Publicidade

As empresas devem saber onde e de que forma é que o seu orçamento destinado à segurança está a ser investido e medir a eficácia desse investimento. As organizações devem estabelecer métricas para todas as áreas mais relevantes, de forma a terem uma abordagem baseada no planeamento estratégico e na necessidade de realizar uma execução táctica rápida, em vez de se regerem por uma acções reactivas em relação à protecção dos seus dados. Identificar mudanças tecnológicas importantes, quer nas ferramentas de trabalho, quer em novos sistemas e processos empresariais construídos, assume uma importância vital para os decisores tecnológicos.

Mudanças na forma de trabalhar das empresas
A cada vez maior adopção de tecnologias nas actividades de negócios oriundas de aplicações e ferramentas mais relacionadas com o consumidor doméstico aumenta os riscos de segurança das organizações. Um desses exemplos prende-se com o instant messaging (IM), que começa a ser para muitas empresas tão crucial como o uso do telefone ou do e-mail.

Os sistemas de instant messaging deixaram de ser sistemas marginais para se tornarem numa parte crucial da infra-estrutura das comunicações empresariais. Estão cada vez mais a ocupar o lugar de formas de comunicação existentes, desde telefonemas e e-mails a reuniões e videoconferências planeadas. Por essa razão, as empresas começam a investir no IM e em tecnologias associadas, uma vez que são ferramentas que permitem determinar a disponibilidade de outros interlocutores para comunicações em tempo real. Esta funcionalidade tem-se mostrado muito valiosa em processos empresariais em que o tempo é precioso, tais como serviços ao cliente, questões de regulamentação legal, gestão de crises e resolução de problemas.

Os analistas de mercado estimam que, em 2011, o instant messaging seja o padrão não oficial para voz, vídeo e chat de texto, com 95 por cento dos trabalhadores das principais organizações mundiais a utilizá-lo como principal interface para as suas comunicações em tempo real.

De 20 para 350 milhões de utilizadores
Outro aspecto que deve preocupar os chief security officers é o acesso ao correio electrónico da empresa com dispositivos sem fios. Esta era uma funcionalidade restrita à elite empresarial, mas está a ser objecto de um processo de democratização. Não só se está a promover cada vez mais no interior das empresas, como os consumidores acederão com maior frequência aos seus e-mails através de dispositivos móveis. Actualmente, há em todo o mundo menos de 20 milhões de utilizadores empresariais de correio electrónico sem fios, que representam menos de 2% de todas as contas de e-mail.

Os analistas de mercado prevêem que a progressiva disponibilidade de produtos e serviços de acesso ao e-mail sem fios permitirá que, em 2010, 350 milhões de utilizadores empresariais e particulares acedam ao seu correio electrónico com dispositivos móveis. Este valor indica que 20% das contas de e-mail terão capacidades para serem consultadas através de equipamentos sem fios.

Atendendo a esta realidade, os dispositivos empresariais tradicionais vocacionados para o correio electrónico sem fios estão a transformar-se em dispositivos pessoais que abarcam a vida profissional e particular dos utilizadores. O aumento da convergência das tecnologias empresariais com as do universo do utilizador doméstico está, no entanto, a deixar muitas organizações expostas a ameaças de segurança.

A estes factos relacionados com as alterações que as empresas estão a sofrer na forma como trabalham e acedem à informação há ainda que acrescentar o aumento dos ataques externos dirigidos às organizações, sobretudo, por motivações financeiras. De acordo com estudos de vários analistas de mercado, devido a este aumento de ataques por parte de máfias organizadas relacionadas com o crime informático, os custos associados às quebras de segurança de dados confidenciais aumentarão cerca de 20% ao ano até 2009.

Acesso seguro à Internet dentro e fora da empresa
Atendendo ao facto de as empresas estarem a migrar as suas infra-estruturas e sistemas para redes cada vez mais colaborativas, com ferramentas Web 2.0, os CIO devem preparar as infra-estruturas empresariais para lidar com estas novas funcionalidades.

