Armas contra a vulnerabilidade dos sistemas de informao

Por Genilson Czar 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

Um verdadeiro arsenal de regulamentaes, metodologias, certificaes, ferramentas de hardware, software e sistemas de preveno est sendo montado pelas grandes empresas brasileiras como forma de gerir os riscos a que so passveis, hoje em dia, devido onda crescente de invases dos seus ambientes de tecnologia da informao, ameaas e fraudes em seus negcios. Mas, de acordo com analistas e especialistas em segurana da informao, tudo pode ir por gua abaixo ou, no mnimo, no alcanar os resultados desejados, se esse movimento no envolver tambm as pequenas e mdias empresas do pas. Cada vez mais se integrando s cadeias de valor das grandes organizaes, consultando inclusive suas bases de dados, as empresas de menor porte precisam melhorar rapidamente seus sistemas de segurana sob pena de manter abertas as portas s vulnerabilidades.

"A gesto de risco um problema empresarial. Nas grandes empresas isso j est bem claro, nas pequenas no. Elas sequer tm conscincia dos riscos " , comenta Ione Coco, vice-presidente do Gartner Executive Program na Amrica Latina. "O CIO (Chief Information Officer) de uma pequena organizao pode at ter clareza da necessidade de investir na gesto de risco, mas como lida com oramentos mais restritos tem dificuldade de vender a idia internamente. A empresa no tem flego para investir. Mas por conta de legislaes e novas regulamentaes, a grande empresa vai acabar impondo aos seus fornecedores os mecanismos de segurana " , explica ela.

um cenrio de complexidades. No incio do ano, Ione conduziu uma pesquisa com cerca de 800 CIOs da Amrica Latina e constatou que a preocupao em melhorar a gesto dos riscos est em escalada ascendente. De dois anos para c,

segundo o estudo, a questo de segurana cresceu na relao de prioridades das empresas - do stimo lugar para o primeiro lugar -, com os CIOs prevendo a utilizao de tecnologias de continuidade de negcios, segurana, entre outros recursos. "Dois teros dos executivos entrevistados responderam que esperam aumentar seus oramentos com segurana de 3% para 6% em 2005, o maior percentual do oramento na rea de TI " , informa Ione.

Isso fcil de entender, segundo a coordenadora da pesquisa Agenda CIO 2005. " Por causa de leis e novas normas e regulamentaes como Sarbanes-Oxley e Basilia II, alm do crescimento explosivo das ameaas internas e externas s corporaes, a segurana tornou-se o tema principal das preocupaes dos executivos de TI , afirma ela.

No h um clculo do total dos investimentos previstos este ano pelas empresas brasileiras em tecnologia, mas somente as instituies financeiras devem desembolsar R$ 4,5 bilhes, de acordo com levantamento da Febraban (Federao Brasileira de Bancos). Boa parte desses recursos est destinada a projetos ligados gesto de risco e aos preparativos das instituies financeiras para se adequarem ao acordo normativo para emprstimos internacionais (Basilia II).

Sem perdas inesperadas

Atender s normas do comit da Basilia no , no entanto, a principal prioridade das instituies financeiras, conforme pesquisa da Febraban sobre prticas de gesto de riscos operacionais no mercado brasileiro, realizada em 18 bancos nacionais privados, nacionais e estrangeiros, divulgada no incio deste ano. " A principal misso da rea de risco operacional prevenir o risco de perdas inesperadas " , diz o estudo coordenado pelos executivos Terence Augusto Guimares, do ABN Amro Bank, e Ronaldo Nogueira e Nogueira, do Bradesco. Pelas estimativas levantadas no estudo, os bancos consultados previam gastar de US$ 1 milho a US$ 5 milhes, cada um, entre a concepo da estrutura de risco final at conclurem a implementao de seus projetos.

No ano passado, segundo estudo realizado pela Frost & Sullivan, apenas as despesas com sistemas de segurana, licenas e desenvolvimento de software consumiram mais de R$ 2 bilhes, em sua maioria feitas pelos bancos, administradoras de carto de crdito e financeiras. Em 2005, esse volume de investimento deve ser ainda maior.

Os projetos de gesto de riscos expressam, portanto, a preocupao do setor financeiro em manter sob controle mais rgido suas operaes. Nos dois ltimos anos, elas se expandiram em vrias frentes - redes de ATMs, atendimento via internet, correspondentes bancrios, aumento dos cartes de crdito, enfim, um cardpio de opes de produtos muito maior do que os bancos tinham antes. " Estamos revisitando todo o processo de concesso de crdito do banco, boa parte dele ainda baseada em modelos e indicadores tradicionais " , conta Gil Bernardo, diretor de crdito e riscos do banco Nossa Caixa, que atua com 4,3 milhes de clientes e mais de 500 agncias e 900 pontos de atendimento no estado de So Paulo.

O projeto do banco inclui o mapeamento de todos os processos e a implementao de um novo sistema de gesto baseado em solues de Balanced

Scorecard (BSC), de forma a atenuar os riscos das operaes, informa Bernardo. Outros bancos, como o ABN Amro Bank, por exemplo, seguem modelos j definidos pela matriz. " O nosso momento de adaptao s regras e prticas da Sarbones-Oxley, seguidas pelo conglomerado em todo o mundo " , explica Marcos Grossi, superintendente de TI do banco. " O foco ter uma estrutura de processos bem organizada e administrada. Entender as principais etapas dos processos crticos, gerar indicadores e, a partir da, ter vises consolidadas adequadas s regras externas que daro transparncia ao que exigido pelo mercado " , afirma.

A forma como as corporaes do pas esto se organizando para enfrentar os riscos inerentes ao negcio e as ameaas ao ambiente tecnolgico instalado bastante diversa. Quando se fala em riscos operacionais, algumas empresas, como os bancos, trabalham com equipes de compliance, que se encarregam de definir quais so os mecanismos e os controles que a organizao deve utilizar para minimizar os riscos. E se incumbem de adequar os processos internos s novas regulamentaes e leis internacionais e nacionais.

Em empresas do setor de telecomunicaes e grandes indstrias, que atuam com uma operao tecnolgica muito forte, essas questes esto sob a responsabilidade dos CSO (Chief Security Officer). Mas a gesto de risco extrapola a rea tecnolgica, acaba permeando a empresa como um todo, concorre at para aumentar o valor da prpria companhia. Grande parte dos investimentos que as empresas fazem hoje se volta para a adoo de novas prticas de governana tambm no setor de TI. " Isso implica uma srie de procedimentos, os quais vo levar as empresas a ter um melhor ambiente de tecnologia, gerenciamento eficaz e obedincia s boas prticas. Nesse sentido, um dos objetivos exatamente garantir um ambiente seguro para o armazenamento e para o fluxo das informaes " , observa Bruno Rossi, gerente de pesquisas de software do IDC Brasil.

Mitigar os riscos

Hoje as decises de investimento esto cada vez mais fora da rea de TI. So as reas de negcios que acabam determinando e exigindo mais qualidade dos negcios. " As empresas brasileiras que fazem uso de tecnologia passaram a se preocupar mais com qualidade no sentido de melhoria de seus processos e preveno de problemas. E isso tudo tem a ver com a diminuio de riscos operacionais e organizacionais " , ensina Carlos Alberto Caram, diretor executivo para a Amrica do Sul da ISD (Integrated Systems Diagnostics), entidade independente em certificao CMMI (Capability Maturity Model Integration), reconhecida pelo Software Engineering Institute (SEI), dos Estados Unidos.

