Um dos maiores desafios dos chief security officers (CSOs) e gestores de TI é enfrentar o cenário crescente das ameaças virtuais globais. Os números não são nada confortáveis para quem tem a tarefa de proteger a integridade da empresa: são cerca de 6 mil novas pragas virtuais criadas diariamente, quase 250 por hora.
O aspecto financeiro é um dos desafios mais críticos para os gestores de segurança. Com orçamentos ainda mais reduzidos, eles têm de fazer cada vez mais com menos recursos. Daí a importância de prevenir a entrada de ameaças na rede da empresa, pois além do risco às informações corporativas, os custos de remoção destas não são nada desprezíveis.
Somente um tipo de ameaça virtual, o spam – ou mensagem indesejada –, pode custar mais de US$ 180 em média por ano, em perda de produtividade, às empresas que possuem mil funcionários ganhando US$ 30 por hora. Tal custo pela perda de produtividade gerada por spams corresponde a mais de US$ 41 mil para cada 1% de spam que entra na empresa. Ou seja, a produtividade se torna muito baixa numa empresa vulnerável.
Em tempos de web 2.0, cuja característica básica é a interatividade, todo cuidado é pouco para evitar interrupções, aumento do consumo de recursos de rede, perda e roubo de dados causados pelas ameaças virtuais. Segundo recente pesquisa divulgada pela McAfee, 46% das empresas do mundo tiveram problemas com vazamento de informações e, 18% dos danos são causados por funcionários propositalmente ou acidentalmente.
Ao mesmo tempo em que e-mails e sites são essenciais, para o mundo corporativo estes são também portas de entrada e saída de dados que tornam as empresas mais vulneráveis. Por este motivo, o controle de ações que consumam recursos de rede e que ao mesmo tempo gerem riscos, como acesso a música, vídeo, imagens, devem ser rígidos.
A filtragem de conteúdo geralmente adotada pelas companhias ainda é pouco eficiente, pois sites são criados em segundos. Estima-se que surjam cerca de 1,5 milhão de páginas na internet por mês em todo o mundo. Para manter a segurança corporativa, é preciso criar filtros que envolvam mais critérios, como a reputação das páginas acessadas. Importantes aliadas neste processo são ferramentas disponíveis no mercado que contribuem para a criação e implantação de políticas de acesso.
Algumas empresas que lidam com informações sensíveis empregam soluções para colocar em prática políticas extremas, como bloqueio de internet após o expediente, que é o momento em que mais surgem as ameaças internas, mas esse não é o indicado já que a empresa perde em produtividade ao limitar o uso da web pelo funcionário. Neste caso, aquele que precisa fazer hora extra, por exemplo, deve solicitar permissão, possibilitando que o controle se torne mais efetivo tanto no aspecto físico quanto lógico que diz respeito à segurança da informação.
Uma alternativa eficiente que as empresas vêm empregando é o uso de franquia que pode, por exemplo, limitar o acesso a determinados sites como webmail, bancos, comércio eletrônico, o tempo de navegação e ainda definir o tipo de arquivo que pode ser enviado por e-mail, o tamanho máximo de cada mensagem e de seus anexos.
Ao adotar as tecnologias adequadas de e-mail e web security, a empresa pode permitir que seus funcionários acessem o site de seu banco, o webmail e os sites de e-commerce, preservando sua produtividade e a vida pessoal de seus colaboradores.
Para alcançar o ponto ideal entra a produtividade e a segurança, cada empresa precisa avaliar o risco inerente ao seu negócio e estabelecer os próprios critérios, tarefa facilitada por tecnologias próprias que permitem a auditoria da utilização dos recursos antes de a empresa adotar medidas mais rígidas, como o bloqueio de páginas da web. Com base na análise das informações coletadas, os gestores podem obter um apoio importante para a tomada de decisões tanto administrativas quanto de proteção dos sistemas.
Fundamental é ressaltar que a adoção de soluções tecnológicas deve sempre estar atrelada a um conjunto de medidas educativas. A conscientização do usuário é essencial para um sistema de segurança bem-sucedido, pois a compreensão dos procedimentos possibilita que o funcionário contribua com a segurança da organização.
* José Roberto de Oliveira Antunes é gerente de engenharia de sistemas McAfee do Brasil.
- José Antunes*