O Semana perguntou aos principais fabricantes de soluções de segurança em Portugal como devem as PME e as grandes empresas combater o aumento da criminalidade informática. Pedro Silva, director técnico da Bitdefender Portugal, diz que o primeiro ponto, antes de qualquer outro, passa pela empresa ter um parque informático bem estruturado, com políticas de segurança bem definidas, seguido imediatamente de uma solução de segurança abrangente e permanentemente actualizada.

O interlocutor da Bitdefender explica ainda que a utilização de soluções de segurança com actualização periódica mas não atempada expõe as empresas a perigos que surgem a cada momento. No seu entender, uma empresa quando se decide por uma solução de segurança esquece-se do ponto mais importante: «A frequência de actualização.» Pedro Silva lembra que não é por acaso que a cada dia que passa se fala de novas ameaças para as quais «a solução que a empresa possui e que foi actualizada de manhã já não as resolve, se elas tiverem sido desenvolvidas da parte da tarde».

O mesmo responsável refere que qualquer solução de segurança enfrenta este terrível desafio: «Será que a minha solução de segurança se actualiza com a frequência necessária de modo a conferir a qualquer PME ou grande empresa a resposta às novas ameaças de que elas tanto dependem?» Se a resposta for positiva, a empresa terá encontrado, muito provavelmente, a melhor forma de combater a criminalidade informática na sua organização.

Grande parte da criminalidade informática tem origem interna, mesmo que não intencionalmente. «Deparamo-nos com diversas situações em que a estrutura administrativa das empresas e o número de utilizadores com privilégios e acessos a mais é impressionante». De acordo com Pedro Silva, isto origina «o fenómeno que na gíria se designa por “queijo suíço”; há buracos por todo o lado, por onde a criminalidade pode circular livremente.»

Atenção redobrada ao ataque silencioso
Por seu lado, Raul Oliveira, director-geral da iPortalMais, representante da Kaspersky e da Magirus, salienta que as organizações empresariais não têm forma de combater o aumento da criminalidade informática, apesar de se terem de precaver, e bem, contra o aumento dessas ameaças, prestando cada vez mais atenção às questões de segurança.

«O problema principal na segurança, hoje em dia, é que o perfil de ataque mudou completamente». O director-geral da iPotalMais explica que, até meados do ano 2000, os ataques eram desferidos de forma visível contra alvos bem delineados nas empresas, onde os utilizadores sentiam claramente quando estavam a ser atacados. Este facto acontecia porque quem atacava tinha vontade de mostrar os efeitos à entidade atacada. Hoje em dia, o objectivo do ataque está relacionado com motivos económicos e, portanto, «o atacante quer na maioria das situações que o seu ataque passe desapercebido, para o poder voltar a repetir no mesmo sítio ou em sítios diferentes», diz Raul Oliveira.

Dentro desta lógica, quanto mais barulho fizer o atacante mais depressa será apanhado, razão pela qual é cada vez mais frequente «encontrar empresas infectadas “até às tripas”, cujo administrador de sistemas afirma que está tudo bem e que há muito tempo que não tem crises de vírus na empresa, quando é tudo completamente mentira», assegura Raul Oliveira.

O responsável da iPortalMais refere que os computadores das empresas estão cheios de trojans silenciosos, e estão lá com diversas intenções: roubar informação crítica (como passwords de acesso a bancos), geração de spam, etc. Portanto, uma empresa «não pode proteger-se só quando pensa que já tem o problema, mas muito antes». É importante que a protecção seja multifacetada, de forma a poder proteger a organização em diversas frentes: estações de trabalho, laptops, servidores de intranet e servidores de comunicações.

Raul Oliveira explica ainda que, «com múltipla protecção, baixa-se enormemente o risco de os ataques terem sucesso», e deixa um conselho aos departamentos de TI: «Devem impedir que os postos de trabalho acedam à Internet directamente, e fazer com que toda a informação que trocam com o exterior passe obrigatoriamente por servidores de comunicação, uma vez que assim existe sempre garantia de dupla protecção.»

