Home  >  Segurança

Empresa segura depende do engajamento dos funcionários

São Paulo - No dia dedicado à proteção no mundo web, ouvimos profissionais de segurança e selecionamos algumas reportagens sobre o tema.

Vinicius Cherobino

10/02/2009 às 8h00

Foto:

Na segunda semana de janeiro, o COMPUTERWORLD listou o que os funcionários adoram fazer que prejudica a segurança. A premissa daquela reportagem, a delicada relação entre os profissionais de segurança e os funcionários, não só foi um dos grandes tópicos de segurança em 2008 como vai continuar sendo ponto focal da estratégia de defesa das empresas.

Para José Waldir Carvalho, gerente de segurança da informação do banco Nossa Caixa, este é o grande tópico em 2009 – e será sempre o ponto de partida quando se fala de segurança da informação nas empresas. “Todos precisam estar engajados em segurança”, resume. Ele acrescenta: “Você pode comprar milhões de dólares em ferramentas, mas precisa ter normas claramente estabelecidas sendo acompanhadas constantemente. Com isso é possível, quando for o caso, aplicar a punição”.

Existem várias maneiras para um funcionário prejudicar a segurança – tanto a área quanto a defesa da companhia. Waldir destaca o comportamento típico de pensar na proteção apenas quando um projeto (ou produto) está pronto para ir ao ar. “Porque não envolver a segurança no início? Segurança não pode ir nunca ao final. Com isso, a empresa perde ‘time to market’ por que volta para prancheta ou assume um risco que não precisaria assumir”, defende.

Dia da internet segura
65 países se uniram para criar o dia da internet segura no IDGNow!
Dicas para reforçar a sua segurança online na PCWorld

Álvaro Teófilo, superintendente do Centro de Operações de Segurança da Produban, empresa de Tecnologia do Grupo Santander Brasil, levanta outro ponto importante. “Alguns funcionários de empresas podem tomar atitudes no dia-a-dia sem conhecer os riscos a que a empresa e eles mesmos são expostos”, resume.

Para ter uma idéia de quão antigo é este problema, o perito forense digital Ricardo Theil já alertava para o problema do comportamento dos usuários para a segurança de toda a empresa em coluna ao portal do Computerworld em 2007.

Blockchain o fim das senhas

As opiniões dos especialistas mostram o tamanho da importância do funcionário na estratégia de segurança. Isso não significa, contudo, que o mundo web tenha ficado menos hostil. Ao contrário, diversos casos mostram que a situação está tão crítica quanto sempre esteve, senão mais.

Só para citar um exemplo, um único ataque usou SQL Injection em 2008 para adicionar links maliciosos em até 10 mil servidores legítimos espalhados pela Europa e América do Norte e Sul.

Redes Zumbis e vulnerabilidades
A combinação da falta de proteção e comportamento arriscado dos usuários pode culminar em desktops corporativos fazendo parte de redes zumbis, uma das maiores ameaças à segurança. A prisão de um dos chefes de uma botnet não resolveu o problema.

Criadas para enviar spam, arregimentar capacidade computacional suficiente para quebrar sistemas com criptografia ou extrapolar a capacidade de redes em ataques de negação de serviço, as redes zumbis estão se espalhando pelo mundo. A maior delas (e com maior taxa de crescimento) é a Srizbi. Ela que conta com aproximadamente 315 mil máquinas e tem capacidade de enviar 60 bilhões de mensagens por dia.

Outro grande problema que as empresas enfrentam está nas vulnerabilidades dos sistemas operacionais e navegadores de internet. Jeremiah Grossman, especialista em segurança e fundador da White Hack Security, concedeu entrevista exclusiva para falar que o clickjacking (a falha que descobriu em outubro do ano passado em conjunto com Robert Hansen) ainda não foi corrigido pelas empresas que desenvolvem navegadores.

Em seu blog pessoal, Grossman compilou as técnicas mais populares criadas no ano passado para explorar vulnerabilidades e está realizando uma eleição das 10 técnicas hackers de 2008. O resultado vai ser divulgado no Black Hat, um dos eventos de segurança mais famosos do mundo, nos próximos dias 16 a 19 de fevereiro.

A “morte” do antivírus
Diversos especialistas apontaram a morte do antivírus tradicional por conta das diversas falhas no sistema de vacinas. Nem a infinidade de laboratórios espalhados pelo mundo é suficiente para registrar as milhares de novas pragas e criar as vacinas. Dados da Panda estimam que foram criados 22 mil novos vírus e outros malwares por dia em 2008.

A polêmica contra o antivírus tradicional baseado em vacinas foi tanta que até um dos garotos-propaganda mais famosos do setor entrou no coro. Em visita ao Brasil, Eugene Kaspersky – fundador da empresa de proteção que leva seu sobrenome – disse: “A indústria de antivírus ficou estagnada durante 15 anos”.

As modificações em segurança não param. E não vão parar. Enquanto você acompanha a cobertura contínua do tema no COMPUTERWORLD, aproveite e confira as 10 frases que deixam os profissionais de segurança apavorados para relaxar.