Nos dois ltimos anos foram mais de 50 projetos para melhoria de processos, envolvendo tanto investimentos em consultoria quanto em treinamento e alocao de pessoal, em empresas do porte de Embraer, Banco Ita, Banespa, General Motors, Serasa e Telefnica Empresas. " So projetos que buscam um nvel de maturidade do ponto de vista prtico de gesto de riscos do negcio " , diz Caram.

O principal benefcio direto alcanado por essas empresas, segundo ele, a resoluo de problemas pela identificao antecipada de riscos. " natural que um risco identificado num projeto tenha um custo muito menor para ser mitigado do que um risco identificado na fase mais adiantada do projeto " , afirma. Os

projetos apresentam, ainda, um efeito colateral muito interessante, que a sua maior visibilidade em funo do envolvimento dos patrocinadores. " At para tentar antever a quem afeta as questes tcnicas e de impactos do negcio " , indica o executivo.

Os impactos so grandes para as empresas. As fraudes virtuais, por exemplo, j representam mais da metade dos incidentes da internet brasileira, segundo informaes do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (Cert), ligado ao Comit Gestor da Internet. Os golpes representaram 51% dos 18,2 mil incidentes reportados no terceiro trimestre de 2005. De janeiro a setembro deste ano, em comparao com o mesmo perodo de 2004, as fraudes pela internet cresceram 688%.

" Na maioria dos casos, as empresas brasileiras ainda esto despreparadas para enfrentar vulnerabilidades. Com exceo das grandes companhias, poucas tm equipes de respostas a emergncia e uma poltica clara de segurana. Muitas apenas engatinham nessa questo " , avalia Adriano Mauro Cansian, coordenador do ACME! - Computer Security Research, um laboratrio de pesquisa em segurana de computadores e redes, instalado no campus da Unesp (Universidade Estadual Paulista), em So Jos do Rio Preto, interior paulista. O laboratrio funciona com nove pesquisadores e, atualmente, desenvolve um projeto denominado Linux Seguro para o governo federal, voltado a operaes de segurana e defesa, alm de ter atuado em vrios casos para a Polcia Federal, no rastreamento e na identificao de aes ilegais na web, como a Operao Cavalo de Tria, no final de 2004.

Preos baixos

A inquietao das empresas com possveis brechas em seus sistemas de segurana abre, no entanto, grandes oportunidades de negcio para a indstria de TI. So cada vez maiores os investimentos em tecnologias de antivrus, firewall, deteco de intrusos e de invases, anti-spyware, sistemas de gesto de identidade, VPNs e planos de alta disponibilidade e de continuidade de negcios. Essa teia envolve grandes fornecedores de produtos de segurana, e a competio mais acirrada poder resultar na queda de preos de produtos e servios oferecidos.

O movimento de acomodao dos fornecedores, portanto. Um quadro que inclui desde consultorias, bastante focadas no sentido de ajudar as empresas a definir melhor os processos de segurana, adequando novas metodologias, como Cobit (Control Objectives for Information and Related Technology), Itil (Information Technology Infrastructure Library) e ISO 17.799, resoluo que trata de segurana da informao, at produtos especficos contra fraudes e invases na web. " Uma das maiores dificuldades nos projetos de gesto de risco a questo da gesto de pessoas, isso tem sido muito complicado " , diz Paulo M. Duque, diretor de governana de TI da Compuware

Para Ione Coco, do Gartner, mais do que tudo, preciso sensibilizar o pessoal interno, os empregados, de que segurana um assunto srio. Ela cita a recente deciso da Daimler Chrysler do Brasil de demitir 12 funcionrios, que faziam parte de uma lista de 200 pessoas que acessavam em seus PCs contedos considerados imprprios no ambiente de trabalho, como um aprendizado. Os funcionrios, previamente advertidos, estavam sendo monitorados pela montadora. " Essa uma questo que tem que ser tratada de acordo com a

poltica e a cultura da empresa. Se a organizao demite o funcionrio por uso indevido do computador, tem que tornar isso pblico para que o caso vire exemplar " .

Empresas se preparam para superar situaes inesperadas ou adversas

Por Ana Lcia Moura F 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

Pense no custo de uma empresa parada depois que um incndio ou uma inundao danifica o ambiente de TI? Vale a pena manter uma infra-estrutura alternativa que possibilite a rpida recuperao dos sistemas ou dados mais crticos para a sobrevivncia do negcio? possvel identificar ameaas com antecedncia e, caso se concretizem, estar pronto para neutraliz-las? Esse tipo de reflexo no novidade no meio empresarial. Mas ganhou fora e entrou definitivamente na pauta dos administradores - em especial dos executivos de TI - desde os atentados terroristas aos edifcios do World Trade Center, em 2001, nos Estados Unidos.

De l para c, vem crescendo em todo o mundo os investimentos voltados para a continuidade dos negcios (business continuity). O conceito usado para definir o conjunto de planos e mecanismos que garantem a sobrevivncia das companhias vtimas de acidentes de natureza diversa, de quebra de segurana at desastres naturais ou ataques terroristas.

Um plano de continuidade de negcios (PCN) envolve todas as unidades da companhia, incluindo infra-estrutura, processos e pessoas. Dele constam as informaes e as anlises de custo financeiro que iro definir o nvel de complexidade e abrangncia do plano de contingncia em TI, um dos subprodutos do PCN.

Entre essas informaes, destaca-se o tempo que a estrutura de TI pode ficar totalmente paralisada, sem que isso coloque em risco a sobrevivncia do negcio. Definir corretamente o fator "tempo de interrupo suportvel" essencial. a partir desse dado que as companhias podem desenhar um plano que seja ao mesmo tempo eficiente e factvel financeiramente, comparado com o custo provocado por uma eventual interrupo.

Demanda aquecida

O aquecimento da demanda por tecnologia de business continuity em todo o mundo reflete-se no Brasil, conforme atestam anlises de consultorias de pesquisa e nmeros de empresas que atuam no setor. Na Telefnica Empresas, por exemplo, a demanda por servios relacionados com backup de dados e contingncia praticamente dobrou nos ltimos dois anos. J na Dedalus Hosting & Comunicaes, o nmero de projetos relacionados a contingncia ou de planos de recuperao de desastres saltou exponencialmente desde 2002.

Descartadas a ao do terrorismo internacional e as grandes catstrofes naturais, como terremotos e furaces, o que est por trs desse aquecimento do mercado brasileiro uma combinao de fatores, comeando pela crescente conscincia de que falhas inesperadas em TI provocadas por desastres podem gerar tragdias ainda maiores, incluindo a falncia da empresa. Essa conscincia, segundo os especialistas, aumenta um pouco a cada acidente de grande repercusso, como o incndio nos escritrios da Eletrobras, no Carnaval de 2003.

Outro fator importante por trs do aumento dos investimentos em planos de continuidade de negcios no pas a exposio de um grande nmero de empresas a novos regulamentos e normas, nacionais e internacionais, como o AcordoBasilia II e a lei norte-americana de responsabilidade corporativa Sarbanes-Oxley (Sox). " A Sox definitivamente est por trs do aumento da demanda pelos servios. A lei exige das corporaes um plano de continuidade de negcios que, por sua vez, contempla um plano de contingncia em TI " , explica o gerente de produtos da Dedalus, Thiago Luiz Charnet Ellero.

