Segurança madura exige visão holística
Segurança madura exige visão holística |
Léia Machado 09/09/2013
A cada dia as denúncias de espionagem do governo norte-americano ganham um novo episódio. Na noite de ontem (8), a TV Globo mais uma vez informou que documentos vazados pelo ex-consultor de informática, Edward Snowden, indicam que a Petrobras foi monitorada pela NSA. Segundo a reportagem da emissora, não é possível identificar o que, de fato, foi monitorado pela Agência Nacional de Segurança. Por meio da assessoria de imprensa, a Petrobras diz que não irá comentar o caso.
Nos últimos dias, o noticiário nacional deu grande destaque às denúncias de espionagem, pois nem a presidente Dilma Rousseff e assessores diretos escaparam dos olhos da NSA. Durante o encontro da Cúpula do G20, que aconteceu na semana passada em São Petersburgo, na Rússia, Dilma se encontrou com Barack Obama e cobrou explicações. O presidente norte-americano assumiu a responsabilidade das ações de espionagem sinalizando rever os procedimentos adotados nas monitorações e tem até esta quarta (11) para detalhar as diretrizes da NSA.
No mercado corporativo, o episódio levanta uma séria de discussões sobre Segurança da Informação, limites de privacidade, leis nacionais e governança internacional contra invasões. Independente da linha de espionagem de caráter comercial, industrial, político ou econômico, as vulnerabilidades preocupam autoridades e líderes de empresas. Breno Silva, que há seis anos trabalha na área de pesquisa em Segurança da Informação, fala sobre o tema com exclusividade à Risk Report.
Risk Report: Qual é sua opinião sobre ciberespionagem? Estamos, de fato, mais vulneráveis?
Breno Silva: Não há dúvidas de que esse tipo de atividade vem acontecendo nos últimos anos contra diversos países. Conheço mais de 200 famílias de malwares que foram criados exclusivamente para esta prática, inclusive, alguns deles foram desenvolvidos por governos.
Entretanto, pouco se faz em nível de fóruns internacionais para se tentar estabelecer normas e leis específicas para crimes eletrônicos ou condutas aceitáveis entre os países. Além disso, precisamos considerar os direitos humanos. A interceptação de voz e dados sem nenhum tipo de controle viola a privacidade e a presunção de inocência. São direitos que devem ser respeitados por todas as nações. Talvez esse caminho seja o mais adequado para estabelecermos normas de condutas entre os países.
Eu não acredito que as empresas estejam mais vulneráveis do que nunca. Sem dúvida, a indústria brasileira amadureceu, porém, ainda não é o suficiente para dizer que a maioria das empresas tenha um nível aceitável de segurança do seu ambiente corporativo virtual, principalmente se tratando de governo. Mais de 200 servidores web de órgãos governamentais em diferentes níveis foram invadidos nos últimos 60 dias.
RR: Esse cenário exige mais uma camada de proteção corporativa, com serviços e/ou plataformas livres de programas de ciberespionagem? É possível? De que maneira?
BS: Fazer a gestão da Segurança da Informação em ambiente corporativo não é algo simples. A indústria brasileira ainda tem de evoluir e amadurecer em vários processos. Precisamos de mais profissionais capacitados, de melhores tecnologias de defesa. O governo federal, por exemplo, tem evoluído no sentido de contar com normas e políticas para desenvolvimento seguro de software. Mas, como fazer os vários órgãos do governo seguirem essas políticas? Como auditá-los? Como monitorar esses ambientes? Sem dúvida não é uma tarefa fácil. Há muito que fazer.
RR: Qual é o maior desafio do líder de segurança?
BS: Nós sabemos que, em média, as empresas demoram de três a quatro meses para identificar uma invasão hacker. Isso mostra o quanto precisamos evoluir. Eu diria que há espaço para melhorar a segurança das empresas, em sua grande maioria, usando as tecnologias atuais. Apesar de serem limitadas e terem diversas fragilidades em sua concepção, ainda assim devem e podem ser mais bem utilizadas para minimizar riscos.
Não existe segurança 100%. Não é possível estar totalmente blindado contra atividades de espionagem, mas podemos minimizar consideravelmente os riscos. É importante ter em mente que, para isso, as empresas não só irão precisar investir em tecnologias mais seguras, mas também nos seus profissionais. Além disso, as linhas de pesquisa no universo da Segurança da Informação nas universidades brasileiras são importantíssimas. Temos jovens talentosos que podem fazer a diferença nas empresas e no governo.