Trojans bancários, spyware e bots lideram infecções
O business director da Panda Security Portugal, João Caires, refere que nas áreas de competência da Panda Security, independentemente da dimensão, o essencial é «iniciar os projectos de segurança sempre com um bom nível de consciencialização sobre as necessidades e riscos a que a infra-estrutura da empresa está sujeita». A sugestão deixada por este especialista prende-se com uma planificação correcta e um planeamento cuidado dos procedimentos de segurança activos (tecnologias) e passivos (políticas) e de auditoria. Isso permite uma optimização dos investimentos e dos meios disponíveis, garantindo o máximo desempenho destes sectores da empresa. 

Estas medidas são cada vez mais importantes, uma vez que os riscos têm aumentado consideravelmente, à medida que existe uma abertura cada vez maior das organizações ao exterior, e uma interdependência dos processos das mesmas com a Internet. «Os riscos actuais passam sobretudo por perdas financeiras», diz João Caíres, justificando esta afirmação com dados da Panda Security que demonstram que o cibercrime se multiplicou exponencialmente a partir de 2003.

Actualmente, «os trojans bancários, o spyware e os bots são os principais responsáveis pelas listas de infecções», assegura João Caires. Esta tendência, segundo aquele responsável, é um bom indicador da profissionalização do crime informático, que atrai agora máfias organizadas, e que possui meios consideravelmente sofisticados.

O business director da Panda Security Portugal volta a salientar que «as novas ameaças são mais perigosas, tecnicamente mais complexas de combater e muito menos visíveis; o seu objectivo é permanecer o máximo de tempo possível despercebidas, o que explica que as técnicas de ocultação utilizadas em malware tenham crescido quase 2000% entre 2003 e 2005, sendo agora praticamente ubíquas nos riscos actuais».

A indústria está a adaptar-se a este novo paradigma, tendo deixado de disponibilizar produtos imutáveis para passar a oferecer soluções evolutivas, que necessitam de supervisão e validação constante.

Formação adequada das pessoas mitiga riscos
Timóteo Menezes, director técnico da Symantec Portugal, defende que é através de «uma segurança cada vez mais proactiva» que as empresas, sejam PME ou grandes contas, devem combater o aumento da criminalidade informática.

A segurança proactiva desempenha um papel importante «na ajuda da gestão de risco de toda a estratégia de IT Governance e compliance de uma organização que tem como objectivo a manutenção de um perfil de risco reduzido», diz Timóteo Menezes.

Em termos práticos, o director técnico da Symantec Portugal conta que esta medida resume-se a «ajudar as organizações na identificação, mitigação e remediação de riscos, de maneira a manter uma postura de conformidade de segurança em TI, demonstrando a efectividade dos controlos de segurança implementados (pessoas, processos e mecanismos tecnológicos) e portanto, da sua política de segurança».

Para alcançar estes objectivos, o interlocutor da Symantec acredita que um dos maiores investimentos que as empresas devem fazer é na «educação e formação dos seus colaboradores». A organização pode aumentar a eficácia das suas políticas de segurança através de um maior conhecimento dos empregados. Por outro lado, a educação dos colaboradores serve para aumentar a compreensão e a consciência (e por conseguinte minimização) dos riscos de segurança associados ao acesso e partilha de informação (onde quer que ela resida) nas redes empresariais e na Internet.

Eficácia e rentabilidade empresarial
David Sancho, engenheiro sénior antivírus dos TrendLabs, laboratórios de pesquisa Trend Micro, reconhece que «as empresas estão cada vez mais despertas para o factor segurança», e refere que a procura de soluções de gestão centralizada «já não existe apenas nas grandes organizações, com redes informáticas de grande dimensão e complexidade, mas também nas pequenas e médias empresas».

Porque a segurança é um elemento fundamental para a eficácia e a rentabilidade empresarial, «deve estar na base de toda a sua governação, exigindo um planeamento antecipado dos factores críticos de negócio e dos mecanismos de recuperação rápida». Esta situação permite à organização diminuir o tempo e a quebra na produtividade e reduzir as possibilidades de perda de informações confidenciais.