Aprovada em 2002, a Sox define prazos para aderncia das empresas com aes listadas nas bolsas de Nova York. As companhias no-americanas, por exemplo, tm at setembro de 2006 para se adequarem s suas regras, submetendo-se a auditorias externas que iro certificar seus nmeros e processos. A corrida para acertar o passo com a Sox tem impulsionado os investimentos de grandes empresas brasileiras em segurana e contingncia, especialmente no segmento financeiro. A expectativa de alguns especialistas que ocorra uma onda de adeses totais ou parciais Sox, mesmo por empresas menores que no so afetadas diretamente pela lei.

O recuo dos preos de links de dados tambm entra na lista de motivadores de demanda por business continuity. " O custo do link de telecomunicao de alta velocidade vem caindo expressivamente desde 2000, e isso facilita a montagem de sites de backup (locais alternativos para operacionalizar o regime de contingncia), principalmente na opo mais sofisticada de hot standby (veja o box), que permite o espelhamento, ou seja, a replicao de dados online em um site paralelo " , diz Ellero. Uma conseqncia disso que empresas que nunca pensaram em investir em planos de recuperao passaram a incluir iniciativas desse tipo em seus oramentos.

Conscincia embrionria

Na Telefnica Empresas, brao da operadora de telefonia para o setor corporativo, a expectativa que, daqui para frente, os servios relacionados com business continuity apresentem a maior taxa de crescimento entre todas as ofertas do seu portflio. " A participao dessa linha de produtos na receita total

da companhia ainda pequena. Mas grande o nmero de projetos em negociao, principalmente com empresas de porte " , afirma Cludio Baumann, diretor geral de solues e datacenter.

Na anlise do executivo, apesar de o assunto estar na ordem do dia dos CIOs, a conscincia sobre a importncia de um plano de contingncia em TI ainda est em fase embrionria no pas. A boa notcia que o tema rompeu as fronteiras da rea de tecnologia e chegou ao board das empresas. " Durante muito tempo a continuidade era preocupao apenas do setor de informtica, e cabia ao executivo da rea convencer a diretoria a investir nisso. Com as presses originadas, por exemplo, pela Sox e pelo Basilia II, essa situao est se invertendo " , diz ele.

Baumann destaca que a estratgia de continuidade de negcios no implica necessariamente dispor do plano de contingncia mais sofisticado disponvel no mercado. Sob esse ponto de vista, o investimento seria vivel tambm para empresas de menor porte, que poderiam comear contratando servios considerados simples como, por exemplo, backup dos dados armazenados nos notebooks dos executivos, explica o diretor.

J as corporaes podem optar por solues mais sofisticadas como manter ambientes espelhados. Mas, o executivo alerta que contar com um sistema de espelhamento eficaz, por si s, pode no significar muita coisa. " De que adianta investir alto para ter todos os dados espelhados, se a empresa no dispuser de um local de onde possa acess-los? " , questiona, acrescentando que a Telefnica oferece um plano pelo qual o cliente envia at cem funcionrios para trabalhar no datacenter do provedor no caso deles no poderem entrar nas dependncias da empresa. O nvel de contingenciamento tambm varia de acordo com a importncia que a empresa d ao sistema. " Uma soluo de ERP, por exemplo, pode ser mais crtica do que um sistema de recursos humanos " , compara ele.

A Telefnica Empresas conta com datacenter localizado em Barueri (SP) e outros centros de dados espalhados por pases latino-americanos, para onde os contedos do centro local podem ser copiados, alm de utilizar a extensa malha de telefonia e dados da operadora de telecomunicaes.

Planos nada radicais

A soluo de contingncia escolhida pelo BankBoston 100% hot standby apenas para o Sistema Brasileiro de Pagamentos (SBP). Nesse caso, a estrutura garante total disponibilidade e continuidade, com retorno normalidade em apenas 15 minutos, no caso de alguma interrupo. Para outras funes importantes, como sistemas de conta corrente, internet, transferncias e DOCs, o ambiente se enquadra na categoria warm (intermediria). " Qualquer que seja o evento inesperado, conseguimos recuperar tudo entre seis e 24 horas " , assegura Paulo Amaral, superintendente executivo do banco.

O banco mantm seu centro de processamento de dados em Hortolndia, no interior de So Paulo. So cerca de 300 servidores e um mainframe, em ambiente conectado com site backup, na capital do estado, por meio de 100 quilmetros de fibra ptica. " Ocorrendo qualquer imprevisto, seja incndio, atos de terrorismo, falha de disponibilidade, falta de energia ou problemas com gerador, o nosso site backup entra em ao cobrindo 80% dos nossos sistemas

" , diz o executivo. Ele explica que a distncia entre os dois centros gera problemas de latncia, o que dificulta a criao de ambiente clusterizado (em pares). " Da termos optado por uma soluo intermediria, e no hot " , explica Amaral.

No dia-a-dia do BankBoston, a necessidade de readequao das estratgias de continuidade so de responsabilidade de um time de cinco funcionrios dedicados. Cabe a eles mapear toda a infra-estrutura e os sistemas que suportam os novos servios e produtos lanados pelo banco, verificando se esto adequados para garantir a sua continuidade. Segundo o superintendente, um aspecto importante o cuidado em no superestimar as necessidades. " O investimento no pode ser excessivo, sob pena da empresa aumentar os custos e desviar desnecessariamente recursos para um seguro que pode nunca ser usado " , observa

Para aumentar as chances de que o plano de contingncia no ir falhar na hora " h " , o BankBoston promove treinamento e testes sistemticos. " Tiramos o site de Hortolndia da tomada, literalmente, para ver como as coisas funcionam no site alternativo " , conta Amaral, explicando que esses eventos ocorrem mediante planejamento detalhado e escolha cuidadosa de datas, em geral, feriados ou fins de semana. " Infelizmente, o senso comum indica que nem todo mundo testa os seus planos com a regularidade necessria, aumentando as chances de falhas no momento em que tiverem de ser colocados em prtica, efetivamente " , avalia o executivo.

De fato, pesquisa global realizada pela AT&T e pela Cisco Systems, no comeo deste ano, indica que nem mesmo as empresas norte-americanas, que esto mais avanadas no quesito estratgias de continuidade, testam seus planos com a regularidade ideal. O estudo revela que menos da metade das companhias pesquisadas testou seus planos de contingncia nos ltimos 12 meses.

Alm da TI

Na Atento, empresa de contact center, continuidade de negcios questo prioritria pela prpria caracterstica do negcio. " As empresas terceirizam conosco o atendimento do seu bem mais importante, que so os clientes. Em conjunto com elas, desenvolvemos planos de contingncia que garantem a continuidade e excelncia desse atendimento " , diz David Cardoso, vicepresidente de tecnologia e infra-estrutura da Atento Brasil, que mantm um quadro com 45 mil funcionrios no pas e uma base de clientes que, na virada para 2005, somava mais de cem empresas.

Para garantir os nveis de qualidade estabelecidos em situaes de contingncia, a Atento apostou na implantao de uma rede de comunicao com rotas alternativas, equipamentos redundantes e sites mltiplos. " S na cidade de So Paulo temos cinco callcenters " , informa o vice-presidente da empresa. Ele defende que um plano de contingncia transcende a rea de TI e a prpria empresa. " Deve envolver toda a cadeia, porque se um dos parceiros envolvidos no tiver continuidade garantida, voc pode ser afetado " , justifica o executivo.

