Um relatório divulgado pela Check Point Software Technologies mostra que as empresas brasileiras registram uma média de 47 novas tentativas de ataque por semana, e os incidentes bem sucedidos geram um custo de US$106.904, em média. Ao classificar as atividades de funcionários que representam os maiores riscos, todas as regiões citaram o uso de dispositivos móveis – incluindo smartphones e tablets – como a maior preocupação, seguido por dispositivos de mídia removível, como pendrives e redes sociais.
Segundo o mesmo relatório, empresas que passaram por ataques direcionados no mundo, detectaram que a motivação de 52% dos hackers foi fraude financeira, seguida da intenção de interromper as operações da empresa, 42%, e o roubo de dados de clientes, 35%.
Os investimentos em segurança de TI são consequência direta do desenvolvimento da área, que agora enfrenta desafios ligados ao controle das informações corporativas, segurança e credibilidade da marca, disponibilidade do ambiente de trabalho, consumo de banda, big data, explosão de dados e outros novos processos associados ao crescimento exponencial do volume de dados que tomam parte dentro dessa nova cultura de trabalho.
De acordo com o gerente de segurança da informação da Ativas, Raphael Pereira, as empresas devem se preocupar em definir como lidar com esses novos processos para evitar a perda de receita e o abalo na imagem corporativa. “Todos esses processos refletem na gestão de segurança, investimento que é um fator crucial para continuidade do negócio. É necessário aprender a trabalhar o risco e a continuidade”, afirma.
Entre as soluções apontadas para combater o problema, a tendência atual em tecnologia é o investimento em ferramentas de DLP (data loss prevention), que desenvolve funcionalidades como: repositório de dados confidenciais, gerenciamento centralizado, escaneamento de servidores e estações para verificar o funcionamento do agente e monitoramento do tráfego de rede. No entanto, outras soluções devem ser integradas às ferramentas DLP para melhores resultados.
Uma delas é a adoção do Strigoi, software de monitoramento de equipes, desenvolvido pela TWT Info, que mapeia o trabalho nos ambiente das empresas ou de forma remota. Segundo o diretor da empresa, Marco Flávio Neves, o software pode ser programado para administrar casos de exceção, ou seja, quando acontece manipulação de informações fora da regra, contribuindo com as práticas adotadas dentro da Política de Segurança da Informação da empresa. “Ao monitorar e-mails, internet, planilhas, documentos eletrônicos e outras ferramentas, o Strigoi, quando alinhado a uma política de segurança eficaz, contribui para a detecção de vazamento de informações, que é um dos graves problemas encontrados pelas empresas atualmente”, explica. Segundo Raphael, a adoção da tecnologia é interessante quando integrada a soluções DLP para o controle da produtividade do funcionário e para monitorar se ele está fazendo algum desvio de informação ou de ações maliciosas.
Realidade
Mesmo com toda preocupação, a discussão sobre o tema é recente e desconhecida para muitos. Ainda segundo pesquisa da Check Point Software Technologies de 2012, menos da metade das empresas brasileiras (40%) estão aptas a combater os botnets e as ameaças avançadas em ambientes de TI e apenas 41% mantém programas de conscientização e treinamento atualizados para evitar ataques direcionados. O crescimento das organizações, a inserção em novos mercados e aquisição de outras empresas são alguns dos pontos que dificultam a criação de uma cultura comum de segurança dentro da empresa, considerando as vulnerabilidades das novas tecnologias e a necessidade de monitoramento dos parques de tecnologia corporativos.
Além disso, o surgimento de novos tipos de negócios cria a necessidade de novas regulamentações e práticas inovadoras, o que resulta em concorrência forte e reforça a preocupação com espionagem industrial e investimentos em retenção de talentos.
De acordo com o advogado Alexandre Atheniense, especialista em Internet Law e Propriedade Intelectual pela Harvard Law School, as empresas que já utilizam recursos tecnológicos, em geral, ainda não amadureceram como deveriam para se atentarem a importância de criar uma politica efetiva de segurança da informação. “A política ideal é ter um software para coletar informações e regras de proteção e monitoramento que propiciem dados para subsidiar a tomada de decisões pelo gestor”, afirma.
Para Raphael, o investimento em segurança da informação deve ser em torno de 8 a 10% do faturamento da empresa de acordo com a maturidade e o ramo do negócio. Mas, para empresas que provém serviços de TI, a realidade deve ser diferente. “Já percebemos que não é possível ver o serviço de TI sem o serviço de segurança. Não entregamos segurança como opcional e investimos de 10 a 15% do nosso faturamento em segurança porque entregamos valor agregado nisso. É um diferencial para o cliente e justifica o investimento dessa ordem”, afirma.