Por Denise Dweck | Portal Exame – www.exame.com.br
21/02/2008
Uma empresa investe tipicamente até 10% de seu orçamento de tecnologia da informação para garantir a segurança de seus dados. Isso representou um mercado mundial de 45 bilhões de dólares entre janeiro e novembro do ano passado, de acordo com a consultoria IDC. Numa empresa como a Petrobras, dona de um dos maiores e mais sofisticados parques tecnológicos do país, estima-se que esse valor fique entre 30 milhões e 50 milhões de reais por ano. Ele inclui câmeras de vigilância em toda a sede, no centro do Rio de Janeiro, uma rigorosa política do uso de e-mail, portas que só abrem com cartões magnéticos e uma rotina de registro de todos os computadores que entram e saem da empresa. Nada disso, porém, evitou que a Petrobras tivesse dados sigilosos aparentemente de grande valor furtados numa operação trivial. Não houve participação de hackers trabalhando em salas escuras nem burla de firewalls e softwares de proteção: a tecnologia usada no furto provavelmente foi um alicate capaz de violar um cadeado.
Em janeiro, foram surrupiados quatro laptops e dois pentes de memória de um contêiner despachado pela prestadora de serviços Halliburton de uma plataforma na bacia de Santos, em São Paulo, para o escritório da empresa em Macaé, no Rio de Janeiro. A Petrobras admitiu a brecha de segurança somente depois de a notícia ser revelada pela imprensa. Até agora ninguém sabe o teor exato dos documentos furtados, mas é razoável levantar duas suspeitas. A primeira é que o que foi roubado tinha importância estratégica. O Palácio do Planalto afirmou que o furto é uma questão de Estado. A segunda suspeita é que os laptops não tinham nenhum tipo de mecanismo de segurança. Nesse caso, quem puser as mãos neles pode ter acesso imediato a dados de valor incalculável. Achem-se ou não os culpados, o episódio já deixa lições claras para todas as empresas: segurança da informação não se garante apenas com um orçamento milionário. É preciso ser paranóico, diligente e rigoroso.
A ÁREA DE SEGURANÇA É MUITO porosa. No campo digital, a internet coloca a empresa em contato com o mundo, mas corre o risco de invasões de hackers. Os aparelhos portáteis aumentam a produtividade dos funcionários, mas multiplicam as cópias das informações — e os riscos de que elas caiam nas mãos erradas. Hoje é quase impossível ver executivos sem um smartphone. Mas quase nenhum deles utiliza uma senha de proteção. Uma pesquisa feita nos Estados Unidos em 2006 com 500 profissionais de segurança da informação descobriu que 81% deles já tinham perdido um ou mais notebooks contendo dados sensíveis. “Não adianta investir em tecnologia se os funcionários não tiverem consciência da necessidade de usá-la”, diz Célia Sarauza, gerente de consultoria do IDC. Essa é a idéia adotada na empresa de análise de crédito Serasa. No primeiro dia de trabalho, os funcionários recebem uma cartilha com a política de segurança da companhia. “Ao longo do ano fazemos atividades para lembrá-los das diretrizes”, diz Denise Menoncello, gerente de segurança de sistemas e informação da Serasa. Na companhia, documentos que precisam ser levados para fora só podem ser copiados com autorização prévia. Para proteger seus segredos industriais, a Fiat proíbe a entrada de máquinas fotográficas ou filmadoras em suas dependências e exige o registro de computadores portáteis e pen drives — um chaveiro de 1 gigabyte, que é fácil de esconder e custa menos de 50 reais, pode armazenar 500 000 páginas de texto.
As lições do caso Petrobras
- O furto de dados estratégicos da estatal é um alerta para as empresas: a segurança da informação não depende apenas de sistemas tecnológicos. Algumas lições do episódio.
- A segurança da informação vai desde a forma como os dados são armazenados e acessados até o transporte dos equipamentos.
- Equipamentos portáteis contendo dados sigilosos devem ser transportados por um funcionário, se necessário com escolta.
- Informações confidenciais podem ser enviadas digitalmente, por uma rede interna da empresa, com a devida proteção.
- Se computadores têm de ser transportados,é importante criptografar os documentos confidenciais.Assim, só quem tem uma chave pode decifrar os códigos.
- Pode-se acrescentar aos aparelhos um dispositivo de reconhecimento do usuário,como um leitor de digitais, para evitar que pessoas não autorizadas os utilizem.
Casos de perda ou roubo de informações valiosas são freqüentes, mesmo quando se sabe que muitas empresas relutam em admiti-los. Em 2005, o Citigroup perdeu dados de quase 4 milhões de clientes que estavam gravados em fitas magnéticas roubadas de um caminhão da transportadora UPS. Há oito anos, um agente do MI5, um dos serviços de inteligência do Reino Unido, teve um laptop com informações confidenciais roubado numa estação de trem. Há dois anos, a Boeing anunciou a perda de um laptop com dados de 382 000 funcionários. Os arquivos estavam protegidos apenas com senhas. “Na segurança da informação, é necessário tomar cuidado com todas as etapas, do armazenamento dos dados ao transporte dos equipamentos”, diz Otavio Luiz Artur, diretor do Instituto de Peritos em Tecnologias Digitais e Telecomunicações. Segundo Artur, uma precaução importante, especialmente se os computadores vão ser transportados, como foi o caso dos laptops da Petrobras, é criptografar os dados confidenciais, o que impede que pessoas sem autorização leiam os arquivos. Essa, porém, ainda não é uma prática corrente. Um estudo feito pela empresa americana de segurança Credant Technologies sobre roubo de notebooks mostrou que apenas 18% dos computadores utilizavam mecanismos de criptografia. No quesito de falhas de segurança, como se vê, a Petrobras não está sozinha.