J o scio-fundador da Mdulo, Fernando Nery, alerta para o fato de que a evoluo da tecnologia pode trazer tanto facilidades quanto dificuldades na rea de contingncia. " Hardware e software de recuperao de dados evoluem, a

crescente velocidade da internet facilita os backups e as mdias ganham cada dia mais capacidade de armazenamento. Mas o ambiente de TI tambm se tornou muito mais complexo e heterogneo. O acesso da clientela s empresas agora mltiplo, envolvendo web, email, callcenter, celular etc. E todas essas informaes tm de ser recuperadas, em caso de falhas " , alerta o executivo.

Uma falha rotineira entre as empresas brasileiras a contratao de solues de contingncia sem uma anlise prvia da situao. S quando o problema ocorre que elas descobrem que a soluo no foi suficiente. Antes de pensar em aes corretivas, o empresrio deve planejar aes preventivas. " H casos de empresas que at se mudam de cidade, devido s estatsticas de incndio na regio em que se localizam " , exemplifica Nery. Alm do mais, ele lembra, no investir em continuidade de negcios e contingncia pode resultar em aes civis contra a diretoria, sob a acusao de administrao temerria.

Contingncia relativa
10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

Mais focado na rea de TI, o plano de contingncia faz parte do PCN e tem como objetivo preparar a empresa para situaes excepcionais, decorrentes de desastres de qualquer natureza que provoquem falhas srias em TI, com alto potencial de gerar perdas significativas para a empresa. O nvel de abrangncia e complexidade de um plano de contingncia depende de fatores como perfil da empresa, suas polticas de segurana ou seu oramento para TI.

O mercado costuma classificar as solues dessa rea em trs categorias - cold standby, warm standby e hot standby. O que diferencia esses modelos o tempo que cada um deles promete para recuperar as funes consideradas crticas para o negcio, depois de uma interrupo. Quanto mais rpida a retomada das atividades, mais sofisticada e cara ser a soluo.

A opo cold standby indicada para situaes em que a maior preocupao da empresa preservar os dados, e no o retorno imediato normalidade. Trata-se da alternativa de menor custo, envolvendo apenas backup dos dados em outro ambiente (e, eventualmente, compra de hardware e software), para uma recuperao posterior que pode levar 72 horas ou mais.

Companhias que optam por solues intermedirias do tipo warm standby obtm um prazo menor de recuperao dos dados (geralmente 48 horas), mas no contam com espelhamento de sites (ou contam com espelhamento parcial, apenas para cobrir os sistemas considerados mais crticos).

Hot standby a opo de contingenciamento utilizada quando o ambiente de TI (ou subsistemas) tem de ser recuperado imediatamente, aps sofrer interrupo inesperada, sob pena de a empresa amargar srios prejuzos. Essa alternativa inclui espelhamento de sites, ou seja, os dados so replicados em um ambiente que funciona simultaneamente, via links online. No caso de falha de um dos ambientes, o outro assume as transaes automaticamente. Adotada principalmente por grandes empresas, com destaque para o setor financeiro, essa a opo mais sofisticada e tambm mais dispendiosa de contingncia.

Acesso remoto e traioeiro, mas inevitvel no mundo moderno

Por Franoise Terzian 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

Hoje em dia no importa mais de que lugar do mundo, de qual ambiente e em qual horrio um funcionrio vai executar suas tarefas. Do quarto de um hotel, do saguo lotado do aeroporto ou do computador de casa compartilhado com os filhos, a possibilidade de trabalhar remotamente - em redes com ou sem fio trouxe flexibilidade para colaboradores executarem suas tarefas no espao e no tempo que bem entenderem. O problema que a to desejada liberdade trouxe efeitos colaterais para a segurana das corporaes.

Em todas as situaes acima descritas h uma srie de riscos camuflados. Com um notebook fazendo uso do recurso de VoIP (voz sobre IP), um executivo corre o risco de ter sua conversa grampeada. De um caf conectado internet a partir de uma rede Wi-Fi (sem fio), o gerente de vendas pode ter seu email com uma proposta de servio interceptado e lido. De casa, a partir de um desktop compartilhado com um sobrinho adolescente, o diretor financeiro pode, sem imaginar, enviar para a empresa um vrus recm-baixado de um site de games.

Com o crescimento das redes wireless e o acesso remoto dos funcionrios rede corporativa, o roubo de identidades e de informaes tornou-se um fator crtico para as empresas lidarem. Segundo o Federal Trade Commission (FTC), os problemas envolvendo o roubo de identidade nos Estados Unidos atingem cerca de 10 milhes de norte-americanos por ano e causaram, em 2004, prejuzos estimados em US$ 52,6 bilhes.

Na prtica, trabalhar fora dos muros da empresa, seja para simplesmente acessar a rede interna ou transferir dados confidenciais, uma situao nova e vulnervel, que exige a adoo de uma nova poltica de segurana e uma srie de

cuidados sob medida. Os riscos esto presentes tanto em um home office quanto em um ambiente pblico sem fio, o que inclui o uso de dispositivos como notebook, PDA, celular e blackberry.

Com os ambientes cada vez mais heterogneos, os riscos aumentam da mesma forma que a complexidade para administrar tantas portas de entrada para o mundo corporativo. Sem os cuidados adequados, as empresas podem se ver s voltas, de repente, com situaes complicadas como roubo de informaes estratgicas, espionagem industrial, contaminao do ambiente interno por vrus, roubo de senhas ou insero de dados falsos nos sistemas corporativos.

Mundo sem fio

A cada dia que passa, as redes Wi-Fi (sem fio) ficam mais populares. Encontradas em cafs, restaurantes, hotis, aeroportos, rodovirias e at supermercados, elas tornaram a conexo internet algo cada vez mais simples e constante na rotina do homem moderno. Atualmente, o Wi-Fi se encontra em dois cenrios: hotspots (ponto de acesso internet sem fio) pblicos e privados. No ltimo caso, os hotspots tm sido instalados tanto dentro das empresas quanto em residncias. "Capazes de aumentar a produtividade em at 30%, eles permitem mobilidade, mas a vantagem na instalao deles s faz sentido se for acompanhada de um esquema de segurana " , alerta Maurcio Gaudncio, gerente de desenvolvimento de negcios para segurana e wireless da Cisco do Brasil.

Para Adriano Mauro Cansian, professor doutor da Unesp (Universidade Estadual Paulista - Campus de So Jos do Rio Preto) e diretor do laboratrio ACME!, qualquer funcionrio usando um notebook ou um palmtop em local pblico pode ser vtima de algum modelo de assalto ou roubo.

No mundo digital, um dado ultra-secreto pode ser capturado no ar e lido, caso no seja utilizado algum mecanismo de criptografia. Cansian explica que um dos maiores problemas das redes sem fio a transmisso de informaes confidenciais em um meio aberto, como so as ondas de rdio. Da mesma forma, o roubo fsico de um notebook pode causar problemas ainda mais graves a uma corporao. Afinal, qualquer um que consiga colocar as mos no equipamento pode conhecer o contedo de documentos, planilhas e apresentaes e ter acesso at rede interna via senha gravada na mquina.

Por conta de tantos problemas, Cansian diz que o primeiro passo para assegurar proteo aos dados e, conseqentemente, aos negcios da empresa buscar uma configurao apropriada e uma boa velocidade de acesso " nuvem " da Internet. Ele acredita que trabalhar de forma remota no significa necessariamente sair dos muros da empresa. Mas isso desde que existam bons mecanismos de segurana. " E bons mecanismos de segurana so aqueles implantados e usados com inteligncia " , afirma Cansian.

