A segurança digital e os perigos internos

A preocupação com a segurança digital dentro de casa ainda está muito aquém do enorme potencial de dano que o usuário interno representa para o ambiente empresarial, e aqui não me refiro apenas ao indivíduo mal-intencionado, mas também ao mal treinado ou comportamentalmente inepto diante dos riscos externos.

Enquanto 92% dos CIOs se dizem altamente preocupados com riscos de invasões externas, pouco menos da metade desse contingente vê a ameaça interna como extremamente preocupante, segundo pesquisa da Vormetric. Não se trata, é claro, de disseminar uma visão hostil dos colaboradores, mas o perigo é extremamente alto, mesmo se considerarmos o caráter ético e benigno da expressiva maioria.

Chega a ser um dado curioso essa aparente displicência com a vulnerabilidade caseira, tendo-se em conta a extensa literatura que faz referência ao problema, como é o caso de recente estudo da Security Intelligence, o qual mostra que 46% dos prejuízos à segurança empresarial provêm de uso mal-intencionado ou inadequado da rede por parte de colaboradores ou visitantes credenciados.

Curioso e surpreendente, mas nem tão difícil de entender em função de alguns aspectos espinhosos. Ocorre que a segurança interna requer um “pequeno” requisito que grande parte das empresas não tem, que é uma visão sistemática de todo ciclo de informação.

Um negócio bastante complexo, que chega até a desanimar devido aos diversos requisitos conjugados e de natureza bastante distinta, tais como os listados abaixo:

1. Mapeamento logístico dos dados e classificação por camada, segundo taxa de criticidade ou valor estratégico para o negócio;

2. Inventário das aplicações com iguais parâmetros de discernimento, para orientar políticas de acesso, execução ou configuração;

3. Código explícito de conduta de segurança da informação, abrangendo o mundo virtual e suas intersecções com o mundo físico (por exemplo, como descartar discos rígidos ou regras para o uso de bluetooth no ambiente empresarial);

4. Instauração – via educação continuada e explicitação de princípios – de comprometimento ético e responsável no uso dos recursos de TI, incluindo-se aí o compromisso de emprego não recreativo e não promíscuo da internet.

5. Mapeamento e monitoração de vigilância do pessoal que acessa o ambiente e, em especial, aquele que se pode classificar como “peopleware”, em face de acesso privilegiado às áreas críticas do sistema;

6. Mapeamento detalhado da rede física e parafernália de dispositivos fixos ou temporários (e aqui entram desde desktops até máquinas de PDV, câmeras web e aparelhos do mundo BYOD).

7. E, por último, mas não menos importante (aliás, até mais importante que o resto): o aparato de tecnologia para prevenção, detecção, resposta e gerenciamento abrangendo todas as seis camadas (domínio, firewall, conexões, dispositivos, usuários e aplicações).

Sem a pretensão de esgotar a lista, acredito que o rol acima já dá noção do quanto a segurança interna possui volume de complicadores muito maior do que a externa, na qual a finalidade essencial (já bem complicada) é mapear brechas, cercar o ambiente cibernético, isolar repositórios de dados e gerenciar conexões e acessos no ambiente.

Um cadeado para cada porta USB
É evidente que boa parte dos elementos acima compilados pertence também às exigências típicas da política de segurança externa, mas pesa muito, na minha avaliação, o diferencial do elemento humano, com sua monumental curiosidade associada ao quase incontrolável livre arbítrio e – o que é pior – à posse de senhas de acesso às aplicações e dados de negócio.

E note que ainda não mencionei a dificuldade de se controlar acesso físico desses indivíduos a áreas altamente vulneráveis, como sala do data center ou porta USB do servidor ou de milhares de laptops conectados ao núcleo nervoso da empresa.

É uma quantidade grande e diversificada de fatores que tornam a segurança interna um assunto que ultrapassa bastante o conhecimento do técnico de TI e exige, no mínimo, a troca de experiência entre ele e o pessoal da guarda patrimonial; e entre ambos os anteriormente citados e o setor de RH.

Em corporações maiores, essa interação básica iria exigir até a participação de um setor de inteligência capaz de imergir inclusive sobre propensões sociais dos funcionários ou sobre antecedentes de freelancers que tenham acesso mais profundo à rede ou aos ambientes físicos.

Em um debate sobre segurança digital reunindo dirigentes do setor financeiro, o chefe de segurança de um grande banco recomendou aos CSOs presentes que a troca periódica dos laptops, ou outros equipamentos processados, não requeria unicamente a formatação profunda de suas memórias digitais, mas a destruição física das mídias e seu descarte unicamente após estarem 100% irrecuperáveis.

Pode parecer paranoia: mas a revista on-line americana Which? comprou oito discos rígidos usados de diferentes ofertantes do eBay e, com esforço muito pequeno e um aplicativo achado no Google, conseguiu recuperar cerca de 22 mil arquivos que permitiam reconstituir boa parte da vida e dos negócios dos antigos donos.

À parte esses riscos difusos (na fronteira entre o digital e o físico), há estudos que atestam que 75% dos roubos de informação valiosa nas empresas não são aqueles perpetrados por ataques externos de força bruta ou qualquer tipo de estratagema hacker. São roubos feitos por pessoal credenciado, que tem em mãos a chave do tesouro de dados ou apenas permissão bem banal, como a de poder imprimir arquivos.

Assim, o conselho que posso dar é que o responsável pela segurança da TI comece ao menos considerar o fator interno como o portador do potencial de dano maior, mesmo sabendo que não conseguirá, no médio prazo, equacionar toda essa problemática. Até porque, se conseguir uma boa redução nesses aspectos da vulnerabilidade dentro de casa, a consequência vai aparecer também na forma de resistência maior em relação aos hackers.

O que não é nem um pouco recomendável é a tão disseminada prática de se estabelecer controles de vigilâncias pouco (ou nada) transparentes, como monitoramento de e-mail e de hábitos de navegação sem conhecimento explícito (e formalmente reconhecido) por parte dos funcionários. Em vez disso, um passo mais profissional, ético e juridicamente seguro seria a criação de um código de transparência (que dá ciência ao funcionário sobre a livre e proativa monitoração de atitudes e conteúdos no âmbito da rede empresarial).

Esse patamar mais evoluído de conduta exigirá a adoção de algum aparato inteligente, como uma central de gerenciamento unificado de segurança, por exemplo. A simples implementação de tecnologias dessa natureza já ajuda bastante o corpo técnico a obter uma ótima lista de parâmetros combinados que, em geral, já vêm embutidos no manual e nos requisitos de uso desses próprios sistemas dedicados.

E para concluir, menciono o dado paradoxal de que os controles ostensivos aqui referidos não têm sido objeto de resistência ou antipatia pela maior parte dos funcionários nas empresas. Pelo contrário, o funcionário se sente mais respeitado e protegido quando o monitoramento se dá de forma explícita e previamente acordada entre ele e o representante da segurança interna. E, a partir desse acordo básico, cada um dos usuários fica apto a ser recrutado pelo administrador da TI como mais um responsável não só por seus atos, mas pela segurança do ambiente como um todo.

*Rodrigo Fragola é presidente da Aker Security, vice-presidente de Segurança e Defesa do Sindicato da Indústria da Informação (Sinfor) e diretor de Segurança e Defesa da Associação Brasileira das Empresas de Software (Assespro-DF)