não há dúvida de que a América Latina tem pela frente um grande desafio: a adoção de uma legislação que regule a proteção e a privacidade dos dados”, conclui Foppiano.
fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=1560&language=portuguese