Na opinio de Luiz Faro, consultor de tecnologia e negcios da Promon, quando um usurio estiver fora do local de trabalho, esse conjunto de mecanismos deve combinar o uso de VPN e dupla autenticao, medida que inclui no s o uso da senha, mas tambm de tokens e at biometria (notebook com identificao do polegar).

Essa idia sugere a criao de uma poltica de segurana, feita por camadas. Unir vrios mecanismos de segurana a uma boa poltica resultar em uma proteo adequada. Um exemplo disso seria o uso de uma VPN (Virtual Private Network), rede privada que cria um tnel seguro entre os dados que trafegam de um notebook at a rede da empresa. Gaudncio explica que todos os arquivos corporativos que passam por redes pblicas deveriam, obrigatoriamente, ocorrer via VPN para se manterem privados.

Embora seja altamente recomendada, a VPN usada isoladamente no condio suficiente para garantir segurana, assim como um nico mecanismo de defesa nunca suficiente. " De nada adianta uma VPN se o computador da casa do usurio est comprometido com um cavalo de tria que captura tudo que digitado no teclado " , diz Cansian.

Sem derrapagem

Quem dirige a parte tecnolgica da empresa com um olho nas facilidades que a mobilidade pode trazer aos usurios e outro na segurana Ricardo Miranda, diretor de tecnologia da Pirelli, empresa que conta atualmente com 140 pessoas trabalhando ativamente de forma remota. Embora a mobilidade seja uma preocupao da fabricante de pneus, Miranda conta que o acesso no acontece via ponto pblico como aeroporto e cafs.

"A tecnologia sem fio, a partir de infra-estrutura pblica e desconhecida, no utilizada por ns, j que na prtica essa necessidade baixa e os riscos altos " , afirma Miranda. Por conta disso, ele diz que para acessar a rede interna de fora da empresa, os funcionrios fazem uso de conexo cabeada (discada ou banda larga), a partir de casa, do hotel ou do cliente.

Internamente, a Pirelli faz uso de tecnologias sem fio como Wi-Fi e radiofreqncia para as operaes de cho-de-fbrica e logstica. Como est dentro de seu domnio fsico, Miranda afirma ter total controle e ateno aos aspectos de segurana das informaes.

Em meio a tantos riscos, Mrcio Zapater, consultor de tecnologia e negcios da Promon, diz que as empresas no podem perder de vista o trip confidencialidade, integridade e disponibilidade.

Rodrigo Suzuki, coordenador de segurana da informao da Promon, optou pela aquisio de 70 licenas de software de segurana, alm de tokens para identificao digital. " Nosso nvel de segurana sempre foi bastante elevado dentro da empresa, mas os executivos ficavam sujeitos a alguns riscos quando estavam em trnsito " , explica Suzuki.

Com o software de segurana tm-se a proteo de boot, criptografia de discos rgidos e de mdias de dados removveis (disquetes). No caso de furto ou roubo, a empresa garante ser impossvel a leitura do disco rgido por outro usurio sem que se tenha a senha e ou token para acesso ao equipamento. Mesmo no caso de ser usado o artifcio de instalar o disco rgido em um outro equipamento como disco secundrio, o que, por vezes, possibilita a leitura das informaes.

Para Csar Lovisaro, diretor comercial da UserID, os tokens so importantes porque renem algo que o usurio sabe (a senha) com algo que ele tem (o dispositivo), uma combinao que resulta numa autenticao dupla forte. O token um dispositivo que gera combinaes numricas dinmicas que se alteram a cada 36 segundos. Ele permite a autenticao de usurios em redes, VPNs, acesso remoto, Internet Banking e assinaturas eletrnicas de transaes.

No Brasil, uma empresa que aposta pesado no uso de tokens o banco HSBC, que tornou mandatrio a utilizao desse tipo de dispositivo para empresas que realizam transaes pelo servio de Internet Banking da instituio financeira. " Essa uma forma de ter uma segunda senha e assegurar forte proteo " , acredita Lovisaro.

Problemas de configurao

Embora quando o assunto seja o Wi-Fi todo mundo associe os riscos a estar fora de casa, o perigo tambm pode rondar os corredores da empresa caso um hotspot seja montado dentro do ambiente corporativo sem prvios cuidados de segurana. " Para fazer a internet chegar a ambientes como salas de reunies ou refeitrios, muitas empresas se esquecem que o vizinho do andar de cima ou algum da rua pode tentar capturar informaes " , afirma Fernando Nery, da Mdulo Security.

Para a proteo, os especialistas recomendam, alm do uso de VPN para trfego de dados, cuidados na configurao dos pontos de acesso que, geralmente, no exigem senha ou tem uma senha padro; a habilitao do protocolo de segurana WEP (Wired Equivalent Privacy) que, apesar de ser considerado fraco, melhor que nada; e o cadastramento do endereo MAC (Media Access Control), que identifica a placa de rede de cada computador, no ponto de acesso. Dessa forma, apenas mquinas cadastradas conseguem acessar a rede sem fio.

Um alerta aos CSOs (Chief Security Officers) ficar de olho em funcionrios que instalam pontos de acesso por conta prpria no ambiente corporativo. Gaudncio diz que a situao torna vulnerveis a rede corporativa e a confidencialidade dos dados. Para Nery, isso vem acontecendo com mais freqncia do que se imagina.

Mquinas nos trinques

Imagine uma fortaleza repleta de soldados, muros inatingveis e armamento pesado. Algum bandido conseguiria adentrar esse espao? Com tantas medidas de segurana a resposta mais provvel jamais. Agora, digamos que algum tenha esquecido uma porta entreaberta. Essa comparao serve para mostrar que no adianta as empresas investirem em sistemas caros e sofisticados para blindar a rede, se um funcionrio usa um notebook ruim em termos de segurana e ainda age de maneira desleixada, visitando sites duvidosos.

Para os casos de profissionais que acessam remotamente a rede da empresa, de um computador mvel ou do micro de casa, Cansian diz ser obrigatrio que a mquina do funcionrio tenha um firewall pessoal, antivrus e antispyware instalados. Mas isso no tudo. Ele recomenda cuidados bsicos como manter o sistema operacional e outros software atualizados, com as devidas correes de vulnerabilidades feitas.

" As empresas precisam ter uma poltica de segurana especfica para computadores remotos " , afirma Nery. A Pirelli, por exemplo, definiu regras para os funcionrios que usam tecnologia mvel. " Para acessar sua caixa postal de fora da empresa via webmail, a pessoa deve antes fazer e ser aprovada em um pequeno curso virtual, justificar a necessidade e ser ratificada pelo seu superior hierrquico " , revela Miranda, da Pirelli.

A segurana estratgica
Alberto Evandro Fvero 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

A segurana da informao continuar desempenhando, basicamente, um papel operacional dentro das empresas no sentido de apoiar o cumprimento de exigncias regulatrias, a menos que as organizaes aproveitem as oportunidades de investimento que as novas regulamentaes oferecem para transform-la em parte integrante do negcio. Um estudo recente conduzido pela Ernst & Young com executivos de 1,3 mil empresas globais, rgos governamentais e entidades sem fins lucrativos em 55 pases mostrou que a conformidade com as regulamentaes o principal fator que impulsiona a segurana da informao nas empresas entre quase dois teros dos entrevistados, superando pela primeira vez as preocupaes com worms e vrus.

