São Paulo, 21 de Fevereiro de 2008 - O caso de roubo de equipamentos de informática com informações da Petrobras recolocou em evidência a necessidade de políticas para tratar da segurança da informação.
Mesmo enquanto detalhes essenciais do caso ainda não foram revelados, especialistas de segurança dizem ser possível tirar lições para empresas de diversos setores, principalmente para os que são mais suscetíveis a casos de espionagem industrial.
A mais importante lição é que a política de segurança começa por categorizar as informações de acordo com sua importância, e direcionar uma proteção maior às mais relevantes e que podem trazer mais prejuízos ao negócio, uma vez que é impossível e inviável financeiramente proteger 100% das informações o tempo todo. O caso também mostra que num mundo em que a mesma informação trafega constantemente, tanto dentro da empresa, ou mesmo entre parceiros de negócios, o mesmo dado pode estar disponível em diversos pontos, como na sonda que extrai e cria dados, na transmissão à central da empresa, no armazenamento dentro de um data center protegido e nos notebooks das pessoas que a utilizam para trabalhar.
"A informação não estará trancada dentro da empresa o tempo todo, mas em todos os momentos tem de estar segura", afirma o gerente regional da RSA, divisão de segurança da empresa de armazenamento EMC, Antonio Moraes. "A indústria de tecnologia investe milhões em formas de proteção. Mas se você reforçou a tranca da porta e não a janela, o ladrão vai atacar a janela." Segundo ele, o responsável pela segurança deve sempre se perguntar qual é o elo mais fraco e se fosse o ladrão onde tentaria obter a informação, aliciando uma pessoa de dentro, no tráfego de dados pela internet ou roubar o equipamento. "E os ataques são cada vez mais sofisticados", diz.
Segundo informações divulgadas pela Polícia Federal, foram roubados dois discos rígidos e dois pentes de memória, retirados de laptops. Outros materiais de escritório continuaram dentro dos contêineres. "Quem rouba HD (disco rígido) sabe o que quer", diz o gerente de engenharia de sistemas da fornecedora de software de segurança Symantec, Paulo Vendramini. Para proteger o ponto final da informação, diz, que pode ser um notebook, deve haver desde um firewall - proteção contra acessos externos pela internet - até a criptografia dos dados gravados em disco. "A criptografia dificulta quase que em 100% o acesso de quem rouba um equipamento", afirma. "O mesmo valeria para os desktops de uma área com dados tão sigilosos, como é a de prospecção da Petrobras." A empresa não se pronunciou sobre as ferramentas de proteção que estavam instaladas nos equipamentos roubados.
Em comum, os especialistas evitam apontar culpados no caso Petrobras ou criticar os procedimentos adotados, devido a algumas perguntas não terem sido respondidas claramente. "Qual era o real impacto da informação? Não sabemos ainda", diz o consultor, professor do MBA de segurança da informação da Faculdade de Informática e Administração Paulista (Fiap) e autor de dois livros sobre o tema, Edison Fontes.
Ele explica que as informações devem ser categorizadas de acordo com seu risco. Há as sigilosas, as que podem trazer problemas de imagem ou que prejudicam as operações da empresa. Para cada categoria e nível de periculosidade deve haver diferentes formas de proteção.
O problema pode estar em falha humana dos usuários, que no caso eram funcionários da Halliburton, parceira da brasileira. "Na Petrobras, a área de segurança da informação reporta-se diretamente à presidência há mais de dois anos, prática que é a recomendada", afirma Edison Fontes. Isso significa força política dentro da organização para os responsáveis em estabelecer os processos de segurança.
Mas Fontes defende que não deve caber à área de segurança definir quais são as informações mais relevantes, pois a responsabilidade é de quem lida com elas.
C2(Gazeta Mercantil/Caderno C - Pág. 1)(Carlos Eduardo Valim)
Fonte Gazeta Mercantil Online - www.gazetamercantil.com.br
http://www.gazeta.com.br/integraNoticia.aspx?Param=608%2c0%2c+%2c1547675%2cYTRE
Autor Redação
Data de Edição 21/02/2008
Nenhum comentário:
Postar um comentário