Segurança em TI deixou de ser bicho de sete cabeças

A força de trabalho está se tornando cada vez mais móvel. Essa mobilidade permite um nível maior de colaboração, que gera ganhos de produtividade e competitividade para as empresas, e atende a uma demanda dos próprios clientes. Assim, à medida que a força de trabalho passa a requerer soluções que a acompanhe em ambientes cada vez mais desafiadores, cresce a necessidade de ampliar a segurança e confidencialidade dos dados, já que de nada valerão os ganhos se dados importantes e/ou confidenciais forem expostos inadvertidamente podendo gerar perdas incalculáveis.

Cresceram, nos últimos anos, os investimentos das empresas em equipamentos cada vez mais resistentes, capazes de eliminar possíveis perdas de produtividade e de dados importantes. Os departamentos de TI criaram estruturas de backup para proteger os dados dos usuários e os fabricantes investiram em testes de impacto, vibração, descargas elétricas e outros para tornar os equipamentos mais robustos. Alguns desses testes, inclusive, foram baseados em especificações militares para testes de resistência de produtos, classificados como semi-rugged ou full-rugged.

É preciso lembrar, porém, que casos como o citado no início do texto são tão comuns quanto a perda de dados por danos nos equipamentos. Segundo o Ponemon Institute, no mundo, a cada ano, milhões de notebooks desaparecem ou são roubados e apenas um em vinte é recuperado. Em torno de 80% das empresas relatam a perda de um ou mais portáteis, por ano, contendo informações sigilosas. Segundo o FBI, nos Estados Unidos, um notebook é roubado a cada 53 segundos e 97% deles nunca são recuperados.

Essas ocorrências geram às companhias uma série de custos e preocupações. Alguns são mais fáceis de serem medidos, como custos diretos, de notificação e de perda de produtividade, por exemplo. Outros, no entanto, são bastante difíceis de serem mensurados e podem causar impactos severos nas finanças empresariais, tais como multas potenciais, perda de clientes, ações na justiça, redução no valor de mercado da companhia, entre outros. Em 2006, por exemplo, a Federal Trade Comission emitiu uma multa no valor de US$15 milhões quando um corretor de dados de consumidores, em Atlanta, perdeu mais de 163.000 registros pessoais.

Felizmente, já é possível implementar uma série de medidas de segurança que evitam esses acontecimentos. A integração de recursos de segurança e criptografia garantem tranqüilidade para a empresa. Hoje também já é possível identificar se o equipamento utilizado, bem como o usuário, estão realmente autorizados a acessar as informações. Novos mecanismos de localização de equipamentos estão disponíveis em mercados mais maduros e, em breve, devem ser disponibilizados também no Brasil, juntamente com estratégias que diminuem o risco de roubo dessas máquinas.

Uma estratégia completa de segurança deve incluir mecanismos de proteção e prevenção. Os primeiros têm implementação mais simples e são muito efetivos. Um exemplo é a inclusão de etiquetas de ativo nos equipamentos para identificá-los como propriedade da empresa; outra proposta é a implantação de mecanismos que garantam a retirada de máquinas portáteis somente por pessoas autorizadas, seja por meio de políticas de identificação ou, simplesmente, fornecendo travas para que os usuários prendam os equipamentos a suas mesas.

É possível também ir além desses mecanismos de prevenção e trabalhar com mecanismos de recuperação. Existem, no mercado, algumas opções bastante interessantes, com destaque para duas delas: etiquetas de identificação e softwares de rastreamento. As etiquetas permitem que um equipamento roubado possa ser devolvido ao proprietário por qualquer pessoa que o encontre; algumas empresas, inclusive, já fornecem esse tipo de solução, colando as etiquetas de maneira que elas não possam ser retiradas da máquina. Os resultados são muito bons: essa ação atinge taxas de recuperação bem acima dos 3%-5% de média do mercado. Já os softwares de rastreamento alertam o usuário a cada vez que o equipamento é conectado à internet, possibilitando o rastreamento do local onde a máquina encontra-se em uso no momento. As empresas que fornecem esse serviço cuidam de todos os trâmites jurídicos para recuperação do equipamento; é um serviço bastante eficiente na recuperação de ativos, capaz, inclusive, de apagar, remotamente, os dados da máquina.

A proteção de dados envolve também políticas de TI e segurança que devem ser cumpridas pelos usuários. O ideal é trabalhar com múltiplos fatores de autenticação: algo que a pessoa sabe, algo que ela possui e algo que ela é - a senha, sozinha, é uma ferramenta muito frágil e fácil de ser compartilhada. Ampliar a autenticação para que o usuário utilize dispositivos como SmartCards ou leitores biométricos, como impressões digitais, é uma excelente alternativa. Quando os fatores de autenticação são ampliados, torna-se mais fácil verificar se um usuário tem ou não permissão para acessar determinado equipamento. Além disso, é possível realizar a autenticação da máquina por meio de módulos de plataforma segura (TPM 1.2), o qual, somado à autenticação do usuário, torna muito difícil o acesso à rede ou ativos da empresa para quem não está autorizado.

A proteção dos dados em si envolve soluções de criptografia. Por meio de ferramentas de software, é possível implementar, em conjunto com os módulos de plataforma segura, soluções de criptografia bastante resistentes. Recentemente foram lançados discos rígidos totalmente criptografados, que eliminam a necessidade de utilização de software e aumentam a performance.

É muito importante que as empresas avaliem qual a real necessidade de ampliar a segurança de suas informações e ativos. Quando tomarem a decisão de investir em melhorias, não devem esquecer de procurar soluções que possam crescer com o negócio, de maneira adequada à cultura da organização.  A segurança das informações não deve ser um fator limitante ao aumento da mobilidade e produtividade da força de trabalho, já é possível implementar soluções que tornam extremamente confiável o acesso a informações confidenciais sem prejudicar a portabilidade das máquinas. Prevenção e proteção são palavras-chave para quem deseja estar tranqüilo quanto à segurança de suas informações.

Fonte: Ricardo Shiroma - Gerente de Produto de notebooks e workstations da Dell Brasil