Novas normas como a lei norte-americana Sarbanes-Oxley, o Acordo Basilia II e a 8 Diretiva da Unio Europia esto modificando o ambiente corporativo, com a crescente exigncia de condutas mais transparentes e confiveis. Um efeito bastante visvel a preocupao maior por parte das empresas com a segurana da informao, especialmente entre os membros do board e da gerncia executiva. Apesar de ser um dado particularmente importante, ele reflete muito mais uma inquietao das empresas com relao s conseqncias de no estar em conformidade com as novas regras do que uma preocupao em atingir excelncia na gesto dos negcios. Exatamente por isso a adequao regulatria tem funcionado mais como um fator de disperso do que como um catalisador para o alinhamento de segurana da informao com a estratgia da organizao.

As regulamentaes sobre controles internos foram mencionadas por dois teros dos entrevistados como as de maior impacto nas prticas de segurana da informao, tanto hoje como nos prximos 12 meses. Questes relacionadas privacidade ficaram em segundo lugar, citadas por mais de 50% dos entrevistados, mas a expectativa de que seu impacto decline nos prximos 12 meses. A importncia de regulamentaes relativas ao risco operacional e tambm a do uso de criptografia devem crescer nos prximos 12 meses, mas a das regulamentaes de suporte antiterrorismo e para divulgao de cibercrime deve continuar estvel, com impacto para menos de 10% dos entrevistados. No caso do Brasil, as nicas diferenas marcantes em relao ao resultado global dizem respeito s regulamentaes de suporte antiterrorismo e para divulgao de cibercrime, citadas como importantes para, respectivamente, 0% e 10% dos entrevistados hoje e por 3% e 14%, nos prximos 12 meses.

Oportunidades e riscos

O que se pode deduzir da pesquisa que os lderes de negcio e de TI esto comeando a encarar a segurana da informao como uma disciplina, que envolve uma integrao complexa de tecnologia, treinamento, anlise de risco e regulamentao. Ou seja, eles sabem que precisam fazer mais, mas no esto fazendo e continuam a centrar as atividades de segurana da informao em questes operacionais.

Outro aspecto evidenciado pelo estudo que j no basta s organizaes considerar apenas seus prprios problemas e ameaas internas. Com mais informao circulando entre as empresas, elas precisam levar em conta a segurana de seus parceiros de negcio, fornecedores e clientes. O valor criado para as organizaes por essa interdependncia pode diminuir ou desaparecer por completo em decorrncia de brechas na segurana dos processos relacionados informao. Muitas empresas no esto dando a devida ateno gesto de riscos dos seus fornecedores. Isso particularmente verdadeiro na rea de segurana da informao, em que predominam a confiana tcita e as pressuposies - e no a evidncia comprovada de anlises independentes ou certificao. Um quinto dos entrevistados admite que no aborda o problema da gesto de riscos de fornecedores e um tero reporta que s adota procedimentos informais.

Alinhamento organizacional

A proliferao de tecnologias emergentes, como telefonia de voz sobre IP, open source e virtualizao de servidores, outra realidade que afeta a segurana nas organizaes. Apesar de 42% dos entrevistados reconhecerem que as tecnologias emergentes sero uma preocupao crescente nos prximos 12 meses, mais de 25% no tm planos de ao elaborados para esse perodo. E mesmo as empresas que esto agindo para tentar gerenciar esses riscos adequadamente, no conduzem o problema da maneira mais correta.

Isso significa, em primeiro lugar, reconhecer que a segurana da informao uma responsabilidade de todos na empresa. Portanto, a comunicao sobre ameaas e boas prticas precisa ser feita horizontal e verticalmente na organizao. Hoje, menos de metade das organizaes treina seus usurios sobre os impactos das questes de segurana da informao e uma parcela ainda menor realiza treinamento sobre resposta a incidentes de segurana.

Com o alinhamento organizacional, a segurana da informao pode dar contribuies significativas s iniciativas estratgicas e ao sistema de gesto de riscos da empresa. As organizaes que implantam segurana da informao dessa maneira envolvem permanentemente os lderes das unidades de negcio e de TI na identificao de reas especficas nas quais a segurana da informao pode contribuir com as iniciativas estratgicas, tais como fuses e aquisies, outsourcing e lanamentos de produtos. Elas aplicam padres reconhecidos de segurana da informao, as melhores prticas de gesto e recursos apropriados.

No entanto, muitas organizaes no seguem esse exemplo. Elas continuam a centrar as atividades de segurana da informao em questes operacionais, no estratgicas. De modo geral, o estudo mostra que essas empresas no fazem o suficiente para se adaptar a esse novo enfoque, embora a conscientizao em torno da segurana da informao tenha emergido como uma questo crtica no board e na gerncia executiva. A maioria dos entrevistados revela que mais da metade de seu tempo e oramento est sendo alocada para operaes rotineiras e resposta a incidentes. Essas atividades, consideradas tticas e reativas, fornecem valor incremental mnimo para a organizao. Quando oferecem.

Alberto Evandro Fvero scio da Ernst & Young na rea de Riscos Tecnolgicos e Segurana da Informao.

Ambientes seguros aumentam o valor das companhias

Por Edson Almeida 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

A vulnerabilidade das empresas tem aumentado na mesma proporo da evoluo tecnolgica que, cada vez mais, expande os pontos de comunicao da rede corporativa dentro e fora dos escritrios. Por isso, na opinio quase unnime de especialistas e fornecedores do mercado o tema segurana da informao deveria ser tratado como questo de Estado nas organizaes, envolvendo a alta direo - e no somente como um problema restrito rea de tecnologia.

Exemplos de riscos no faltam: um funcionrio em viagem que conecta seu notebook para acessar a web pode trazer na volta graves problemas para a rede da empresa, caso sua mquina no tenha proteo adequada. " Hoje cerca de 80% dos eventos de segurana ocorrem dentro das empresas " , diz Leonardo Scudere, diretor da unidade de segurana para a Amrica Latina da Computer Associates.

Uma pesquisa realizada este ano com 203 executivos de TI de empresas da Amrica Latina, patrocinada pela IBM e pela Cisco, mostra que 42% dos CIOs brasileiros consultados revelaram ter sofrido ataques segurana de dados, no ano passado. O que chama a ateno, porm, que menos de 30% elegeram o tema como uma questo de alta prioridade e apenas 18% confiam que suas empresas esto de fato protegidas.

O que est por trs dessa aparente contradio a mudana em curso em

relao ao tratamento das questes ligadas segurana das informaes dentro das empresas. " No faz muito tempo, as empresas estavam preocupadas apenas em comprar produtos para resolver problemas pontuais, no havia polticas e tampouco ferramentas " , diz Jos Matias, gerente de suporte da Mcafee, uma das grandes fornecedoras de sistemas contra intruso e gerenciamento de risco.

Durante o boom inicial de expanso da internet, a ateno das reas de TI das empresas estava voltada para as defesas perifricas, com o uso de antivrus, firewalls e IDS. Mas, agora, o foco principal em relao segurana da informao passou a ser os mecanismos de controle de acesso e gerenciamento de identidade dos usurios, avalia Aroldo Yai, executivo da rea de segurana de software da IBM para a Amrica Latina.

Essa mudana, em menos de trs anos, foi motivada em grande medida pelos escndalos financeiros nos Estados Unidos, envolvendo gigantes como a Enron e a WorldCom, aps os quais foram criadas leis e regulamentaes que hoje norteiam a criao de polticas e modelos de gesto em TI (ver box).

