Espionagem é hoje o assunto do momento e muita gente deve estar se perguntando: "O que fazer para barrar um espião?" Antes convido o leitor a conhecer um caso, publicado recentemente por vários jornais brasileiros, sobre um fotógrafo americano que obteve o direito de tirar fotos de quem ele quiser, fazendo com que aos vizinhos dele só reste a opção de fechar as cortinas das janelas. Da mesma forma que os vizinhos do fotógrafo, que se sentem lesados, tentar deter o espião é o maior erro que uma empresa pode cometer, e remete a uma regra de ouro da segurança de TI: Você não pode mitigar o que não controla. Assim como os moradores do prédio vizinho ao do fotógrafo em Nova York, nós não temos como impedir que alguém nos espione. Temos, na verdade, que esperar o oposto. Pessoas, empresas e governos fazem isso há séculos e não há razão para que parem. A nós só resta fechar as cortinas, o que pode parecer inconveniente, mas infelizmente segurança não combina com conveniência, e há algumas escolhas a fazer.
A boa notícia é que as cortinas estão disponíveis para todos e a maioria delas é trivial. Inclusive, boa parte das soluções de segurança necessárias já estão instaladas em nossas empresas. O principal recurso de proteção de dados ainda é a criptografia. Tudo que é confidencial deve ser criptografado, tanto no armazenamento como na comunicação. Um problema em especial são os dados armazenados em dispositivos de funcionários, muitas vezes fora do radar da empresa. Laptops devem ser criptografados sempre.
Até mesmo a criptografia de celulares e telefonemas, antes restrita a governos, já está disponível a empresas. Mas a sua reputação foi afetada pela notícia de que a Agência de Segurança dos EUA (NSA) é capaz de abrir mensagens cifradas. É sabido que chaves consideradas fracas podem ser quebradas facilmente, mas o mesmo não se aplica a criptografia de última geração. Desvendar chaves consideradas mais seguras pode custar milhões de dólares em tempo de processamento, sem falar em hardware. A grande revelação é que a agência americana obteve chaves criptográficas e plantou vulnerabilidades que permitem aos agentes da NSA ler as mensagens diretamente. Apesar do governo americano aparentemente possuir todo esse poder, o mesmo não se aplica a outros.
Dados também podem ser comprometidos via a invasão de redes e servidores, e aqui entram os já conhecidos sistemas de firewall, prevenção de intrusos, análise de conteúdo, etc. Há muita discussão hoje em dia sobre a necessidade de substituir produtos instalados por outros de "próxima geração". Em geral, isso não é necessário — a não ser que o produto atualmente instalado esteja, realmente, obsoleto ou a empresa precise de alguma camada nova, como monitoramento de redes sociais, não disponível no dispositivo já usado. O grande problema dos sistemas de proteção de redes, servidores e aplicações não é o produto ou tecnologia instalados, mas, sim, a sua configuração e gerenciamento. Muitas empresas gerenciam mal seus produtos, por isso, eles são ineficientes. Mudá-los não resolveria muita coisa. Inclusive uma pesquisa publicada pela Verizon, realizada em 27 países, identificou que 78% dos ataques iniciais eram de baixa dificuldade, portanto detectáveis por sistemas já em uso. Para essas empresas vale mais a pena investir em gerenciamento que em novas tecnologias.
Mas há outro problema muito comum, além do gerenciamento falho: o ser humano. É um clichê dizer que o ser humano é o elo mais fraco da corrente, mas é a pura verdade. Afinal, quais foram as causas dos vazamentos do wikileaks e da NSA? Seres humanos. Não usuários comuns, mas funcionários com acesso aos dados. Para usuários comuns normalmente programas de conscientização resolvem, mas para os últimos é necessário um processo especial de vigilância e monitoramento, especificamente o de acesso e mudanças. Sim, o espião pode estar em casa e possuir senha de administrador.
*Marcelo Bezerra é diretor técnico da Firemon, empresa de gestão de segurança de redes e soluções de análise de risco.