No dia 24 de junho deste ano, fui entrevistado por uma jornalista do Estadão de São Paulo, sobre estes ataques a sites no governo. A entrevista foi rápida e ela não pôde desenvolver tudo que conversamos. Então vamos completá-la agora mesmo.
Primeiramente não há como afirmarmos que os dados foram violados, sem uma análise ou evidências. Algumas estão surgindo, mas não creio que os dados mais importantes ligados à receita federal foram comprometidos (imaginem o que apareceria na internet se tivessem conseguido chegar ao banco de dados da Receita Federal! Em especial nas declarações de pessoas públicas). Mas realmente causam, pelo menos, uma temeridade de alguma coisa ter realmente acontecido e nossos dados pessoais estarem circulando na internet.
Está havendo grandes equívocos quando se fala em Segurança da Informação. Não só do governo, mas também das empresas, pois parece que não sabem mensurar o valor de suas informações uma vez que não as tratam como deveriam. O principal deles é considerar a Segurança da Informação um “ato”, pois na verdade é um processo contínuo que requer muita atenção.
As ameaças surgem de todos os lados, tendo como grande destaque atualmente as redes sociais, as quais os “hackers” fazem engenharia social, fingindo se passar por outras pessoas, disseminando assim vírus, worms e todas as pragas virtuais que conhecemos. E assim conseguem dados importantes. Muitas das vezes de pessoas ligadas a entidades públicas, que fornecem inocentemente informações valiosas. E com muita paciência, eles começam a montar um grande quebra cabeça que aliados ao conhecimento técnico, podem fazer um grande estrago. Temos que entender por uma vez por todas que o elo mais fraco são as pessoas e não adianta ter a melhor tecnologia se as pessoas não são conscientizadas, cobradas e fiscalizadas sobre a Segurança da Informação. Isso começa em casa, quando não orientamos nossos filhos sobre o que divulgar e o que não divulgar nas redes sociais, muitas vezes por falta de conhecimento e também por omissão. Sabe uma das razões que a segurança nunca será 100% em nada? Justamente por causa das pessoas.
As vulnerabilidades se tornam evidentes quando lemos nos jornais que alguns setores do governo ou empresas, pararam ou diminuíram os investimentos em tecnologia. Logo se não investem em tecnologia para suportar seus processos de negócio, investirão em Segurança da Informação? Lógico que não. É como se guardar um diamante em um caixa de papelão. Então se tornam um alvo em potencial. Foi o que aconteceu com o exército brasileiro. No sábado, o jornal “O Globo” noticiou que o site do exército foi comprometido e divulgados dados de mais de mil militares na internet. E pelo que foi dito, a vulnerabilidade era a falta de atualização do coração do sistema operacional, denominado “kernel”. Para se investir em tecnologia deve-se haver equipe capacitada e fiscalização contínua sobre as medidas tomadas, senão de nada adianta. A mesma regra vale para o “software livre” ( o qual defendo). Até porque uma pesquisa recente da empresa britânica de segurança “mi2g” aponta o sistema operacional Linux como o alvo preferencial de ataques digitais com relação ao sistema operacional Windows. Isto ocorre, segundo os especialistas desta empresa, por falha nos treinamentos e implementações nos Sistemas Operacionais Linux. E sabemos que há muito tempo muitas empresas vêem investindo em softwares livres, como o Linux. Isso corrobora que o investimento em pessoas e auditorias contínuas são fundamentais para que essas iniciativas possam dar certo.
Um grande risco que se passa por todas as empresas e no governo é a terceirização de serviços. Até que a compreendo, mas deve ser feito com muito critério. Tem de valer a pena para ambos os lados. Terceirizar sem critérios e sem certeza das vantagens e desvantagens para o negócio é o mesmo que mergulhar de penhasco no escuro, sem ter a certeza do que vai encontrar no final. Afinal, serão profissionais que terão acesso a informações valiosas de seu negócio, logo o risco aumenta. A grande arma para combater isso tudo, não são somente leis (o que considero como o primeiro passo), mas defendo mais investimentos na área de TI e em se falando do governo, na conscientização sobre a Segurança da Informação em todos os níveis. Quer ver uma coisa: será que alguns deputados estão conscientes do que fazer a respeito de sua segurança digital? E senadores? E a presidência? E a copeira da presidência? E o faxineiro? E o motorista da presidência? Enfim, todos possuem um papel importante neste processo.
Uma coisa de bom aconteceu com isso tudo: todos estão reavaliando o valor de sua informação. É a velha história: quando você não cuida do que é seu, alguém cuida por você.
Sou profissional com mais de 30 anos de experiência desenvolvida em empresas do setor "outsourcing" em TI e Segurança da Informação. Com 2 Pós graduações e 1 MBA na área de TI e diversas Certificações em Segurança e Tecnologia da Informação, dentre elas: COBIT 4.1, ITIL v2 e v3, ISO27002, CCSA/CCSE, experiência na área comercial, Coach de líderes e analista comportamental C-VAT. Meu link no "linkedIn": http://br.linkedin.com/in/limprota007
You must be logged in to post a comment.