Risco aceitvel

Novas prticas e mtodos de controle no eliminam todos os riscos segurana. No existe empresa totalmente segura. " O objetivo maior reduzir os riscos a a um nvel administrvel " , ressalta Marcelo Bezerra, diretor da Internet Security Systems (ISS) para a Amrica Latina, fornecedora especializada em tecnologias de deteco e preveno de intruso. No jargo do mercado, as palavrinhas mgicas que definem as metas de defesa das informaes so: integridade, confidencialidade e disponibilidade.

Para Fernando Santos, diretor da CheckPoint no Brasil, os grandes bancos foram os primeiros a implantar sistemas de senhas mais fortes e certificaes para garantir a identificao correta dos clientes no acesso ao home banking.

Segundo o executivo, as solues de barreira tambm evoluram com a integrao do IDS ao firewall. " Com isso, as empresas, bem ou mal, fecharam seu permetro, mas ainda esto vulnerveis aos ataques internos e de acessos remotos " , avallia Santos. Diante dessa nova demanda a CheckPoint ampliou seu portflio com solues voltadas para as pontas da rede e para segurana interna.

A primeira visa proteger notebooks, PDAs e desktops do roubo de informao e de senhas e do phishing(direcionamento para um site suspeito). A segunda, por meio de um gateway ou uma sute interligada ao backbone da empresa, segmenta a rede interna em zonas de segurana e impede, por exemplo, que a contaminao de um departamento por um worm se alastre para todo o sistema. O IP da mquina contaminada bloqueado e o administrador avisado.

A verdade que o nvel das ameaas mudou. Se antes, hackers buscavam apenas notoriedade com suas aes pirotcnicas, hoje, quadrilhas organizadas atuam com objetivos econmicos de fraudar e ganhar dinheiro com o seqestro de informaes corporativas.

A estratgia de atuao das empresas que fornecem solues nesse mercado busca atender essas novas demandas. A Symantec, por exemplo, est focada na questo da integridade das informaes. Conhecida por sua linha de antivrus, antispam e filtros, a empresa adquiriu a Veritas, empresa especializada em software de armazenamento e backup. " Constatamos que 55% das empresas no fazem backup dirios de suas informaes " , diz Wilson Grava, vicepresidente da Symantec para a Amrica Latina. " Uma defasagem de 24 horas num banco, por exemplo, pode significar um prejuzo de bilhes de reais " , afirma o executivo.

Para ele, o grande desafio integrar a segurana da informao com as outras disciplinas de TI. " A complexidade dos ambientes operacionais um elemento complicador " , salienta. O mercado corporativo responde por dois teros dos negcios da Symantec no Brasil. Para Grava, o segmento de pequenas e mdias empresas apresenta os maiores problemas, em funo de ser menos refratrio pirataria. " at paradoxal essa situao porque se uma empresa emergente parar durante 15 dias por causa de um ataque ela pode at fechar as portas " , considera.

A ISS, por sua vez, est empenhada em oferecer solues que atuem mais na preveno. " Procuramos desenvolver produtos para detectar as falhas dos sistemas por onde acontecem os ataques " , explica Bezerra. Assim, diz ele, possvel complementar outras tecnologias e servios cuja ao em geral reativa. " Alm disso, temos um portal de informaes e um servio de inteligncia que faz todo o trabalho de pesquisa sobre vulnerabilidades em todo o mundo " , afirma.

O que torna uma rede corporativa mais vulnervel muitas vezes no um bug do sistema ou dos sistemas em operao. " Constatamos que as pessoas preferem acessar os sites mais arriscados em seus ambientes de trabalho porque supem que haja mais segurana do que em casa " , diz Fbio Picoli, gerente de novos negcios da Trend Micro, especializada em solues contra spams e spyware. A empresa firmou parceria com a Cisco para vacinar roteadores e switches de rede. " Assim, ampliamos o alcance das nossas solues que protegiam do permetro s estaes dos usurios " , informa.

Apontadas como um dos elos mais fracos da cadeia de sistemas de segurana, as senhas ainda so o principal mecanismo de autenticao do usurio. " muito comum colegas de trabalho conhecerem as senhas uns dos outros " , diz Antonio Moraes, gerente regional para a Amrica do Sul da RSA Security. O principal produto da empresa um token, na forma de chaveiro, que gera uma senha dinmica a cada 60 segundos. O produto j utilizado por grandes bancos para transaes realizadas por clientes corporativos.

A empresa est anunciando um novo produto para usurios corporativos, em que o usurio pode cadastrar vrias senhas, mas s precisar decorar apenas quatro dgitos para acessar as aplicaes. " O software faz esse gerenciamento, por meio de uma camada nica de validao " , explica.

Usurios confiveis

Um dos principais problemas das empresas para combater as fraudes eletrnicas que muitas vezes leva tempo para identific-las. " Hoje, a relao custo-

benefcio favorvel para os fraudadores " , entende Leonardo Scudere, da CA. Essa situao, a seu ver, decorrente de um ambiente complexo, marcado sobretudo por fuses de empresas e necessidade de integrao de sistemas diferentes. " Por isso, mais importante do que instalar um produto conhecer o negcio do cliente, para no correr o risco de atender somente a rea de TI " , afirma Ricardo Fernandes, presidente da Novell no Brasil. Atualmente 30% dos negcios da empresa no Brasil so gerados pela unidade de gesto de identidade. " Nosso foco maior consultoria " , explica.

Tanto a Novell quanto a CA e a IBM adotam abordagens parecidas para esse segmento, oferecendo solues que buscam integrar TI aos negcios. " A questo da gesto de identidade passou a ser crucial " , entende Aroldo Yai, da IBM. " As empresas precisam de solues que possibilitem acompanhar as autenticaes e autorizaes de acesso dos funcionrios ao longo de suas carreiras, at o momento do seu desligamento " , diz. Segundo Fernandes, h estudos que mostram os riscos e prejuzos que uma empresa pode ter caso no administre bem essa questo. Um novo funcionrio demora, em mdia 28 horas para ter acesso aos sistemas pertinentes ao seu trabalho. Cerca de 45% das chamadas de helpdesk esto relacionadas a esquecimento de senhas. Quando um funcionrio deixa a empresa, o acesso aos sistemas ainda permanece ativo por duas semanas.

A principal preocupao dos fornecedores oferecer solues que possam fazer automaticamente a verificao de conformidade dos equipamentos poltica de segurana bem como a concesso de acesso aos usurios. Em resumo: ao plugar seu notebook na rede, o usurio precisa ser identificado e a mquina precisa estar " limpa " .

O futuro aponta para uma soluo denominada identidade federada. Trata-se de uma tecnologia que permite compartilhar a mesma credencial de usurio com outras empresas. Um correntista de um banco, por exemplo, poder acessar a empresa de seguro sade ou agncia de viagem com a mesma senha. Uma operadora de telecom poder vender ringtones ou games para seus assinantes e fazer o billing sem que seu fornecedor tenha acesso aos nomes dos usurios.

Uma questo de rentabilidade

10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

Publicada em 2002, a lei norte-americana Sarbanes-Oxley foi uma resposta aos escndalos que atingiram grandes corporaes nos Estados Unidos. Alm de definir que registros e documentos a empresa deve arquivar e por quanto tempo, tambm colocou novas responsabilidades sobre os ombros dos principais executivos das empresas, exigindo maior controle sobre riscos financeiros. Os acordos Basilia I e II definem padres e procedimentos para anlise contbil. A norma ISO 17799 a principal referncia para quem precisa de um checklist dos principais itens de uma poltica de segurana da informao. Esse conjunto de regulamentaes tem impacto direto na rea de TI, sobretudo na adoo de modelos de gesto.

" A questo que, hoje, tudo acontece no ambiente de TI " , observa Paulo Amaral, superintendente executivo de tecnologia e operaes do BankBoston. O que est ocorrendo uma mudana de enfoque, como nota Srgio Rosa, CSO da Siemens. " Antes, segurana da informao era questo apenas de infraestrutura, hoje passou a fazer parte da gesto de risco de uma empresa " , afirma o executivo.

Para ele, a exigncia da prtica desse conjunto de normas e procedimentos bem-vinda, sobretudo porque a rea de TI passa as ter peso nas decises. " No caso da aquisio de uma empresa, por exemplo, comum a rea de negcios avaliar somente os ativos e a rentabilidade. A empresa que era rentvel pode deixar de s-lo quando se analisa os custos de segurana dentro da nova estrutura aps a aquisio " , explica Rosa.

Amaral diz que as novas leis vieram sistematizar prticas que j eram comuns no BankBoston. Para ele, a grande questo no modelo de gesto de TI o controle de acesso e o gerenciamento de identidade. " O nosso foco determinar quem pode acessar determinado aplicativo e quais tarefas o usurio est autorizado a fazer " , diz.

Na viso dele, os riscos em TI envolvem o negcio como um todo. " O banco no se preocupa mais em guardar o cofre, mas em controlar os aplicativos que movimentam os recursos e aperfeioar a autenticao de identidade " , garante. O ideal a seu ver seria consolidar uma nica identidade de acesso. Isso reduziria os muitos riscos de segurana provocados em funo das diferentes plataformas de sistemas em operao. " Por enquanto, no h escala para tornar um sistema desses vivel economicamente " , afirma.

A terceirizao ajuda a blindar redes e evitar os prejuzos

Por Jaclio Saraiva 10/11/2005

Indique Imprimir Digg del.icio.us

Tamanho da Fonte: a- A+

realmente seguro entregar a rea de segurana de redes e sistemas para uma empresa terceirizada? Muitas empresas esto convencidas de que sim, mas com diferentes nveis de contratao. o caso da Caramuru Alimentos, de Gois, e das lojas da Christian Dior, em So Paulo, cujas experincias confirmam a tendncia detectada pela IDC de aumento na demanda por projetos de segurana e gerenciamento de solues de proteo. O movimento ganhou fora entre as empresas brasileira especialmente nos ltimos trs anos, como destaca Maurcio Monteiro, analista da consultoria.

A Caramuru, que se dedica industrializao de gros e fatura R$ 1,6 bilho ao ano, h cerca de quatro anos contratou os servios de suporte de uma consultoria. A corporao adotou um modelo misto de gesto, pelo qual divide com a provedora de servios a blindagem de uma rede de 700 computadores espalhada em sete estados. " Contratamos um prestador que nos orienta com o que de melhor existe no mercado, em termos de produtos e polticas de segurana. S entramos com a operao dos software " , explica Renato de Souza, gerente de sistemas da Caramuru.

Na avaliao dele, a experincia deu certo. Com um investimento de US$ 60 mil por ano em outsourcing e aquisio de programas, a Caramuru no tem registro de invaso sua rede de dados, at o momento. "A proteo feita com firewalls, sistemas antispam, antivrus e de monitoramento de acesso internet", detalha. O principal objetivo foi reforar o nvel de segurana no acesso web e no uso de emails pelos funcionrios da empresa.

A grife francesa de produtos Christian Dior, que vende de cosmticos, produtos de beleza at acessrios, com duas lojas em So Paulo e uma rede de 15 micros, contratou servios de gesto de emails, monitoramento de invases externas e proteo contra vrus. A defesa faz parte de um pacote maior de outsourcing, que inclui deteco de falhas na rede e nos servidores, alm do monitoramento do link de comunicao entre as lojas brasileiras com a matriz na Frana.

" mais lucrativo manter um servio que evite os problemas do que investir na correo deles " , avalia Sbastien Carcano, gerente financeiro da Christian Dior no Brasil que, desde 1999, terceirizou toda a rea de informtica. Um fator que influenciou o investimento foi o nmero de spams recebidos pelas lojas. Cerca de 20% das mensagens dirigidas empresa, diariamente, tratavam de assuntos considerados sem importncia. Hoje, antes de chegar aos micros da Dior, as mensagens passam por um filtro, que seleciona os textos de acordo com o tema, remetente e palavras-chaves. " Evitamos o desperdcio de tempo em ler mensagens desnecessrias e economizamos mais espao no servidor " , explica o

gerente.

Ponto crtico

Os contratos de outsourcing so fechados de acordo com as necessidades dos clientes e podem incluir fornecimento de mo-de-obra especializada e software de segurana, alm de consultoria e orientao na aquisio de verses mais atualizadas de produtos como antispam e antivrus. " Como a segurana um ponto crtico nos ambientes de TI, geralmente as empresas no abrem totalmente mo do setor e preferem compor contratos mistos, nos quais dividem com o provedor de servios as responsabilidades sobre a rea " , observa Maurcio Monteiro, da IDC.

Com a terceirizao as empresas buscam reduzir custos com tecnologia e ao mesmo tempo concentrar os esforos no prprio negcio, dizem os analistas. Mas, querem se assegurar de que estaro minimamente protegidas no plano virtual, uma vez que ataques podem afetar o desempenho de vendas, levar perda de informaes sigilosas ou ao desgaste de imagem durante incidentes e at ao aumento da insegurana dos clientes ao usar acessos online. Para garantir que o servio no falhe, alguns contratos estipulam multas pesadas no caso de qualquer tipo de violao da rede corporativa. A clusula serve de estmulo para os fornecedores capricharem nos recursos de defesa, mas so de pouca serventia no caso de uma invaso real.

O mercado brasileiro conta com fornecedores de outsourcing de segurana. Nem sempre completamente dedicados rea, que acaba muitas vezes compondo contratos mais abrangentes. O servio prestado inclui a implantao, monitorao e operao de solues, diz Ricardo Orsi, diretor de servios da Datacraft, acrescentando que 10% do faturamento da empresa correspondem a servios de segurana. Ele no revela o valor da receita da subsidiria.

Os fornecedores projetam aumentar nos negcios envolvendo proteo das redes corporativas sem, no entanto, informar os valores envolvidos. Hoje, a linha de servios responde por cerca de 2% do total da receita da Atos Origin, incluindo segurana. " As projees para o prximo ano indicam um crescimento de 50%, em funo da reestruturao da rea, que ir se adequar demanda do mercado " , salienta Perky Ibarra, diretor da Atos Origin.

Ao terceirizar com uma companhia especializada, a empresa pode fazer com que seus tcnicos de TI fiquem focados apenas na criao de novos servios que gerem benefcios aos clientes, defendem os executivos das empresas de consultoria.

A IBM, que trabalha com outsourcing desde 1994 envolvendo tambm projetos de segurana, no revela as previses para esse segmento. Segundo Gilberto Pereira, gerente de segurana da informao da empresa, a carteira de clientes inclui companhias nas reas de finanas, manufatura e varejo. Contudo, ele evita citar os clientes com contratos na rea de segurana. J Rogrio Morais, presidente da Internet Security Systems-ISS Brasil, estima que os negcios no setor cresam 40% por ano. " Como o foco dos clientes no a segurana, o controle de redes durante 24 horas, sete dias por semana, 365 dias por ano sai muito caro e a melhor opo terceirizar " , analisa o executivo.